Cybersécurité - Surmonter les failles de réponse

WithSecure_expert_dataroom

Dans cet article, nous définirons ce qu'est une faille de réponse. Puis, nous identifierons les problèmes courants auxquels les organisations sont confrontées lorsqu'elles cherchent à combler ces failles. Nous vous proposerons des approches de base pour résoudre ces problèmes, et enfin, nous vous proposerons un lien vers un nouvel outil gratuit visant à faciliter ce travail.

Lors de notre évènement SPHERE23, nos experts Tuomas Miettinen, Peter Page et Harri Ruusinen ont tenu une conférence intitulée Strengthening Your Organization's Detection and Response Capabilities (« Renforcer les capacités de détection et de réponse de votre organisation »). Nous leur avons demandé : comment combler les failles de réponse ? 

Qu'est-ce qu'une faille de réponse ?

La réponse est l'une des cinq capacités de cybersécurité communément reconnues. Elle s'inscrit dans le cadre de cybersécurité NIST : Identifier, Protéger, Détecter, Répondre et Restaurer.

La réponse est planifiée, proactive et doit commencer dès qu'un incident est détecté. Le but est d'éliminer l'intrus du réseau avant qu'il ne puisse atteindre ses objectifs. Une faille dans la réponse est un point de défaillance dans ce processus. En voici quelques exemples :

  • Les technologies de détection sont disponibles, mais les entreprises manquent d'experts pour analyser les résultats.
  • Les professionnels manquent d'expertise en matière de réponse. Ils ne sont pas en mesure de concevoir ou d’exécuter un plan de réponse.
  • Les contrôles de sécurité existants ne sont pas configurés pour répondre immédiatement aux attaques.
  • La réponse est retardée par des freins d'autorisation budgétaire.

Pour faire face aux cyberattaques, des outils efficaces existent. La difficulté consiste à obtenir la bonne combinaison d'outils, de professionnels, de compétences et de stratégies pour éviter les violations de données et les cyberincidents. Même pour les organisations disposant de moyens importants, la réponse est un exercice difficile. Il n’y a aucune honte à éprouver lorsque vous identifiez un déficit de réponse. En revanche, vous devez vous empresser de le corriger.

Réagir aux alertes

La réponse débute dès qu'un incident est détecté, et ne s’arrête que lorsqu’il est maîtrisé. Elle ne doit pas être confondue avec la récupération, qui fait suite à une attaque réussie : au stade de la récupération, la réponse n'a plus lieu d'être.

Comment s’organise la réponse ? La plupart des entreprises commencent par un plan de collecte de données et répondent aux alertes de leurs systèmes. C'est une étape incontournable. Pour ce faire, il existe des outils et processus efficaces. Quiconque a passé du temps à étudier la cybersécurité sait que le problème vient rarement d'un manque d'alertes ou d'accès aux données. Le traitement des alertes, lui, est souvent plus complexe.

Passer à la réactivité proactive

Lorsque vous êtes capables de collecter et d’interpréter les données, vous devez miser sur la préparation proactive.

À cette étape, qui vous est sans doute aussi familière, l’objectif est d’élaborer un plan de réponse pour chaque danger.

Ainsi, face à une cyberattaque, vous serez en mesure d’apporter une réponse organisée, qui n'aura rien à voir avec la panique.

Agir de manière réfléchie tient du bon sens. Pourtant, selon une enquête Forrester commandée par WithSecure et réalisée en ce début d'année, trois organisations sur cinq déclarent réagir aux problèmes de cybersécurité au fur et à mesure qu'ils se présentent.

L'anticipation peut vous permettre d'aiguiser vos réflexes opérationnels et d’améliorer votre résilience : en menant un travail proactif, vous pourrez identifier clairement les responsabilités de chacun, élaborer un plan de réponse, tester ce plan et, si nécessaire, l'utiliser en cas d'incident. Vous pourrez aussi actualiser ce plan, au fur et à mesure que votre profil de menaces évolue.

Grâce à cette approche, vous pourrez réagir rapidement en cas d'attaque : vous pourrez cerner la menace, organiser votre réponse et l’exécuter avec précision. La clé est de réagir de manière appropriée, par opposition à une réaction précipitée, susceptible de créer plus de problèmes qu'elle n'en résout.

Détection et réponse proactives

Que la détection soit réalisée en interne ou en externe, le principe est le même : plus la détection est précoce, plus l'exposition est réduite. Vous avez donc tout intérêt à développer de solides capacités de Threat Hunting.

L'activité de Threat Hunting est souvent plus efficace lorsqu'elle est menée dans un environnement calme, dans lequel aucune attaque n’est en cours. Ce travail est réalisé de manière méthodique, à l'abri de la pression qui caractérise un incident ou une situation de crise.

D'après les observations de notre équipe Incident Response, cette approche doit être associée à une pratique active de détection et de réponse.

Voyons maintenant comment détecter vos failles de réponse, ces lacunes qui nécessitent des ajustements pour améliorer votre réponse en cas d'attaque.

Les failles de réponse

Détecter les attaques et y répondre demande du travail, des outils et des compétences. À cela, s'ajoute une difficulté : toutes les entreprises, toutes les équipes, toutes les menaces sont différentes. Chaque profil est donc unique, et chaque organisation présente des failles de réponse bien spécifiques.

Commencez par une évaluation solide des éléments de base. Vous pourrez ainsi vérifier où vous en êtes et évaluer la solidité de votre écosystème.

Souvent, les entreprises ont tendance à surinvestir dans les technologies et à sous-investir dans les compétences, qui sont pourtant nécessaires à la bonne utilisation de ces technologies. Face à la pénurie de compétences qui touche le secteur, investir dans la formation de vos professionnels peut s'avérer très rentable et vous permettre de fidéliser vos experts, tout en justifiant des augmentations de salaire.

Pour commencer

  1. Utilisez des cadres (ou frameworks) pour évaluer l'état de préparation de votre équipe et de votre entreprise. Cela peut passer par des formations de sensibilisation à la sécurité, financièrement accessibles à la plupart des entreprises. Pour les organisations dotées de moyens plus importants, cela peut concerner les capacités de Threat Hunting et de réponse aux incidents.
  2. Préparation et formation : préparation aux incidents, développement de la résilience, exercices pratiques de gestion de crise et exercices de « Purple Team ».
  3. Mise en place de process vous permettant de rester informé sur l'évolution des menaces : il peut s'agir tout simplement d'une liste OSINT permettant de connaître les dernières découvertes des chercheurs sur les menaces qui guettent votre secteur.
  4. Nous avons déjà évoqué le Threat Hunting, qui représente un investissement largement rentable sur le plan de la sécurité. Le Threat Hunting peut être mené, par le biais d'une équipe interne ou via l'EDR, le MDR ou l'approche « peacetime value » de WithSecure.

Prochaines étapes

Investissez dans des outils permettant de booster le travail de votre équipe et d‘optimiser les ressources dont vous disposez déjà. Envisagez ensuite de doter votre équipe de nouveaux experts supplémentaires ou de nouveaux outils, en fonction de vos besoins.

La résilience est le socle de croissance de votre entreprise. Et pour devenir résilient, vous devez adopter une stratégie adaptée aux capacités et ressources de votre entreprise.

Vous pouvez collaborer avec un partenaire afin de créer la bonne combinaison de technologies, de professionnels et de processus. WithSecure, par exemple, peut vous fournir une solution EDR telle que WithSecure Elements EDR, ainsi que des capacités de monitoring pour trier les alertes lorsque vous ne pouvez pas le faire. Vous pouvez aussi faire appel à un service managé de détection et de réponse comme WithSecure Countercept, qui inclut le personnel et les moyens nécessaires à un Threat Hunting proactif des menaces, sur l'ensemble de votre parc informatique.

En identifiant vos lacunes et en prenant rapidement des mesures pour les combler, vous pourrez assurer une réponse aux incidents bien plus performante. Ce travail de diagnostic n'est pas difficile mais il exige du temps et les entreprises peinent à prioriser ce type de démarche, pourtant essentielle. Utilisez notre outil interactif : il vous aidera à déterminer rapidement où en est votre entreprise.

Réponse aux cyberincidents : identifiez vos faiblesses

Êtes-vous en capacité de répondre aux cyberattaques avant qu'elles ne dégénèrent en incident majeur ? Faites le test et obtenez un rapport de risques personnalisé, avec des recommandations pratiques.

Evaluation rapide

Pour en savoir plus, écoutez l'épisode 79 du Cyber Security Sauna podcast

Articles complémentaires

SIEM, EDR, MDR - en interne ou en service managé ?

L'informatique - et la cybersécurité - ne cessent de se complexifier. Heureusement, des solutions existent.

Lire l'article

Douze questions pour comprendre si NIS2 affecte votre organisation

Hormis l'excitation bureaucratique, les lois et règlements sont souvent écrits dans le sang ; NIS2 ne fait pas exception.

Lire l'article

Discutez avec l'un de nos experts

Discutez avec l'un de nos experts pour savoir comment développer les capacités de détection et de réponse de votre organisation. Remplissez ce formulaire et nous vous contacterons dans les plus brefs délais !