Qu’est-ce que la réponse aux incidents ?
La réponse aux incidents (RI) est l’effort visant à identifier rapidement une attaque, à minimiser ses effets, à contenir les dommages et à remédier à la cause pour réduire le risque de futurs incidents.
Définissons la réponse aux incidents
Presque toutes les entreprises ont, à un certain niveau, un processus de réponse aux incidents. Cependant, pour les entreprises qui cherchent à établir un processus plus formel, les questions pertinentes qu’il faut se poser sont :
- Quelles sont les étapes pour activer les parties responsables impliquées dans la réponse à un incident si celui-ci apparaît ?
- À quel point votre plan d’intervention doit-il être complet et spécifique ?
- Avez-vous suffisamment de personnes (et les bonnes personnes) pour répondre de manière appropriée ?
- Quels sont vos SLA acceptables pour répondre à un incident et revenir à des opérations normales ?
Les réponses à ces questions ne seront très probablement pas optimales, car la plupart des entreprises présentent des lacunes dans un domaine ou plus, selon une étude du Ponemon Institute :
77 % des entreprises ne disposent pas d’un plan formel, plan appliqué de manière cohérente
57% indiquent que le temps de réponse s’est allongé
77% disent avoir du mal à recruter et à retenir le personnel de sécurité*
En moyenne, il faut 214 jours pour identifier une attaque malveillante ou criminelle, et 77 jours pour la contenir et la récupérer. Il est clair qu’une meilleure gestion de la réponse aux incidents est nécessaire pour protéger pleinement les organisations contre le nombre croissant et accéléré de menaces auxquelles elles sont confrontées chaque jour.
*Étude IBM : La réponse aux incidents de cybersécurité reste un défi majeur pour les entreprises
L’ABC de la réponse aux incidents
A. La bonne équipe – Pour fournir la réponse la plus efficace aux incidents, les experts du secteur suggèrent d’inclure les rôles suivants dans votre équipe, quelle que soit la taille de votre entreprise. Évidemment, l’équipe technique prendra la tête de l’équipe, mais d’autres secteurs fonctionnels de votre entreprise devraient être à bord, surtout si une attaque grave se produit. Une fois ces personnes identifiées, expliquez-leur quelles seraient leurs responsabilités en cas d’attaque grave, étendue et aux ramifications multiples : Réponse aux incidents, analyse de la sécurité, informatique, recherche sur les menaces, juridique, ressources humaines, communication d’entreprise, gestion des risques, direction et experts judiciaires externes en sécurité.
B. Le bon plan – Un plan complet de réponse aux incidents comprend au minimum les tactiques et processus suivants :
- Préparer et préparer l’équipe à gérer tout type de menace
- Détecter et identifier le type et la gravité d’un incident une fois qu’il s’est produit
- Contenir et limiter les dommages
- Déterminer son impact et les risques associés
- Trouver et éradiquer la cause profonde
- Mitiger et résoudre l’attaque
- Analyser et modifier le plan postattaque pour en prévenir d’autres
La communication est essentielle lorsqu’une attaque est en cours, assurez-vous donc d’établir un bon flux de communication dans le cadre de votre plan d’intervention.
C. Les bons outils – Avec un nombre croissant d’attaques inconnues, les bons outils peuvent être en mesure d’économiser beaucoup de temps et d’argent à votre entreprise – et cela aidera à protéger vos clients et la fidélité à votre marque.
L’information est un atout essentiel pour tout plan de réponse aux incidents. Pour cette raison, une solution de sécurité des points d’extrémité basée sur le cloud vous fournit généralement les outils les plus complets pour atténuer les attaques de la manière la plus rapide, y compris l’accès aux données clés par le biais de :
- La capture de données non filtrées fournit aux équipes de réponse un aperçu du comportement des points d’extrémité, et pas seulement des modèles et des comportements d’attaque précédemment découverts. C’est la clé pour raccourcir une enquête sur une attaque de plusieurs jours à quelques minutes, surtout compte tenu de la quantité croissante de méthodes d’attaque inconnues exploitées aujourd’hui.
- L’analyse des données offre une visibilité sur toute l’activité des points d’extrémité, aussi bien actuelle qu’historique. Avec les bonnes données, vous pouvez voir où l’attaque a commencé et identifier le chemin qu’elle a pris, ce qui aidera à y remédier plus rapidement.
- Les renseignements sur les menaces externes aident à identifier rapidement les menaces que vous n’avez pas encore vues, mais que d’autres entreprises ont vues. Encore une fois, si vous savez à quoi vous avez affaire, vous pouvez réagir plus rapidement.
- Les capacités de réponse en direct vous aident à remédier aux points d’extrémité distants et à éliminer les réimportations inutiles.
La troisième étude annuelle sur l’organisation cyber-résiliente
Pulse de l’industrie : l’externalisation est-elle la réponse à une mauvaise réponse aux incidents ?
Presque toutes les recherches sur les défis de sécurité auxquels les entreprises sont confrontées comprennent des statistiques sur la difficulté de recruter et de conserver du personnel de sécurité qualifié, comme l’ont fait 77 % des personnes interrogées dans l’étude Ponemon ci-dessus. Il y a une pénurie de près de deux millions de personnes pour les postes de sécurité critiques qui se rapproche rapidement à l’échelle mondiale.
Le manque de personnes compétentes en matière de sécurité peut avoir un impact sévère sur toute réponse à un incident, à tel point que les entreprises cherchent à externaliser les fonctions de sécurité de ce type. En fait, Gartner pense que les dépenses en services d’externalisation de la sécurité atteindront plus de 18 milliards de dollars en 2018, soit le deuxième segment de dépenses de sécurité après le conseil.
Vu la difficulté à embaucher les bonnes personnes, cela a du sens, car un service géré peut rapidement combler les lacunes que vous avez dans votre équipe de sécurité. Il peut vous aider à hiérarchiser les alertes, à découvrir de nouvelles menaces et à accélérer les enquêtes. Ces services sont généralement dotés d’experts en menaces hautement qualifiés, capables de surveiller en permanence l’environnement de votre entreprise, d’identifier les menaces émergentes et de fournir un accès aux services de sécurité essentiels lorsque votre équipe a le plus besoin d’aide.
*Gartner prévoit que les dépenses mondiales de sécurité atteindront 96 milliards de dollars en 2018, soit une hausse de 8 % par rapport à 2017
La réponse : Les bonnes personnes, le bon plan, les bons outils – et le bon fournisseur
Même si vous avez les bonnes personnes, le bon plan et les bons outils en interne, il est toujours possible que quelque chose se glisse, alors pourquoi prendre ce risque ? Il est utile de travailler avec le bon fournisseur qui peut vous offrir une plateforme de sécurité des points d’extrémité basée sur le cloud – ainsi que des capacités avancées de chasse aux menaces.
Comme mentionné ci-dessus, les experts en chasse aux menaces gérées peuvent surveiller votre environnement et informer votre équipe des menaces émergentes. Ces experts peuvent :
- Analyser, valider et hiérarchiser les alertes pour aider à mener les bonnes actions.
- Identifier les signes d’alerte précoce et les tendances et envoyer des avis de manière proactive pour garantir une réponse confiante.
- Découvrir les causes profondes, avec des feuilles de route qui fournissent un contexte supplémentaire pour rationaliser les enquêtes et l’analyse des causes profondes.
Une équipe de chasseurs de menaces peut également vous offrir une couverture et un triage des menaces sur l’ensemble de votre déploiement de points d’extrémité, afin que votre équipe puisse se concentrer sur les alertes les plus critiques. Et vous aurez accès à des renseignements sur les menaces mondiales qui vous aideront à garder une longueur d’avance sur les attaques futures.
Renseignements sur les menaces
Pare-feu de nouvelle génération
.Generation Firewall
Produits et solutions de sécuritéVMware
.