Dix mesures clés à adopter
après une violation de données
Phil Muncaster
On estime que, dans le monde, les brèches de données coûtent aujourd’hui plus de 4,2 millions $ US par incident. Elles se produisent à une échelle sans précédent alors que les organisations développent leur infrastructure numérique – et étendent involontairement la surface d’attaque de l’entreprise. Aux US, le nombre de violations au troisième trimestre 2021 avait dépassé celui de l’année 2020. Il faut bien trop de temps à l’organisation moyenne pour trouver et contenir les violations de données –il faut en moyenne 287 jours.
Une fois que les alarmes se déclenchent, que se passe-t-il ? Voici ce qu’il faut faire et éviter de faire, après une violation.
· Rester calme
Une violation de données est une des situations les
plus stressantes dans lesquelles une entreprise se trouve, surtout
si l’incident a été causé par des rançongiciels, dont les cyber-attaquants
ont crypté des systèmes clés et exigent un paiement. Les réactions impulsives
peuvent faire plus de mal que de bien. S’il est important de remettre
l’entreprise en état de fonctionnement, il est crucial de travailler avec méthode.
Il faut passer en revue le plan de réponse aux incidents et comprendre
l’étendue de la compromission avant de prendre des mesures importantes.
5
étapes essentielles avant de subir une attaque de rançongiciel
La question n’est pas de savoir « si »,
mais « quand » votre organisation fera face à une violation de
sécurité, un
plan de réponse aux incidents est une pratique essentielle en matière de
cyber-sécurité. Cela nécessite une planification avancée. On peut suivre les
conseils de l’Institut
national des normes et de la technologie (NIST) des
US ou du Centre
national de cybersécurité (NCSC) du Royaume-Uni. Lorsqu’une violation
grave est détectée, une équipe de réponse préétablie, composée de parties prenantes
de toute l’entreprise, doit suivre les processus étape par étape. Il faut
tester ces plans périodiquement pour que tout le monde soit prêt et que le
document lui-même soit à jour.
La première étape après tout incident sécuritaire
majeur est de comprendre l’ampleur de l’impact sur l’entreprise. Cela servira
aux actions ultérieures, telles que la notification et la remédiation. Il faut
savoir comment les malfrats sont entrés et déterminer le rayon d’action de
l’attaque : quels systèmes ont été touchés, quelles données ont été compromises
et s’ils sont encore dans le réseau. C’est là que des experts en
criminalistique interviennent souvent.
Suite à une violation, il faut savoir où en est
l’organisation. Quelles sont vos responsabilités ? Quels sont les organismes de
réglementation qu’il faut informer ? Faut-il négocier avec les attaquants pour
gagner du temps ? Quand les clients et/ou les partenaires doivent-ils être
informés ? Le conseil juridique interne est le premier qui doit être informé.
Mais on peut aussi faire appel à des
experts en réponse aux cyber-incidents. C’est là que les détails légaux sur ce
qui s’est réellement passé sont essentiels, afin que ces experts puissent
prendre les décisions les plus éclairées.
Selon les termes du RGPD,
la notification au régulateur local doit avoir lieu dans les 72 heures suivant
la découverte d’une violation. Il est donc important de savoir quelles sont les
exigences minimales en matière de notification, car certains incidents peuvent
ne pas l’exiger. Une bonne compréhension de la taille du problème est
essentielle. Si l’on ne sait pas quelle quantité de données a été subtilisée ou
comment les malfrats sont entrés, il faut envisager le pire lors de la
notification au régulateur. Au Royaume-Uni, le bureau à l’information (ICO),
qui a contribué à l’élaboration du RGPD, propose des
lignes directrices utiles à ce sujet.
Quoi qu’il arrive avec le régulateur, il faut
probablement obtenir l’appui des forces de l’ordre, en particulier si le
malfrats se trouvent encore dans le réseau de l’organisation. Il est judicieux
de les mettre à contribution dès que possible. Dans le cas d’un rançongiciel,
ils peuvent vous mettre en contact avec des fournisseurs de sécurité et
d’autres tiers qui proposent des clés de décryptage et des outils
d’atténuation.
C’est bien évident. Cependant, le nombre de
clients/employés/partenaires à informer, ce qu’il faut leur dire et quand
dépendra des détails de l’incident et de ce qui a été volé. Il faut d’abord
publier une déclaration d’attente indiquant que l’organisation est au courant
d’un incident et qu’une enquête est en cours. Mais comme la rumeur s’amplifie très
vite, il faut rapidement donner plus de détails. Les équipes chargées de
l’informatique, de la communication et des affaires juridiques doivent
travailler en étroite collaboration sur ce point.
Une fois que la portée de l’attaque est connue et que les équipes d’intervention et d’analyse sont sûres que les malfrats n’ont plus accès au site, il est temps de remettre les choses en marche. Il peut s’agir de restaurer des systèmes à partir de sauvegardes, de remettre à niveau des machines compromises, d’appliquer des correctifs aux terminaux affectés et de réinitialiser les mots de passe.
· Commencer à renforcer la résilience face aux futures attaques
Les malfrats partagent souvent leurs connaissances dans les réseaux clandestins de la cybercriminalité. Ils reviennent parfois à plusieurs reprises pour compromettre les organisations victimes, notamment en faisant appel aux rançongiciels. Il est donc très important d’utiliser les informations glanées par les outils de détection et de réponse aux menaces et les outils de criminalistique pour s’assurer que les voies utilisées la première fois ne puissent plus l’être lors de futurs raids. Cela peut se traduire par des améliorations de la gestion des correctifs et des mots de passe, une meilleure formation à la sécurité, la mise en place de l’authentification multifactorielle (MFA) ou des changements plus complexes au niveau des personnes, des processus et de la technologie.
· Étudier les erreurs dans la réponse aux incidents
La dernière chose à faire consiste à tirer des
enseignements de l’expérience. Il s’agit en partie de renforcer la résilience
pour l’avenir, comme indiqué ci-dessus. Mais on peut aussi s’inspirer de
l’exemple des autres. L’histoire des violations de données est émaillée de cas
très médiatisés de mauvaise réponse aux incidents. Dans ce cas très
médiatisé, le compte Twitter d’une entreprise victime d’une
violation a tweeté quatre fois un lien d’hameçonnage, le confondant avec le
site de réponse aux violations de l’entreprise. Dans un autre cas, une grande
société de télécommunications britannique a été très critiquée pour
avoir diffusé des informations contradictoires.
Quoi qu’il arrive, les clients s’attendent de plus en plus à ce que les organisations avec lesquelles ils font affaire subissent des incidents de sécurité. C’est la façon dont on réagit qui déterminera s’ils resteront ou quitteront le navire et quels seront les dommages financiers et de réputation.