L’art de prévoir | KPMG | CA
Image représentant des cercles pour l’art de prévoir

L’art de prévoir

L’art de prévoir

Vous avez muni le réseau d'un pare-feu et crypté les données. Vous avez donné la formation et analysé les menaces. Maintenant que votre organisation a pris des mesures pour prévenir une cyberintrusion, comment réagira-t-elle lorsqu'un désastre virtuel frappera?

Et il y a de fortes chances qu'un tel désastre survienne. Car même lorsqu'elles se dotent des meilleurs plans qui soient, les organisations sont victimes de cyberattaques. Aucun plan de sécurité n'est entièrement efficace : ainsi, autant les organisations doivent y intégrer des mesures préventives, autant il leur faut réfléchir aux mesures spécifiques qu'elles prendront en cas d'intrusion numérique.

À vrai dire, il peut s'avérer difficile d'atteindre l'équilibre optimal entre la protection de systèmes et la conception d'un programme d'intervention à toute épreuve en cas d'incident. En établissant la bonne équipe de renseignements, les bons partenaires de l'industrie et une stratégie éclairée à la suite de l'incident, les chances de survie s'en verront augmentées.

Le pouvoir des renseignements sur les menaces

Les minutes, les heures et les jours suivant une cyberattaque sont critiques. Toutefois, c'est dans ces moments stressants que les renseignements sur les menaces peuvent mettre de l'ordre dans le chaos et donner aux organisations une longueur d'avance quant à leur stratégie d'intervention en cas d'incident.

On entend par « renseignements sur les menaces » le fait de posséder les outils et l'expertise nécessaires pour identifier ce qui rend une organisation vulnérable aux agents de cybermenaces, pour déterminer où ils sont le plus susceptibles de frapper et pour entrevoir ce qu'ils sont le plus susceptibles de faire. À l'aide de tels renseignements, les organisations peuvent prévoir les menaces, déterminer les meilleures stratégies de défense et réagir rapidement à la suite d'un événement.

Six aspects à prendre en considération pour une intervention efficace en cas d'incident​

Les renseignements sont puissants, mais ils ne valent rien en période de calme plat. Lorsque frappe un cyberévénement, il y a plusieurs choses qu'une organisation peut faire pour s'en remettre aisément.

  • N'éteignez pas tout – La première réaction de bien des organisations à la suite d'une cyberintrusion est d'arrêter les systèmes touchés. Il faut résister à la tentation. En mettant hors ligne des systèmes ou de l'équipement essentiels, les organisations risquent non seulement de paralyser leurs activités ou leurs principaux services, mais aussi de perdre l'occasion d'évaluer la pleine portée de l'intrusion. Plutôt que de tout cesser, il vaut mieux en profiter pour isoler le problème, déterminer la nature de l'attaque et évaluer l'étendue des dommages.
  • Communiquez l'incident – Après une cyberattaque, des décisions critiques doivent être prises, et ces décisions doivent dépasser les frontières du service des TI. Les dirigeants de l'entreprise doivent décider s'ils paient ou non le rançongiciel, les services juridiques et de la conformité doivent planifier leur réponse à l'attaque, et les autres services doivent déterminer quel est le meilleur moyen de tenir au courant les fournisseurs et les partenaires d'affaires. Il est essentiel de se munir dès le départ d'un plan de communication de l'intervention en cas d'incident pour s'assurer que tous soient au diapason et agissent conformément au plan.

N'oubliez pas que votre façon de communiquer en pareilles circonstances déterminera la vitesse à laquelle vous vous relèverez, de même que l'ampleur de l'atteinte à votre réputation. À cette fin, faites preuve d'une grande transparence à l'égard de ce que vous savez, de ce que vous ne savez pas et de ce que vous mettez en œuvre pour résoudre la situation.

  • Souvenez-vous de vos obligations – Votre organisation pourrait être soumise à des directives de déclaration des incidents selon les données qu'elle détient et le territoire dans lequel elle exerce ses activités. Au Canada, par exemple, la réglementation fédérale sur la vie privée pourrait vous contraindre de communiquer tout manquement tant aux clients qu'à un commissaire à la protection de la vie privée. Nous assisterons bientôt à l'avènement de lois sur la déclaration des atteintes à la protection des données (comme on en voit déjà au Royaume-Uni), en vertu desquelles tous les détails d'un événement devront être communiqués à toutes les parties concernées.
  • Résoudre et évaluer – Les méthodes de résolution d'un cyberincident varieront en fonction d'une foule de facteurs (le type d'attaque, les résultats, les systèmes touchés, les mesures préventives, etc.). Une fois les mesures prises pour contrer la menace immédiate, il vaut la peine de saisir toute la portée de l'incident et de rassembler des renseignements pour contrer les intrusions futures. Il faut, pour ce faire, évaluer la pleine portée de l'attaque, déterminer s'il s'agit d'un symptôme ou d'un problème plus vaste, et s'appuyer sur les leçons tirées de cette expérience pour mettre en place de meilleures pratiques en matière de cybersécurité. Il peut également être payant de prendre contact avec des pairs du secteur et des conseillers en cybersécurité pour en apprendre plus sur des incidents connexes, pour partager des stratégies et pour découvrir comment prévenir les dommages supplémentaires ou empêcher que l'incident ne se reproduise.
  • Planifiez votre réponse – Maintenant que le mal est fait, que ferez-vous? Communiquer avec la police? Lancer une enquête officielle? Consulter un tiers? Encore une fois, la façon dont vous remédiez à la situation sera influencée par un plan d'intervention éclairé en cas d'incident et une connaissance approfondie de vos options.
  • Réfléchir et reconstruire – Il se peut qu'un événement ait été inévitable. Mais il se peut aussi qu'il se soit produit parce que la stratégie en matière de cybersécurité de votre organisation comportait une lacune fatale. Une fois la poussière retombée, faites l'exercice de réexaminer vos contrôles, de réévaluer ce qui vaut réellement la peine d'être protégé (c.-à-d. vos « données critiques »), de déterminer si vous devriez vraiment conserver toutes ces données et de repenser votre cyberstratégie.

 

Le partage d'information: des chefs de file de l'industrie et des organismes du secteur public unissent leurs forces pour se défendre contre les cyberattaques. Le Centre de la sécurité des télécommunications du Canada possède un outil que peuvent installer les organisations pour identifier un logiciel malveillant et partager l'information avec les agences gouvernementales qui, à leur tour, relaient l'information aux autres. La GRC a un programme semblable qui recueille des données sur les incidents et partage les leçons apprises avec les principaux fournisseurs d'infrastructure. Envisagez de faire équipe avec ces partenaires et les pairs de votre secteur pour partager des connaissances et établir un front commun.​

Planifier l'inévitable

Imaginez-vous, au lendemain d'une cyberattaque, voir votre organisation se retrouver à la une des journaux. Imaginez maintenant quel titre vous souhaiteriez que cette manchette porte. Est-ce qu'il sera question d'une entreprise qui a été piratée, mais qui avait mis en place un plan d'atténuation des dommages, ou plutôt d'une entreprise prise au dépourvu et qui tente maintenant d'établir une stratégie dans l'urgence?

Naturellement, vous choisiriez la première option; celle-ci exige la mise en place d'un solide plan d'intervention en cas d'incident, qui soit éclairé par des renseignements exacts sur les menaces et testé constamment par tous les membres de l'organisation. À cet égard, en tenant régulièrement des exercices de simulation, en réalisant des évaluations continues des contrôles de sécurité et en tirant des leçons des événements passés, vous pouvez maintenir à jour votre plan d'intervention en cas d'incident et vous préparer à répondre à pratiquement n'importe quel type d'attaque vous ciblant.​

Après tout, des désastres peuvent (et vont) survenir. Et dans ces moments sinistres suivant une cyberattaque, le fait de se doter des bons partenaires, des bonnes ressources et d'un plan d'action éprouvé peut paver la voie vers le rétablissement.