Un incident de cybersécurité peut être dévastateur pour une organisation. Les données peuvent être volées, divulguées ou détruites, et la réputation de l’entreprise peut être endommagée. Notre aperçu des violations de données Okta est très révélateur de la façon dont une réponse inadéquate d’une organisation à un incident pourrait être aussi dommageable que la cyberattaque elle-même. Dans cet article de blog, nous décrirons les étapes habituelles qu’une organisation doit suivre pour se remettre d’un incident de cybersécurité. Nous discuterons également de la détection et du confinement de la cyberattaque, de la correction des vulnérabilités et du signalement de l’incident.
1. Détecter
Lorsqu’un incident se produit, déterminer d’abord sa nature et son ampleur est crucial. Cela vous aidera à élaborer un plan pour atténuer les conséquences et limiter les dégâts. Pour ce faire, vous devez vous poser quelques questions clés :
- Est-ce un vol de données, une attaque de ransomware ou autre ?
- Quels systèmes ont été touchés ?
- Quel type de données a été compromis ?
- Comment l’attaquant a-t-il pu accéder à vos systèmes ?
- Y a-t-il d’autres systèmes qui peuvent être affectés ?
- Quelle est l’étendue des dégâts ?
Si vous avez des réponses à ces questions, vous pouvez commencer à élaborer un plan pour contenir et atténuer l’incident de sécurité. C’est là qu’il est utile d’avoir préparé un plan de réponse aux incidents au préalable.
2. Contenir
Confinez et isolez immédiatement les systèmes critiques qui ont été affectés par l’incident de cybersécurité. Cela aidera à empêcher l’attaquant de causer plus de dégâts et vous donnera le temps d’évaluer la situation. Pour ce faire, vous devez procéder comme suit :
- Déconnectez toutes les machines infectées du réseau
- Changer tous les mots de passe
- Mettre à jour le logiciel de sécurité et exécuter des analyses
- Restreindre l’accès aux systèmes susceptibles d’avoir été compromis
- Assurez -vous que vos sauvegardes hors site sont prêtes pour le déploiement
- Aviser la haute direction
3. Remédier
Éradiquez la cause de l’attaque et commencez à corriger les vulnérabilités et les contrôles de sécurité faibles. C’est tout le processus à ce stade:
- Assurez -vous que tous les artefacts de l’incident (clés de registre, fichiers, horodatages et journaux d’événements) ont été entièrement supprimés de votre système.
- Réparez ou mettez à jour vos systèmes au besoin.
- Vérifiez que tous les correctifs logiciels sont à jour et que toutes les protections nécessaires sont renforcées.
- Assurez -vous que vos sauvegardes hors site sont prêtes pour le déploiement.
4. Signaler
Compilez un rapport sur l’incident qui comprend des informations sur ce qui s’est passé, comment cela s’est produit et quelles mesures ont été prises pour atténuer les dommages. Ce rapport doit être envoyé à la haute direction, au conseil d’administration, à tout organisme de réglementation pertinent et à d’autres parties prenantes, y compris les clients, les partenaires et les fournisseurs. Le rapport devrait également inclure des recommandations sur la manière d’empêcher que des incidents similaires ne se reproduisent à l’avenir.
5. Récupérer
Une fois la menace éliminée et les dommages réparés, vous pouvez commencer à restaurer vos systèmes et reprendre vos opérations. Ce processus peut prendre un certain temps, selon l’étendue des dommages. Pour ce faire, vous devez procéder comme suit :
- Restaurez toutes les données perdues à partir des sauvegardes.
- Réinstallez tout logiciel qui a été supprimé ou corrompu.
- Reconfigurez tous les paramètres qui ont été modifiés.
- Testez vos systèmes pour vous assurer qu’ils fonctionnent correctement.
- Informez la haute direction, les organismes de réglementation compétents et les autres parties prenantes que l’incident a été résolu et que vos systèmes sont à nouveau opérationnels.
Emballer
Quelle que soit l’efficacité et l’expérience de votre personnel technique, les cyberattaques automatisées hautement sophistiquées d’aujourd’hui sont mieux gérées avec une préparation préalable aux étapes ci-dessus. Si vous n’avez pas de plan, c’est le moment d’en élaborer un. Pour ce faire, vous devez réunir une équipe de personnes qui seront chargées de traiter l’incident. Cette équipe doit comprendre du personnel informatique, des experts en cybersécurité et des cadres supérieurs. L’équipe devra déterminer les mesures à prendre pour traiter l’incident et s’assurer que chacun connaît ses rôles et responsabilités.
Avoir à votre disposition un plan de réponse aux incidents aidera votre organisation à minimiser les dommages, les perturbations et le stress. Mais, en fin de compte, la meilleure préparation consiste à empêcher qu’une cyberattaque ne se produise en premier lieu, notamment grâce à des test d’intrusion continus de vos réseaux contre les menaces courantes. Un audit de préparation aux ransomwares vous permet également de traiter toutes les vulnérabilités qui pourraient facilement être exploitées par une attaque de ransomware.
Contactez-nous si vous avez besoin d’aide pour évaluer vos risques d’être victime d’une cyberattaque.