Temps de lecture estimé : 10 minutes
La cybersécurité concerne toutes les entreprises et tous les secteurs d'activité. La gestion des cyberattaques est un problème « global » qui concerne toutes les équipes de l'entreprise. Il s’agit également d’une question humaine et opérationnelle, plutôt que simplement technique.
Aujourd'hui, chaque organisation dépend dans une certaine mesure de la technologie et des télécommunications. La question n'est plus de savoir "si" un cas de violation de la sécurité informatique se produira, mais plutôt de savoir "quand" cela arrivera.
Lorsqu'une violation est découverte, il est essentiel d'agir de manière globale et rapide sans quoi l'entreprise risque une plus grande responsabilité. L'organisation doit suivre six étapes critiques pour y faire face.
Il est important de garder à l'esprit que ces étapes ne sont pas séquentielles. Dans la pratique, il sera nécessaire de penser à la plupart d'entre elles de manière parallèle, en particulier au début de la rupture. Lorsque les priorités seront de la contenir afin d'atténuer les effets de la violation, les risques de dommages supplémentaires ou de perte de données.
En cas d’incident, une équipe d’intervention doit être formé et inclure toutes les parties prenantes internes pertinentes :
Dans ce cadre, il sera également nécessaire de vérifier si les pertes résultant d'une cyberattaque sont couvertes par les polices d'assurance d'entreprise existantes de l'organisation.
Lorsqu'il y a une assurance en place, l'organisation devra examiner les politiques pertinentes pour déterminer si et quand les assureurs doivent être informés de la violation. Certaines polices couvrent les coûts légaux et de réparation, mais seulement à partir de la date de notification.
À la suite d’une violation, la première étape d’un point de vue technique consistera à sécuriser les systèmes informatiques afin de contenir la violation et d’éviter qu’elle ne se propage.
Cela peut signifier qu'une organisation doit isoler ou suspendre une partie compromise de son réseau de manière temporaire, voire déconnecter tout son réseau. Cela peut bien sûr être extrêmement perturbant et potentiellement coûteux pour l’entreprise.
Il est également nécessaire de déterminer quand et comment la violation est intervenue et si d'autres systèmes ont été compromis. Bien entendu, il convient de s'assurer que toute nouvelle tentative d'intrusion soit détectée immédiatement.
Une enquête doit être menée sur cette violation, ses effets et sur les mesures correctives à prendre. L'organisation devra décider qui doit diriger cette enquête et s'assurer qu'elle dispose des ressources appropriées.
Lorsqu'il y a un risque d'implication d'employés dans l'infraction, l'enquête doit également tenir compte de la législation du travail applicable. L'équipe d'enquête doit donc consulter et associer les représentants des ressources humaines, selon le cas.
Enfin, l'équipe chargée de l'enquête devra s'assurer de documenter toutes les mesures prises, dans la mesure où celles-ci pourraient être nécessaires dans le cadre de toute notification réglementaire à soumettre.
En pratique, les enquêtes sont généralement itératives : de nouvelles pistes d’interrogation apparaîtront à mesure que les circonstances entourant la violation deviennent plus claires.
En cas d'infraction, il est important de rappeler les conclusions des enquêtes sur les politiques et procédures en place et sur le plan de réaction aux incidents. Il convient de veiller à ce que les employés reçoivent un préavis et une formation appropriés. Les régulateurs sont souvent aussi intéressés par ce qui a été fait pour remédier aux processus à venir que par la violation elle-même.
Vous souhaitez connaître les prochaines étapes, consultez la deuxième partie de cet article dès maintenant 👉 Répondre à une cyberattaque en 6 étapes clefs suite 2/2.