Que faire pour être prêt à réagir durant les 24 premières heures d’une cyberattaque ?

Les initiatives que vous prendrez dans les 24 premières heures suivant une cyberattaque pourront décider de la vie ou de la mort de votre entreprise.

Toute organisation fait tôt ou tard l’expérience d’une cyberattaque. Vous devez vous préparer à faire face pour qu’un tel événement n’engendre pas une crise profonde pour votre entreprise. Sans une planification efficace, vous tenterez d’agir sur tous les fronts, sans pour autant être efficace, avertit Matt Lawrence, directeur de la détection et de la réponse chez F-Secure.

« La rapidité, la visibilité et l’expertise sont essentielles », a-t-il expliqué aux professionnels de la sécurité assistant au webinaire intitulé Préparer les 24 premières heures d’une cyberattaque, organisé par F-Secure et Mark Tibbs, Cyber Intelligence Director chez Mishcon de Reya.

Une planification inadéquate peut engendrer de lourdes conséquences. Les plus grands risques sont liés à la prévalence croissante des ransomwares et à leur sophistication. Un sondage a été réalisé auprès des participants au webinaire : 50 % d’entre eux s’attendent à ce que les ransomwares constituent leur principale source de préoccupation en matière de sécurité cette année.

D’après Matt Lawrence, les ransomwares connaissant la croissance la plus rapide sont ceux qui sont exécutés manuellement, dans le cadre d’une attaque ciblée en plusieurs étapes. L’opération de piratage peut débuter par une attaque de phishing pour accéder au réseau, ce après quoi les hackers utilisent des techniques manuelles pour opérer des déplacements latéraux sur les systèmes visés, pour prendre le contrôle d’une part croissante du réseau, avant de déclencher finalement le ransomware.

Outre les ransomwares, d’autres menaces sérieuses émergent. Toujours selon Matt Lawrence, la récente attaque de Solar Winds a notamment sensibilisé de nombreuses organisations au problème des attaques de la chaîne d’approvisionnement.

Quelle que soit la manière dont les hackers s’implantent sur votre réseau, vous devez être en mesure de les expulser rapidement. « Lorsqu’un hacker est présent sur votre réseau, qu’il peut se déplacer au sein de votre environnement et accéder potentiellement à vos actifs stratégiques, vous devez pouvoir réagir, c’est fondamental », a déclaré Matt Lawrence.

En d’autres termes, les entreprises doivent élaborer un plan d’action complet, qui définit notamment comment agir dans les 24 heures critiques qui suivent la découverte de l’intrusion. La quasi-totalité (97 %) des professionnels que nous avons interrogés dans le cadre de notre sondage sont d’accord :

Mais comment élaborer ce plan et le mettre en pratique ?

Pour commencer, vous devez veiller à respecter certains principes de base : assurez-vous que tous les logs sont activés et que l’administration informatique de votre entreprise est gérée de manière adéquate. « Le partage des mots de passe administrateurs, par exemple, constitue la recette parfaite du désastre. En faisant preuve d’une telle négligence, vous servez aux pirates un véritable buffet à volonté », explique Lawrence.

Vous devez également être préparé sur le plan technique, c’est-à-dire disposer des outils, des processus et de l’expertise (internes ou externes) nécessaires pour détecter efficacement les menaces et répondre aux incidents.

Enfin, vous devez préparer le personnel :  Mark Tibbs, co-présentateur du webinaire et directeur de la cyber intelligence chez Mishcon de Reya LLP, explique : « La pratique avant tout ! Ne laissez pas vos plans prendre la poussière. Vous devez effectuer régulièrement des exercices pratiques avec toutes les parties prenantes concernées. »

Mark Tibbs ajoute qu’un leadership fort est indispensable.  Il est essentiel de bien déterminer qui doit être impliqué dans la réponse post-incident, et à quel moment. Outre les informaticiens et les responsables de la sécurité, il peut s’agir d’équipes juridiques, de responsables des relations publiques, de partenaires d’externalisation, de responsables de la protection des données et de la conformité, de cyber assureurs et d’autres professionnels, selon la nature de votre entreprise et les menaces spécifiques susceptibles de vous cibler.

« Une bonne préparation permet de gagner du temps », insiste Lawrence. « La réponse aux incidents doit faire partie du business as usual. »

Pour en savoir plus, pourquoi ne pas regarder le replay complet du webinaire ? Lawrence et Tibbs couvrent l’ensemble des aspects à prendre en compte pour préparer votre entreprise à répondre efficacement aux attaques. Durant ce webinaire, ils évoquent aussi le rôle des cyber assurances et répondent à une question sensible : est-il judicieux de payer la rançon en cas d’attaque ransomware ?   l

Regardez le webinaire « Préparer les 24 premières heures d’une cyberattaque » ici.