Accueil La réponse à incident

La réponse à incident

Alors que les brèches semblent inévitables, la capacité à bien répondre aux incidents devient essentielle. Les entreprises, pourtant, n’y consacrent pas encore suffisamment d’effort et de budget.

 

Cette petite phrase s’est imposée en quelques années dans les cercles de la cybersécurité. Vraie ou non, elle illustre surtout un changement dans l’approche du problème : on ne se contente plus de tenter d’empêcher les attaques, mais l’on accepte l’éventualité d’une crise majeure. Et l’on veut donc pouvoir la gérer au mieux. Cela implique de bouter l’attaquant hors du réseau et de reprendre le contrôle de ses actifs, mais aussi de limiter l’impact de l’incident sur l’activité et d’en tirer tous les enseignements (notamment en analysant a posteriori les données techniques de l’attaque)

De telles ambitions exigent des équipes extrêmement bien formées, aguerries et mobilisables rapidement 24h/24. Pourtant, un tel dispositif ne sera que rarement activé. Il est alors non seulement difficile de justifier son coût, mais aussi de maintenir son efficacité! C’est là qu’interviennent les prestataires de réponse à incident.

Ces derniers mutualisent l’expérience, l’expertise et les ressources humaines qui font défaut à leurs clients. Outre leur capacité de mobilisation plus importante, ces intervenants apportent également des connaissances et une pratique que les équipes internes ont parfois du mal à maintenir.

Les équipes internes essentielles au succès du projet

Pour autant, le rôle des équipes internes est crucial : elles connaissent parfaitement le terrain et l’activité et seront donc en mesure de guider efficacement les équipes externes.

La clé du succès d’un tel projet est ainsi une parfaite communication entre le prestataire et son client. En outre ce dernier doit faire l’effort d’anticiper l’intervention, notamment en documentant son réseau et ses procédures. Ainsi la signature d’un contrat de réponse à incident est presque un projet en soi !

Comment choisir un prestataire ?

Un bon prestataire de réponse aux incidents pourra prouver la qualité de ses intervenants (par leurs certifications notamment), leur disponibilité (qui sera encadrée contractuellement) et sa bonne connaissance des méthodes d’attaques du moment.

Le référentiel PRIS

Afin d’aider les entreprises à choisir le bon prestataire, l’ANSSI a créé un référentiel des prestataires de réponse à incident. À ce jour cela n’est toutefois qu’à titre indicatif, car aucun prestataire n’est encore qualifié, et seulement dix fournisseurs en cours de qualification ont accepté d’apparaître publiquement.        

 

Les points de vigilance

  • Personnes
    Assigner les bons contacts, être au clair sur les responsabilités de chacun, disposer des bonnes certifications.

  • Processus
    Documenter les actions qui doivent être menées par chaque entité, prendre en compte les obligations légales (préservation de la preuve), tracer chaque action.

  • Technologie
    Connaître son « terrain » technologique, les équipements et les solutions mises en oeuvre, leur état (correctifs, vulnérabilités…)

  • Information
    Collecter des informations sur l’état du système d’information avant et pendant l’attaque, le contexte de l’incident, son origine, ses leviers, ses impacts, les intervenants extérieurs.

 

L’incident : pas seulement une affaire IT !

La réponse à incident est un processus pluridisciplinaire. La gestion de la crise doit également impliquer des juristes, des représentants des ressources humaines et de la communication. Ils doivent être en mesure de travailler de concert avec les équipes IT et sécurité, afin d’assurer que l’entreprise traverse la crise en subissant le moins d’impact possible, globalement, et chacun dans leur domaine respectif. Un bon prestataire de réponse à incident sera en mesure de s’intégrer dans un tel dispositif.