En cybersécurité, la gestion des incidents, ne peut pas être un processus linéaire, il s’agit plus d’un cycle comportant une préparation, une détection et un confinement de l’incident, d’atténuation et de reprise. La phase ultime consiste à tirer les enseignements de l’incident en vue d’améliorer le processus et de se préparer pour les incidents futurs, mais il ne faut jamais confondre problème et incident, car le problème peut résulter de plusieurs incidents, et des incidents non résolus finissent pas devenir de vrais problèmes.
Gestion des incidents en Cybersécurité
Cybersécurité, comment fonctionne la gestion des incidents. les cyberattaques continuent toujours d’impacter durement les entreprises. Depuis quelques années, elles ne concerneraient plus les grandes entreprises, comme c’était le cas avant.
Selon une étude faite en 2021, une grande partie (43 %) des cyberattaques viseraient les petites entreprises, alors que ces dernières sont de manière générale peu (ou moins) armées pour se défendre efficacement face à ce type de risques. Cela signifie qu’aucune organisation n’est aujourd’hui à l’abri des pirates informatiques.
Pourtant, malgré ce chiffre accablant, aujourd’hui de très nombreuses entreprises ne disposent pas encore de procédure ou méthode de gestion des incidents de cybersécurité. Si vous aussi vous en faites partie, il est temps de prendre au sérieux les menaces de cybersécurité. Et cela commence par la mise en place d’un plan de gestion des incidents de cybersécurité adapté.
Cybersécurité, comment fonctionne la gestion des incidents ? C’est la question à laquelle nous allons répondre dans cet article, essayons d’expliquer au mieux, comment on peut améliorer la gestion des incidents.
Qu’est-ce qu’un incident de cybersécurité ?
Un incident de cybersécurité fait référence à un événement qui pourrait avoir un impact négatif sur l’organisation, ses systèmes informatiques, l’état de ses matériels informatiques, sur l’intégrité de ses données données ou encore sur la continuité de ses services.
Parmi les types d’incidents de cybersécurité les plus courants, on peut notamment citer :
- Les tentatives d’accès non autorisés aux systèmes ou aux données ;
- Les attaque par élévation de privilèges : l’attaquant fait le nécessaire pour obtenir un accès au système d’information, puis essaie d’obtenir des privilèges de niveau plus élevé pour véritablement atteindre ses véritables objectifs.
- Les menaces internes : malveillance de certains employés, négligence, erreur de manipulation…
- L’hameçonnage ;
- Les logiciels malveillants ;
- Les attaques par Déni de service (DoS) ;
- Les attaques de l’homme du milieu ;
- Les attaques par force brute ;
- Les attaques des applications web ;
- Les téléchargements furtifs (drive-by download)
- Les injection SQL.
- Le Cross-site scripting (XSS)
La gestion des incidents de cybersécurité, c’est quoi ?
La gestion des incidents de cybersécurité est la façon dont l’organisation gère les événements négatifs inattendus. Les objectifs de la gestion des incidents sont de réduire l’impact sur l’organisation, ses données et ses systèmes et de rétablir le plus rapidement possible les opérations commerciales normales.
Elle vise aussi à identifier les incidents le plus rapidement possible et d’obtenir plus d’informations à leur sujet afin de savoir comment y répondre. La gestion des incidents de cybersécurité s’intéresse également à l’étude de gravité et le classement des incidents, et ce, pour être en mesure d’y répondre rapidement et efficacement afin de pouvoir contenir les dégâts qu’ils peuvent occasionner.
La mise en œuvre de contrôles et contre-mesures pour réduire le risque que de futurs incidents ne se produisent fait aussi partie de ses nombreux objectifs.
Qui sont concernés par la gestion des incidents de cybersécurité ?
Il est important de rappeler que la gestion des incidents de cybersécurité n’implique pas que le service informatique ou le service de sécurité informatique. Elle concerne à peu près tous les départements de l’entreprise, notamment le service informatique, le service des ressources humaines, le service juridique, ainsi que tout service de relations publiques ou de relations avec les médias…
Tous ces départements peuvent et doivent contribuer à la gestion des incidents. Les RH par exemple peuvent y contribuer en ce sens que celui ou celle à l’origine de l’incident peut s’agir d’un employé interne. De son côté, le service juridique veut s’assurer que les gestionnaires procèdent de manière légale, éthique, avec une diligence raisonnable. Le service des relations publiques peut aussi souhaiter communiquer aux médias la bonne information au bon moment.
D’autres aspects de l’organisation sont également importants, tels que les programmes d’assurance et de risque, car ils seront à la fin de l’incident importants pour aider l’organisation à prendre en charge les coûts.
Quelle est l’importance d’un système de gestion des incidents ?
Vous devez disposer d’un système de gestion des incidents pour la collecte, le tri, la transmission et l’analyse des données en rapport avec les incidents. Une fois traité par le système de gestion des incidents, ces données aideront aussi dans l’anticipation et le traitement des incidents.
Pour détecter et gérer les événements liés à la sécurité, les experts suggèrent surtout les logiciels SIEM. Il s’agit d’outils fournissant une analyse en temps réel des alertes de sécurité.
Pour détecter les menaces, les anomalies, les cyberattaques, les failles de sécurité, les logiciels SIEM se concentrent sur l’analyse de fichiers journaux provenant de nombreuses sources de données telles que les périphériques (routeur, commutateur, serveur…), les applications exécutées (les applications métiers, les systèmes de détection d’intrusion…) et les systèmes d’exploitation.
Pourquoi vous devez élaborer un plan de réponse en cas d’incident ?
Si une politique de gestion des incidents énonce ce qui doit être fait, mais pas nécessairement les détails sur la façon dont les choses doivent être faites, ce n’est pas le cas d’un plan de réponse en cas d’incident. Ce dernier est un document indiquant à tous les membres de l’équipe ce qu’ils doivent faire et comment ils doivent le faire si un incident connu apparaissait.
Le plan en question renferme les informations permettant à chacun de mener à bien ses responsabilités et indique comment les tâches essentielles aux opérations d’intervention doivent être exécutées. Il indique aussi les rôles et les responsabilités de chaque membre de l’équipe, les activités et les ressources à protéger si tel incident survient ainsi que les ressources les plus précieuses qu’il faut à tout protéger quoi qu’il arrive.
L’importance d’un plan de reprise après sinistre
Ce plan liste et explique les tâches à faire pour permettre de ramener rapidement l’organisation à un état opérationnel à la suite d’un incident. L’état opérationnel visé peut ne pas être total, l’essentiel est surtout d’atteindre un niveau acceptable de continuité des activités pour permettre à l’organisation de traverser la période de crise.
Par ailleurs, quelle que soit la nature de la catastrophe ou de l’incident, sachez que vous ne pourrez pas tout remettre en marche d’un coup. Pour cette raison, vous devez hiérarchiser vos opérations et mettre en avant les opérations et les actifs dont vous avez besoin en premier, notamment les plus critiques qui permettront à votre entreprise de se remettre sur pied rapidement.
Par exemple, sachant qu’aucune entreprise ne peut se remettre sur pied ou encore fonctionner sans ses données, si vous les avez sauvegardées, vous devriez commencer par les restaurer. Cela signifie aussi que le choix d’une bonne solution de sauvegarde ainsi que des sauvegardes régulières des données doivent figurer dans votre plan de reprise après sinistre, voire dans votre plan de gestion de crise tout court.
Les 6 étapes essentielles de gestion des cyber-incidents
La gestion des cyber-incidents est un processus à plusieurs étapes :
La préparation aux incidents potentiels
Des incidents, malheureusement il y en aura toujours. Voilà pourquoi pendant que tout va bien, vous devez déjà vous préparer et aussi préparer tous les utilisateurs à faire face à un incident, voire à une crise. Parmi les mesures préparatoires qui doivent être prises, il y a notamment :
- La formation et sensibilisation du personnel afin d’éviter les incidents, à détecter les incidents potentiels, mais surtout à réagir de la bonne meilleure en cas d’incident ;
- La mise en place d’outils de surveillance et de détection d’incidents. Comme évoqué plus haut, il n’y a pas meilleurs que les logiciels SIEM pour surveiller et détecter les cyber-incidents.
- La mise d’un système d’alerte et notification : Comment allez-vous faire pour alerter tout votre personnel s’il y a une catastrophe imminente ? Comment notifiez-vous les premiers intervenants et les convoquez-vous ? Comment allez-vous entrer en contact avec votre équipe si tout le système informatique est compromis ?
Identification
Si vous êtes bien préparé et surtout bien équipé, l’identification des incidents peut être assurée automatiquement par les outils de surveillance et d’alerte et notification en place. Évidemment, cela ne signifie pas que l’équipe de la cybersécurité n’aura rien à faire lors de cette étape. Très souvent, les données fournies par les logiciels de surveillance doivent encore être interprétées pour une meilleure compréhension de la situation.
Confinement de l’incident
Vous devez répondre à l’incident détecté en activant le plan de réponse qui renferme les tâches à faire pour permettre le confinement de l’incident détecté.
Éradication des causes de l’incident
Une fois l’incident confiné, il convient ensuite de revenir sur les causes de cet incident et les éliminer complètement pour éviter qu’à l’avenir le même problème se reproduit.
Récupération
Pendant qu’une équipe se concentre sur l’éradication des causes de l’incident, dans le même temps une autre équipe doit activer le plan de reprise après sinistre permettant à l’entreprise de retrouver rapidement son état opérationnel.
Leçons apprises
Enfin, il convient d’effectuer un bilan de l’évènement afin d’en tirer les leçons nécessaires.
En conclusion
Il ne faut jamais mésestimer un incident, car si on le laisse tel quel, il peut se transformer en un véritable problème, d’où la nécessité de l’analyser, de le comprendre et surtout de le résoudre, car la crédibilité de votre structure peut en dépendre.
Selon la norme ITIL, un problème est la cause, d’un ou de plusieurs incidents, et les impacts négatifs pouvant en résulter sont tellement important, qu’il convient de toujours les analyser, et les résoudre, pour éviter le pire.
Antonio Rodriguez Editeur et Directeur de Clever Technologies.