Une entreprise préparée a plus de chances de lutter efficacement contre une cyberattaque

0

iT-NewsT (cyberattaque) – En matière de cybersécurité comme dans de nombreux autres domaines, le risque zéro n’existe pas. Si elle veut être efficace, une politique de protection doit non seulement s’appuyer sur la suppression des failles, mais aussi sur la capacité de l’entreprise à identifier rapidement les comportements suspects sur son réseau… et réagir aussi rapidement pour en limiter l’impact.

Cet objectif forme la réalité quotidienne des responsable de la sécurité des systèmes d’information (RSSI). Ils sont 86 % à penser que les cyberincidents sont inévitables. Rien de surprenant donc à ce que la majorité considère la rapidité et la qualité de la réponse comme les deux facteurs les plus importants dans la mesure de leur performance.

Toutefois, tandis que la mise en place d’un processus de réponse aux incidents est une nécessité, les RSSI restent confrontés aux défis organisationnels propres à chaque entreprise.

En effet, la réponse aux incidents est souvent perçue à tort comme le fait d’appliquer d’urgence un remède lorsqu’un incident survient. Or, ce processus commence avant même le début d’une attaque, et il ne se termine pas avec elle ! Celui-ci se compose en général de quatre étapes. La première consiste à former en amont le personnel concerné et la deuxième porte sur la détection d’incident. L’équipe dédiée doit ensuite neutraliser l’attaque et restaurer les systèmes touchés. Enfin, une fois le problème résolu, la stratégie de réponse doit être réexaminée afin d’éviter des situations similaires à l’avenir.

Ces activités nécessitent de faire appel à des professionnels. Malheureusement, ces experts ne sont pas nombreux. Les profils d’analyste en malware, de spécialistes capables de répondre à une attaque et de chasseurs de menaces sont très prisés et les candidats plutôt rares. Aussi, ces compétences sont chères. Il est ainsi de plus en plus compliqué pour les entreprises d’employer en interne une équipe à même de conduire l’ensemble du processus de réponse aux incidents. Dans ce cadre, l’externalisation, parce qu’elle plus économique et offre une meilleure flexibilité, représente une alternative intéressante.

Mais là encore, rien n’est simple : choisir un sous-traitant ne va pas de soi ! Pour être efficace, une équipe extérieure doit couvrir toutes les compétences essentielles en matière de réponse aux incidents : la recherche des menaces, l’analyse des malwares et les investigations numériques a posteriori. Il importe en outre que les prestataires possèdent des certifications indépendantes qui attestent de ces compétences. Néanmoins, les résultats sont probants. Les entreprises qui choisissent d’externaliser la réponse aux incidents sont en mesure d’instaurer des procédures plus rapides, à condition que l’équipe extérieure soit toujours d’astreinte et prête à intervenir.

Pour la plupart des grandes entreprises, une stratégie hybride, associant des intervenants extérieurs comme seconde ligne de réponse et une équipe interne en première ligne, constitue la solution la plus efficace : elle réunit les avantages et élimine les inconvénients des deux approches. Pour limiter les coûts d’un tel choix, des sociétés peuvent faire le choix d’un modèle plus économique en employant une équipe de réponse de premier niveau. Cette équipe interne doit pouvoir analyser l’incident en premier, puis le traiter selon la procédure ou bien le transmettre à des experts extérieurs.

Pour conclure, externaliser la réponse aux incidents ne signifie pas que l’entreprise s’exonère de toute responsabilité. Il est toujours indispensable de prévoir un plan. Pour réagir à temps, l’entreprise doit s’être préparée. Elle doit formuler des instructions précisant dans quel cas faire appel à une assistance extérieure, et pour quelles tâches. Un collaborateur interne à l’entreprise doit aussi être chargé de définir les priorités d’action et de coordonner la coopération entre les services internes et l’équipe externe. Ce rôle est essentiel si l’entreprise veut se prémunir au maximum des risques d’une cyberattaque.