Pre-Incident Planning: 5 Things to Document in an Incident Response Plan
Planification préincident :
Parce que le moment venu, vous n’aurez pas le temps de chercher cette information.
La plupart des guides de préparation en sécurité informatique se concentrent sur les mesures à prendre après le début d’une attaque. Isoler les appareils infectés. Contacter votre firme d’intervention en cas d’incident. Aviser le service juridique. Ce sont de bons conseils, mais ils ne sont utiles que si vous savez déjà qui appeler, où se trouvent vos sauvegardes et quels systèmes sont essentiels à la survie de l’entreprise.
Le problème, c’est que les premières heures d’un incident de rançongiciel sont chaotiques. Des décisions qui devraient se prendre en quelques minutes prennent beaucoup plus de temps lorsque l’information nécessaire est dispersée dans des chaînes de courriels, dans la mémoire organisationnelle ou dans des systèmes qui peuvent désormais être inaccessibles. Ce n’est pas une défaillance technologique. C’est une défaillance de documentation — et elle est entièrement évitable.
Ce qui suit n’est pas un plan d’intervention en cas d’incident. Il s’agit de quelque chose de plus simple et immédiatement pratique : cinq catégories essentielles d’information que votre équipe doit documenter et rendre accessibles avant qu’un incident ne survienne. Constituer cette liste ne prendra pas beaucoup de temps. Ne pas l’avoir sous la main lorsque vous en aurez besoin vous en coûtera bien davantage.
Lorsqu’un incident de sécurité se produit, le premier réflexe est généralement de prendre le téléphone. Le problème, c’est que plusieurs équipes ne savent pas toujours qui elles devraient appeler.
Votre documentation d’escalade doit inclure les coordonnées de votre équipe d’intervention en cas d’incident, des contacts principaux et de votre partenaire DFIR. Ajoutez également le processus d’engagement, les coordonnées de votre conseiller juridique (ayant de l’expérience en protection des renseignements personnels), ainsi que le contact pour les réclamations de votre assureur en cybersécurité, avec votre numéro de police.
La documentation d’escalade doit contenir les contacts clés et les détails de la police nécessaires en cas d’incident. Plus précisément, elle doit inclure :
Équipe d’intervention en cas d’incident et responsables
Coordonnées de votre équipe interne d’intervention en cas d’incident et de ses responsables
Partenaire DFIR
Coordonnées de votre partenaire en expertise numérique et intervention en cas d’incident (DFIR), y compris son processus d’engagement.
Conseiller juridique
Coordonnées de votre conseiller juridique externe, en vous assurant qu’il possède une expérience en matière de protection des renseignements personnels.
Assurance cybersécurité
Le contact pour les réclamations de votre assureur en cybersécurité et votre numéro de police.
Ce dernier élément est celui qui manque le plus souvent. Les polices d’assurance en cybersécurité prévoient généralement des délais de déclaration précis, et les manquer peut compliquer votre réclamation exactement au moment où vous pouvez le moins vous permettre des complications. Connaître votre contact pour les réclamations et votre numéro de police avant qu’un incident ne survienne est essentiel.
Dernier point concernant l’assurance en cybersécurité : conservez votre police en lieu sûr et séparément de vos systèmes principaux. Des acteurs malveillants ayant circulé dans votre réseau avant de déclencher le chiffrement pourraient avoir accès aux documents qui y sont stockés. Les renseignements relatifs à votre police ne devraient pas s’y trouver.
Quand tout s’accélère, vous ne voulez pas perdre de temps à chercher un numéro de téléphone.
Les acteurs malveillants s’attaquent d’abord aux sauvegardes. Ce n’est pas une hypothèse. C’est un modèle constant que DriveSavers a observé dans de nombreux incidents de rançongiciel. Avant de chiffrer les systèmes de production, les attaquants repèrent et compromettent souvent l’infrastructure de sauvegarde pour éliminer la voie de récupération la plus simple pour la victime. Lorsque le chiffrement commence, les sauvegardes peuvent déjà être supprimées.
Cela devrait orienter votre réflexion sur la documentation des sauvegardes. Il ne suffit pas de savoir que des sauvegardes existent. Votre équipe doit pouvoir évaluer rapidement l’intégrité des sauvegardes en situation d’incident, ce qui signifie que l’architecture doit être suffisamment documentée pour appuyer cette évaluation avant que quiconque ne soit sous pression.
Documentez l’emplacement des sauvegardes (sur site, hors site et dans le nuage), la façon dont les tâches de sauvegarde s’exécutent et selon quel horaire, ainsi que les procédures de restauration étape par étape.
Considérez que vos sauvegardes pourraient être compromises tant que vous n’avez pas confirmé le contraire.
En cas d’incident de sécurité, vous ne pourrez pas tout restaurer en même temps. Les décisions sur ce qui doit être rétabli en premier seront prises rapidement, sous pression, par des personnes qui auront peut-être très peu dormi. Ces décisions se prennent beaucoup mieux à l’avance, sans pression.
Votre liste des données critiques doit identifier les systèmes essentiels au fonctionnement de l’entreprise, les ensembles de données nécessaires aux activités quotidiennes, ainsi qu’un ordre de priorité clair pour la restauration : essentiels versus souhaitables.
Soyez honnête quant à ce dont l’entreprise dépend réellement par rapport à ce qui est simplement important. Cette franchise est beaucoup plus difficile à maintenir au milieu d’un incident en cours. Priorisez les ensembles de données essentiels à restaurer avant de vous attarder aux éléments souhaitables. Tout ne peut pas être rétabli en premier, et le savoir d’avance représente un avantage opérationnel important.
En cas d’incident de sécurité, la reprise ne consiste pas seulement à restaurer des données — il s’agit de restaurer d’abord les bonnes données.
En cas d’incident de sécurité, la reprise ne consiste pas seulement à restaurer des données — il s’agit de restaurer d’abord les bonnes données.
Dans la plupart des environnements d’envergure, l’infrastructure de sauvegarde couvre plusieurs emplacements. La documentation sur les responsabilités doit préciser qui est responsable de chaque environnement de sauvegarde, les identifiants d’accès aux sauvegardes, aux instantanés et aux répliques, ainsi que l’emplacement des systèmes secondaires et des copies existantes.
Tenez compte du fait que les mêmes données existent souvent sous plusieurs formes : une sauvegarde principale, un instantané, une réplique, une copie archivée sur bande ou dans un environnement infonuagique secondaire. Dans les scénarios où les sauvegardes principales ont été compromises, savoir où chercher ailleurs peut faire une différence importante.
Une cartographie complète des responsabilités représente, en pratique, une cartographie de votre surface de reprise. Plus elle est détaillée avant un incident, plus vous aurez d’options pendant celui-ci.
Les mêmes données existent souvent sous plusieurs formes. Savoir où chercher élargit les options de reprise.
La réussite de la reprise opérationnelle après une cyberattaque dépend largement des fournisseurs qui fournissent les produits et services soutenant votre infrastructure. Il est donc essentiel de documenter leurs processus d’escalade et leurs canaux de soutien avant qu’un incident ne survienne.
La liste des contacts fournisseurs doit inclure les fournisseurs requis pour rétablir les opérations essentielles, leurs canaux de soutien et processus d’escalade, ainsi qu’un partenaire en récupération de données pour les situations où les sauvegardes et les outils de déchiffrement n’ont pas fonctionné.
Ce troisième élément est celui que la plupart des organisations omettent entièrement. L’échec des sauvegardes et l’échec des outils de déchiffrement ne sont pas des cas rares et isolés. Ce sont des résultats réalistes d’une cyberattaque bien exécutée. Identifier et documenter à l’avance un partenaire professionnel en récupération de données signifie que vous n’aurez pas à évaluer des fournisseurs au pire moment de l’année pour votre organisation. Cela signifie aussi que votre équipe d’intervention en cas d’incident dispose d’une voie de récupération parallèle, plutôt que d’attendre un seul point de résolution.
Documenter ces relations à l’avance garantit que, lorsque la reprise débute, votre équipe met en œuvre un plan — plutôt que d’en chercher un.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)