Skip to main content

Cinq étapes pour que votre entreprise soit prête à intervenir en cas de cyberincident

En l’espace de quelques semaines, au début de 2020, le monde du travail a été bouleversé quand des millions de travailleurs sont passés pour une période indéterminée au télétravail en raison de la pandémie de COVID-19. L’année 2020 a été marquée par de nombreux changements, dont une augmentation considérable des cyberattaques à l’échelle mondiale :

  • Les incidents suspects liés à l’Internet des objets (IdO) dans les ménages ont connu une augmentation de 46 % au premier semestre de 2020[1];
  • De tous les courriels portant sur la COVID-19 reçus en mai et juin 2020 seulement, 60 % ont été considérés comme frauduleux[2];
  • Le nombre d’attaques par rançongiciel signalées à l’échelle mondiale a augmenté de 715 % de 2019 à 2020[3], et les paiements de rançon ont augmenté de 60 % depuis 2019[4].

En 2020, de nombreuses organisations se sont donc adaptées aux processus des nouvelles entreprises et ont examiné attentivement la façon dont elles utilisaient la technologie pour poursuivre leurs activités. Le virage des conditions de travail a entraîné d’importantes innovations technologiques, alors que 69 % des conseils d’administration ont accéléré leurs initiatives numériques à la suite des perturbations liées à la COVID-19[5].

Comme pour tout changement au modèle d’affaires, les éléments nouveaux et accrus du cyberrisque apportés durant la pandémie doivent aussi être pris en compte. Il est essentiel que les hauts dirigeants, les services de sécurité de l’information et des technologies de l’information et les autres secteurs de l’organisation collaborent pour examiner tout plan d’intervention en cas d’incident en place et s’assurer qu’il reflète le nouvel ordre mondial dérivant de la pandémie.

Un plan d’intervention en cas d’incident est un ensemble d’instructions écrites qui décrivent l’intervention de l’organisation en cas d’événements de réseau, d’incidents liés à la sécurité et d’atteintes confirmées à la protection des données. Disposer d’une stratégie d’intervention en cas d’incident bien établie, englobant le personnel, les processus et la technologie, peut faire la différence entre une gestion de crise réussie et la perte du combat contre les auteurs de menaces toujours plus complexes.

Tenez compte des cinq étapes clés suivantes pour optimiser le plan d’intervention en cas d’incident et positionner la préparation de l’organisation aux interventions en cas d’incident :

 

Établir un plan d’intervention en cas d’incident

En 2020, près de neuf entreprises sur dix (88 %) ont déclaré n’avoir que des capacités d’intervention en cas d’incident « de base ou initiales »[6], malgré la hausse continue du nombre et de l’envergure des cyberattaques. Cette statistique dénote une planification insuffisante et reflète la tendance de certaines organisations à suivre des processus informels et ponctuels et à intervenir de façon réactive plutôt que proactive. Voici un simple point de départ : si votre entreprise n’a pas de plan d’intervention en cas d’incident, tenez compte des principaux risques et élaborez-en un. Un plan d’intervention en cas d’incident bien documenté, normalisé et reproductible, décrivant les rôles et responsabilités clés, devrait pouvoir être mis en œuvre au besoin.

 

Ressources humaines, processus, technologie

Un processus d’intervention en cas d’incident efficace doit tenir compte des éléments de l’entreprise et de la façon dont ils sont touchés ou dont ils peuvent être mis à profit par le processus. Cela englobe les ressources humaines, les processus et la technologie. Tenez compte des équipes, de la capacité et de l’expertise au sein de votre entreprise : comment vos employés sont-ils touchés et comment peuvent-ils aider? Les outils peuvent être essentiels à la détection, à la prévention et aux interventions. Tenez compte de l’outil qui s’applique à chaque cas d’utilisation et déterminez s’il est prêt à faire le travail. Les processus et les communications sont un thème important. Comme pour les autres éléments, il est essentiel de les rendre cohérents, reproductibles et clairs. Des processus et des méthodes solides peuvent aider les organisations à gérer les incidents plus rapidement, plus efficacement et de manière uniforme.

 

Comprendre vos risques

Un plan d’intervention en cas d’incident doit s’harmoniser avec les processus généraux de gouvernance de la sécurité de l’organisation qui soutiennent, définissent et dirigent les efforts en matière de sécurité. Un aspect important de la gouvernance de la sécurité est la gestion des risques, soit la détermination des principaux facteurs de risque et scénarios de votre entreprise, puis l’évaluation de la solidité des contrôles pour vous protéger contre ceux-ci. Cette gestion peut aider les entreprises à mieux comprendre le niveau de cyberrisque et la priorité accordée aux mesures d’atténuation et d’intervention.

 

Comprendre les étapes d’intervention

Il est essentiel de bien comprendre les processus d’intervention en cas d’incident (qui fait quoi, quand, comment et pourquoi) pour assurer l’exécution et la mise en œuvre efficaces d’un plan d’intervention en cas d’incident. Il existe des cadres qui fournissent des directives sur les processus d’intervention en cas d’incident, comme NIST ou SANS, ainsi que des activités supplémentaires pour aider, dont l’élaboration de modèles de catégorisation des incidents et même de manuels techniques. Un flux de travail structuré pour l’intervention en cas d’incident favorisera l’adoption d’une approche uniforme et reproductible à l’égard de la gestion d’incident, et grâce à des activités d’amélioration régulières, il sera possible de réduire le temps d’intervention pour résoudre les scénarios critiques. Les plans, les flux de travail et les manuels d’intervention en cas d’incident changent la donne et s’appliquent à l’ensemble de la fonction de sécurité.

 

Tester, passer en revue et mettre à jour

Tout plan d’intervention en cas d’incident doit être évalué régulièrement afin que vous puissiez déterminer dans quelle mesure il s’applique à la situation actuelle de votre entreprise. Une bonne façon de faire est de le tester, de le passer en revue et de le mettre à jour avant toute crise possible au moyen d’exercices de simulation de cybermenace, que vous pouvez exécuter à intervalles réguliers avec les parties intéressées pour évaluer l’efficacité de votre plan.

 

La préparation aux interventions en cas d’incident n’est pas une responsabilité exclusive des TI

Une capacité établie d’intervention en cas de cyberincident doit être considérée de la même façon que le risque : elle évolue constamment au sein de votre entreprise. Une collaboration entre les fonctions de l’entreprise, ainsi qu’une planification minutieuse et un examen continu sont donc nécessaires. En plus d’aider les entreprises à intervenir quand elles en ont besoin, un processus d’intervention en cas d’incident bien rodé peut faire toute la différence entre un impact majeur sur l’entreprise ou la poursuite des activités courantes en cas de cyberincident.


[1] https://www.bitdefender.com/files/News/CaseStudies/study/378/Bitdefender-Whitepaper-2020-Business-Threat-Landscape-Report.pdf

[2] https://www.bitdefender.com/files/News/CaseStudies/study/366/Bitdefender-Mid-Year-Threat-Landscape-Report-2020.pdf

[3] https://www.bitdefender.com/files/News/CaseStudies/study/366/Bitdefender-Mid-Year-Threat-Landscape-Report-2020.pdf. Page 14

[4] Coveware Ransomware Marketplace Report, August 3, 2020

[5] https://www.gartner.com/en/newsroom/press-releases/2020-09-30-gartner-says-sixty-nine-percent-of-boards-of-directors-accelerated-their-digital-business-initiatives-folloing-covid-19-disruptions

[6] 2020, CyQu, Aon’s Cyber Solutions


Le présent document est offert à titre de ressource informationnelle aux clients et partenaires commerciaux d’Aon. Il vise à fournir des indications générales sur les expositions potentielles et n’a pas pour but d’offrir des conseils médicaux ou de traiter des questions médicales ou des situations de risque particulières. Compte tenu de la nature dynamique des maladies infectieuses, Aon décline toute responsabilité quant aux indications fournies. Nous encourageons vivement les lecteurs à se renseigner plus amplement sur la sécurité, la médecine et l’épidémiologie auprès de sources dignes de confiance, comme les Centers for Disease Control and Prevention et l’Organisation mondiale de la Santé. En ce qui a trait aux risques couverts, la question de savoir si une garantie s’applique ou si une police d’assurance répond à un risque ou à une situation donnée est subordonnée aux conditions des polices ou contrats d’assurance en cause et à l’appréciation des assureurs.

Bien que le plus grand soin ait été apporté à la production de ce document et que les renseignements qu’il contient aient été obtenus de sources jugées fiables, Aon n’en garantit pas l’exactitude, l’exhaustivité, la pertinence ni la convenance pour toute fin que ce soit ni pour toute partie du document, et n’assume aucune responsabilité pour toute perte subie de quelque façon que ce soit par une personne qui pourrait s’y fier. Tout destinataire de ce document est responsable de l’utilisation qu’il en fait. Les renseignements contenus dans ce document ont été compilés à partir des renseignements dont nous disposions à la date de sa publication.

Les descriptions, résumés et renseignements sur la couverture sont fournis à titre informatif seulement et ne modifient pas les modalités réelles d’une police d’assurance. La couverture est régie uniquement par les modalités de la police pertinente.