Friday, 23 February, 2018
HomeConseils PratiquesQue faire après une cyberattaque

Que faire après une cyberattaque

Les intrusions sont désormais un élément incontournable du monde connecté. Lors de la conférence MIT Sloan CIO Symposium, qui se tenait le 23 mai dernier à Cambridge, Massachusetts, des experts ont donné des pistes pour minimiser les dégâts.

Que faire en priorité après une fuite d’informations ? C’était une des question abordées lors d’un conférence du MIT le 23 mai dernier. (Crédit IDG)

Depuis plus d’une décennie, les experts en sécurité savent qu’en matière de piratage, la question que devrait se poser chaque entreprise n’est pas « si », mais « quand ». C’est ce sujet qui a été abordé mercredi dernier lors du MIT Sloan CIO Symposium au cours d’une table ronde intitulée on ne peut plus clairement : « Votre entreprise a été victime d’un piratage. Que faire ? » En effet, parce qu’il est impossible de garantir une solution 100 % efficace pour empêcher l’intrusion « d’adversaires déterminés » dans les systèmes informatiques, l’essentiel de la réflexion sur la protection des données se concentre désormais sur la réponse aux incidents (IR).

Ainsi, selon les intervenants, si après une attaque, l’entreprise victime prend les bonnes mesures rapidement, elle peut minimiser les dégâts, même si les pirates parviennent à agir à travers son réseau. « Le piratage est une action », a déclaré Andrew Stanley, CISO de Phillips. « La violation est le résultat d’une série d’évènements. Or, souvent, nous nous intéressons plus au piratage lui-même qu’à la violation. Nous voulons savoir comment, pourquoi, quand et où, connaître les motivations des auteurs. En général, les cadres dirigeants veulent avoir des détails sur le piratage plus que sur la violation. Or, c’est en répondant à cette question que l’on peut mettre en place une réponse plus efficace, et donc limiter l’impact du piratage ».

Notifier les autorités légales

James Lugabihl, directeur execution assurance chez ADP, a convenu que « le temps de réaction et la capacité à stopper une attaque » étaient des facteurs essentiels pour limiter l’impact d’une violation. D’autre part, il a également estimé qu’il était crucial de prendre son temps pour réagir et de ne rien décider sans avoir une information précise sur la situation. « C’est comme dans un scénario catastrophe », a-t-il déclaré. « Il faut beaucoup de patience pour ne pas réagir trop vite. Un grand nombre d’informations sont peut-être incomplètes, et il est important d’organiser sa défense après avoir réuni tous les éléments. Ce n’est pas un sprint, c’est un marathon. Il faut se donner du temps pour analyser les données et ne pas décider d’un plan d’action en se basant sur une information incomplète ». Ensuite, une fois que l’on dispose des bonnes informations, il est possible de « pister et de supprimer » les intrus malveillants et de mieux comprendre leurs intentions.

Les deux intervenants ont également souligné que les exigences en matière de notification légale pouvaient varier d’un pays à l’autre, voire d’un état à un autre. Parfois, l’entreprise victime voudrait éviter d’informer les autorités judiciaires sur un vol de données. C’est toutefois obligatoire en France quand il s’agit de données clients. « Les dirigeants n’aiment pas communiquer sur ces sujets, car l’information devient vite publique », a déclaré Andrew Stanley. « Mais un piratage de données peut également affecter la vie privée des individus, et aucune entreprise n’a envie de devenir le bras exécutif du gouvernement ».

Effectuer des simulations

Mis à part la question de l’information des autorités légales, Andrew Stanley a déclaré que l’action la plus importante consistait à collecter des informations qui permettaient de préciser l’analyse. « Il s’agit ici d’évaluer l’intention », a-t-il déclaré. « Si la campagne de phishing est ciblée, on peut parler d’une attaque. Dans ce cas, l’entreprise doit se demander quelle est la cible et ce qu’il est possible de faire ». Les deux experts ont également parlé de l’importance de se préparer aux attaques. « Pour savoir comment répondre aux incidents en cas de piratage, les entreprises devraient effectuer des exercices de simulation, des tests de pénétration et simuler des situations de crises ». Mais, comme l’a souligné James Lugabihl, « il est nécessaire d’adopter une pratique irréprochable pour fournir une réponse efficace. Une mauvaise pratique est souvent associée à une mauvaise réponse ».

La modératrice Keri Pearlson, directrice exécutive, Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity, a demandé aux experts comment prendre en compte le fait que « les gens étaient le maillon le plus faible de la chaîne de sécurité ». À la question, James Lugabihl a répondu que les employés n’étaient pas totalement responsables de cela. « L’environnement dans lequel ils ont été placés ne leur permet pas de faire leur travail », a-t-il déclaré. « J’ai vu des professionnels de la sécurité se faire piéger par des campagnes de phishing, car elles sont de plus en plus sophistiquées. Il faudrait les encourager à parler plus ouvertement de ces évènements. Mais pour cela, nous devons rendre les choses plus faciles et plus transparentes ».

Share With:
Rate This Article
No Comments

Leave A Comment

*