Alors que NTT Com Security publie l’édition 2016 de son rapport « Global Threat Intelligence Report » qui analyse les tendances des cybermenaces des trois dernières années passées, Garry Sidaway, son vice-président Security Strategy & Alliances, livre ses conseils en matière d’interventions sur incidents.
« Nos rapports GTIR et Risk:Value témoignent tous deux d’une certaine inertie des entreprises concernant la prévention et la planification des incidents », souligne Garry Sidaway. « Ce phénomène très préoccupant trouve sa cause dans de multiples éléments. À commencer par le sentiment de lassitude dans des équipes de sécurité exténuées par une succession de violations majeures, le trop-plein d’informations et les conseils contradictoires. Sans parler de l’extrême rapidité des évolutions technologiques, de la timidité des investissements et du poids croissant des réglementations. »
« Face à l’émergence constante de nouvelles menaces et à la pénurie de compétences en sécurité informatique, les entreprises sont dépourvues des ressources humaines et budgétaires nécessaires. Chez NTT, nous pensons qu’il vaut mieux prévenir que guérir. Nous croyons aussi dans la valeur des fondamentaux, à commencer par l’élaboration et la communication d’un plan d’intervention détaillé », indique-t-il.
1 Préparer des processus de gestion des incidents et des run books
Trop souvent, les entreprises manquent de directives précises sur la manière de déclarer et de classifier un incident. Ces pratiques constituent pourtant le socle de toute réponse efficace. Plusieurs paramètres, comme la nature de l’attaque ou son potentiel impact, ont une influence déterminante sur le type de réponse à fournir. La mise en place de « run books »figure également parmi ces bonnes pratiques destinées à détailler des procédures types sur les incidents les plus communs au sein d’un environnement donné.
2 Évaluer l’efficacité des interventions
Pour être efficaces en cas d’incident, les équipes doivent absolument avoir une parfaite maîtrise des procédures standards d’intervention. C’est pourquoi la préparation devra passer par des mises en situation régulières. Les bilans post-incidents sont également un excellent moyen de peser le bon et le moins bon pour définir des axes d’amélioration.
3 Mettre à jour la liste des intervenants
Les entreprises évoluent, tout comme leur organigramme. D’où l’importance de tenir à jour la liste des acteurs concernés et de leurs missions en cas d’incident. Chaque seconde compte et tout retard dans l’organisation des équipes peut sérieusement entraver l’intervention. La mise à jour des coordonnées de votre FAI ou de votre prestataire externe d’intervention sur incident est tout aussi importante.
4 Rédiger une documentation technique
Pour pouvoir identifier les systèmes touchés et prendre les bonnes décisions, il est nécessaire de disposer d’informations complètes et détaillées sur le réseau.