Réponse à incident : 5 conseils pour réussir

Réponse à incident : 5 conseils pour réussir

Selon Gartner, les RSSI se détournent cette année de l’approche centrée sur la prévention des incidents de sécurité. Les dépenses, dans le monde entier, devraient progresser de près de 8 %.

Gartner estime que 90 Md$ seront investis dans la sécurité informatique cette année, soit 7,6 % de plus qu’en 2016. Les dépenses en la matière devraient atteindre 113 Md$ en 2020. Pour le cabinet, jusqu’à cet horizon, l’amélioration des capacités de détection et de réponse aux incidents devrait constituer l’une des principales priorités des décideurs.

La réponse à incident est devenue un enjeu clé de la cyber-sécurité.

Le MagIT fait le point dans cette deuxième partie de ce Guide Essentiel qui vous donne des conseils précieux pour une stratégie réussie. Disponible en téléchargement gratuit !

Et dès à présent, un aperçu du premier conseil de ce guide :

Retirer tous les bénéfices d’une prestation de réponse à incident

Toutes les entreprises n’ont pas les moyens de réagir seules aux incidents de sécurité informatique. Le recours à des tiers est alors indispensable. Mais il nécessite une préparation.

Si les grands groupes réorientent leurs stratégies de sécurité des systèmes d’information vers la réponse aux incidents, celle-ci n’a encore rien de trivial. De nombreux biais psychologiques peuvent affecter un processus complexe et parfois lourd. L’automatisation, de plus en plus regardée comme indispensable en la matière – comme en témoignait récemment la NSA – ne saurait toutefois tout faire. Et cela quand bien même elle serait accessible à tous. Ce qui reste loin d’être le cas, malgré des efforts de démocratisation. La réponse aux incidents reste finalement encore largement affaire d’hommes et de processus. Et en l’absence des ressources internes nécessaires, le recours à des prestataires externes s’avère indispensable. Mais comment retirer tous les bénéfices de telles interventions ?

Renaud Templier, directeur des activités Risque & Sécurité chez Devoteam, souligne que « faire appel à une prestation externe pour répondre à un incident cyber est toujours délicat ». Et cela passe par l’établissement d’une « une relation de confiance, qui sera bien évidemment appuyée par un cadre contractuel, avec son/ses prestataires en gestion des incidents ». Car il s’agit ainsi de « réduire de manière anticipée, le temps entre la détection d'un incident et l'intervention sur place des experts », un point crucial : « il est particulièrement nécessaire d'anticiper les besoins logistique, physique et physiologique des intervenants ».

Gagner du temps

Dans le même esprit, Agnieszka Bruyere, directrice des services de sécurité d’IBM France, souligne l’importance de la préparation : « il faut mettre en place un dispositif de réponse aux incidents à l'échelle de l'entreprise. Celui-ci doit prendre en compte tous les futurs intervenants, de l'équipe de sécurité aux métiers en passant par la production informatique. Pour cette définition, l'entreprise peut capitaliser sur les processus et les capacités qui ont été développées pour son plan de continuité de l’activité (PCA) ou son plan de reprise de l’activité (PRA). Ce dispositif doit être mis en place de bout en bout, de la détection de l'incident à sa résolution. Une prestation de réponse à incidents peut couvrir l'expertise et l'assistance technologique ainsi qu’organisationnelle pour la définition des processus de réponse à incident, et en cas d’incident, une assistance à résolution. Le rôle du client est clef, il connait le contexte de l’entreprise et la matrice organisationnelle, c’est donc à lui qu’il revient de valider le dispositif ».

Yann Fareau, responsable Business Development EMEAR chez Cisco, apporte un éclairage supplémentaire : « lors d'un piratage ou incident de sécurité, le temps est toujours ce qui manque le plus. Gagner du temps permet de disposer d’un certain répit pour rassembler ses idées, réfléchir sur la situation et planifier la réponse la plus adaptée à l’incident. Pour cela il est indispensable d’avoir défini au préalable un plan de réponse à incident ».

Sur le plan technique, la préparation peut toutefois s’avérer lourde. Pierre-Yves Popihn, directeur technique de NTT Security France, estime ainsi qu’en amont, « il faut mettre en place les outils qui permettent d’avoir une vue complète du réseau en temps réel ». Et cela ne serait-ce que pour pouvoir fournir « un maximum d’informations sur les éléments impactés en cas d’incident ». Pour autant, il relève également qu’une « gestion efficace des incidents ne passe pas que par des investissements technologiques. Il faut établir au préalable un plan intégrant les processus et les intervenants ainsi que leur rôle et responsabilité en cas d’attaque ».

Extrait d'un article de Valéry Marchive, publié en octobre 2016 sur LeMagIT

Découvrez dès maintenant l’intégralité de cet article, disponible en téléchargement gratuit ! 

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets