Planification de votre réponse à la violation

Une faille de données peut entraîner la fermeture de votre entreprise pendant une période critique, parfois pour toujours. cela peut certainement mettre votre avenir financier en péril et, dans certains cas, cela peut même vous conduire en prison. Mais rien de tout cela ne doit se produire, car si vous planifiez correctement, vous et votre entreprise pouvez récupérer et poursuivre vos activités, parfois en quelques minutes. En fin de compte, tout se résume à la planification.

La semaine dernière, nous avons discuté de la manière de se préparer à une violation de données. En supposant que vous l'ayez fait avant votre infraction, vos prochaines étapes sont relativement simples. Mais l'une de ces étapes de préparation consistait à créer un plan puis à le tester. Et, oui, cela va prendre beaucoup de travail.

La différence est que la planification préalable effectuée avant toute violation vise à minimiser les dommages. Après la violation, le plan doit être axé sur le processus de récupération et le traitement des problèmes consécutifs, s’il en existe. N'oubliez pas que votre objectif général, tout comme avant la violation, est de minimiser l'impact de la violation sur votre entreprise, vos employés et vos clients.

Planification de la récupération

La planification du rétablissement comprend deux grandes catégories. La première consiste à réparer les dommages causés par la violation et à veiller à ce que la menace soit réellement éliminée. La seconde prend en charge les risques financiers et juridiques qui accompagnent une violation de données. En ce qui concerne la santé future de votre organisation, les deux sont d'égale importance.

"Le confinement est essentiel en termes de récupération", a déclaré Sean Blenkhorn, vice-président, Ingénierie des solutions et services de conseil pour le fournisseur de protection et de réponse géré eSentire. "Plus vite nous pourrons détecter la menace, mieux nous pourrons la contenir."

Blenkhorn a déclaré que contenir une menace peut différer selon le type de menace impliqué. Dans le cas des ransomwares, par exemple, cela peut vouloir dire utiliser votre plate-forme de protection des terminaux gérés pour vous aider à isoler le logiciel malveillant ainsi que toute infection secondaire afin qu'il ne puisse pas se propager, puis à le supprimer. Cela peut également signifier la mise en œuvre de nouvelles stratégies afin de bloquer les futures violations, telles que l’équipement des utilisateurs d’itinérance et de télétravail avec des comptes de réseau privé virtuel (VPN).

Cependant, d'autres types de menaces peuvent nécessiter des tactiques différentes. Par exemple, une attaque visant à obtenir des informations financières, une propriété intellectuelle ou d'autres données de votre entreprise ne sera pas traitée de la même manière qu'une attaque par ransomware. Dans ce cas, vous devrez peut-être rechercher et éliminer le chemin d'entrée et trouver un moyen d'arrêter les messages de commande et de contrôle. Ceci, à son tour, nécessitera que vous surveilliez et gérez votre trafic réseau pour ces messages afin que vous puissiez voir d'où ils proviennent et où ils envoient des données.

"Les attaquants ont l'avantage du premier attaquant", a déclaré Blenkhorn. "Vous devez rechercher des anomalies."

Ces anomalies vous mèneront à la ressource, généralement un serveur, fournissant un accès ou exfiltrant. Une fois que vous avez trouvé cela, vous pouvez supprimer le logiciel malveillant et restaurer le serveur. Cependant, Blenkhorn vous avertit que vous devrez peut-être créer une nouvelle image du serveur pour vous assurer que les logiciels malveillants ont réellement disparu.

Étapes de récupération après violation

Blenkhorn a déclaré qu'il y avait trois autres choses à garder à l'esprit lors de la planification d'un rétablissement après une brèche:

1. La brèche est inévitable,
2. La technologie seule ne va pas résoudre le problème, et
3. Vous devez supposer que c'est une menace que vous n'avez jamais vue auparavant.

Mais une fois que vous avez éliminé la menace, vous n’avez effectué que la moitié de la récupération. L'autre moitié protège l'entreprise elle-même. Selon Ari Vared, directeur principal des produits chez CyberPolicy, un fournisseur d’assurance en ligne, il s’agit de préparer vos partenaires de reprise à l’avance.

"C’est là qu’un plan de reprise en ligne peut sauver l’entreprise", a déclaré Vared à PCMag dans un courrier électronique. "Cela signifie que votre équipe juridique, une équipe d'informatique judiciaire, votre équipe de relations publiques et vos collaborateurs clés savent à l'avance ce qu'il faut faire en cas de violation."

La première étape consiste à identifier à l’avance vos partenaires de reprise, à les informer de votre plan et à prendre les mesures nécessaires pour conserver leurs services en cas de violation. Cela ressemble à beaucoup de fardeau administratif, mais Vared a énuméré quatre raisons importantes pour lesquelles le processus en vaut la peine:

1. Si des accords de non-divulgation et de confidentialité sont nécessaires, ceux-ci peuvent être convenus à l'avance, ainsi que les frais et autres conditions, de sorte que vous ne perdiez pas de temps après une cyberattaque en essayant de négocier avec un nouveau fournisseur.
2. Si vous avez une cyber-assurance, votre agence peut avoir des partenaires spécifiques déjà identifiés. Dans ce cas, vous souhaiterez utiliser ces ressources pour vous assurer que les coûts sont couverts conformément à la politique.
3. Votre fournisseur d’assurance cyber peut disposer de directives concernant le montant qu’il est disposé à couvrir pour certains aspects et le propriétaire d’une PME s’assurera que ses honoraires de fournisseur respectent ces directives.
4. Certaines sociétés de cyberassurance auront les partenaires de recouvrement nécessaires en interne, ce qui en fera une solution clé en main pour le propriétaire de l'entreprise, car les relations sont déjà en place et les services seront automatiquement couverts par la police.

Aborder les problèmes juridiques et médico-légaux

Vared a déclaré que votre équipe juridique et votre équipe de police scientifique sont une priorité après une attaque. L’équipe de criminalistique fera les premiers pas de la récupération, comme l’a expliqué Blenkhorn. Comme son nom l'indique, cette équipe est là pour découvrir ce qui s'est passé et, plus important encore, comment. Ce n'est pas à attribuer le blâme; c'est pour identifier la vulnérabilité qui a permis la faille afin que vous puissiez la réparer. C'est une distinction importante à faire avec les employés avant l'arrivée de l'équipe de criminalistique afin d'éviter toute rancune ou angoisse excessive.

Vared a fait remarquer que l'équipe juridique chargée de remédier à la violation ne serait probablement pas composée des mêmes personnes qui gèrent les tâches juridiques traditionnelles de votre entreprise. Ils formeront plutôt un groupe spécialisé expérimenté dans la gestion des conséquences des cyberattaques. Cette équipe peut vous défendre contre des poursuites découlant de la violation, des relations avec les autorités de réglementation ou même des négociations avec les cyber-voleurs et leurs achats.

Pendant ce temps, votre équipe de relations publiques travaillera avec votre équipe juridique pour gérer les exigences de notification, communiquer avec vos clients pour expliquer la violation et votre réponse, et éventuellement même expliquer les mêmes détails aux médias.

Enfin, une fois que vous avez pris les mesures nécessaires pour remédier à la violation, vous devez regrouper ces équipes avec les dirigeants de niveau C, organiser une réunion et un rapport après action. Le compte rendu après action est essentiel pour préparer votre organisation à la prochaine violation en déterminant ce qui a bien fonctionné, ce qui a bien fonctionné et ce qui pourrait être fait pour améliorer votre réponse la prochaine fois.

Tester votre plan

• 6 choses à ne pas faire après une violation de données 6 choses à ne pas faire après une violation de données
• Données chiffrées compromises avec 4, 5 milliards d'enregistrements au premier semestre 2018 Données d'archives compromises avec 4, 5 milliards au premier semestre de 2018
• Cathay Pacific divulgue une violation de données touchant 9, 4 millions de passagers Cathay Pacific divulgue une violation de données touchant 9, 4 millions de passagers

Tout cela suppose que votre plan a été bien conçu et exécuté de manière compétente en cas de mauvaise chose. Malheureusement, cette hypothèse n'est jamais sûre. Le seul moyen d'être raisonnablement certain que votre plan a toute chance de réussir est de le pratiquer une fois qu'il est préparé. Les spécialistes que vous avez engagés et qui traitent les cyberattaques comme des événements réguliers de leur activité ne vous opposeront pas beaucoup à la pratique de votre plan - ils sont habitués à cela et s'y attendent probablement. Mais comme ils sont des étrangers, vous devrez vous assurer qu'ils sont programmés pour la pratique et vous devrez probablement les payer pour leur temps. Cela signifie qu’il est important d’en tenir compte dans votre budget, pas seulement une fois, mais régulièrement.

La régularité de cette base dépend de la manière dont vos employés internes répondent à votre premier test. Votre premier test échouera presque certainement dans certains aspects, voire dans tous les cas. C'est à prévoir, car cette intervention sera beaucoup plus complexe et lourde pour beaucoup qu'un simple exercice d'incendie. Ce que vous devez faire, c'est mesurer la gravité de cet échec et l'utiliser comme base de référence pour décider à quelle fréquence et dans quelle mesure vous devez mettre en pratique votre réponse. N'oubliez pas qu'un exercice d'incendie est prévu pour un désastre que la plupart des entreprises ne connaîtront jamais. Votre exercice de cyberattaque concerne un désastre pratiquement inévitable à un moment donné.