Les quatre réponses que chacun devrait connaître pour stopper une cyberattaque

Comprendre ce qui se passe lors d’une cyberattaque n’est pas facile. Les équipes technologiques d’une entreprise traversent une période de forte pression et chaque décision peut avoir un impact important. Pour mieux le comprendre, Amazon nous a invités à expérimenter une simulation de l'ensemble de ce processus, même dans les étapes précédant que la menace ne devienne réalité.

Le processus sera divisé en quatre phases selon le cadre créé par le National Institute of Standards and Technology (NIST) à partir duquel un plan de préparation devra être exécuté, en passant par les moments de plus grande tension avec l'attaque et la résolution, jusqu'à l'étape finale. avec feedback et création de nouveaux manuels d’exécution.

Phase 1 : préparation

La préparation est le début du cycle de réponse aux incidents de cybersécurité . À ce stade, les organisations se préparent à faire face aux cyberincidents avant qu’ils ne surviennent. Cela implique d’identifier les scénarios d’attaque possibles et la manière d’y répondre.

Pour mener à bien cette préparation, les organisations doivent mettre en place les outils et ressources appropriés. Cela comprend la formation de l’équipe et la mise en œuvre de mesures de sécurité pour éviter les incidents. La planification et la réalisation de tests et d’exercices sont essentielles pour garantir.

Dans notre simulation, où nous faisions partie de l'équipe de cybersécurité d'un hôpital, l'équipe a décidé de créer d'abord un environnement sécurisé afin que les patients et les employés puissent accéder aux données. Ensuite, nous avons réalisé un manuel de procédures pour que les étapes à suivre en cas d'attaque soient claires. Et l'établissement de relations et d'alliances avec des sociétés tierces pour prendre en charge les données et bénéficier d'un support et d'un contrôle de sécurité.

Phase 2 : détection et analyse

La détection et l’analyse des cyberincidents constituent souvent la partie la plus difficile de la réponse aux incidents. Cette phase implique d'identifier et d'évaluer avec précision les incidents afin de déterminer la réponse appropriée.

A cette étape, diverses techniques et outils sont utilisés pour détecter les incidents. Les systèmes et les réseaux sont également surveillés et une surveillance en temps réel est utilisée. L'intégration de ces activités dans les systèmes de gestion des informations et des événements de sécurité (SIEM) est essentielle pour rationaliser le processus de détection et d'analyse.

Notre équipe a choisi de lancer l’ensemble du processus de détection, en comprenant quelle était la menace et quelles procédures étaient affectées. En plus de désactiver immédiatement les serveurs pour arrêter la propagation de l'attaque et demander de l'aide sans que la menace ne devienne incontrôlable. Nous avons également contacté nos alliés pour comprendre où se sont produits les échecs et entamer un processus de défense inversée.

Phase 3 : confinement et éradication

Ici, l’objectif est de minimiser les conséquences de l’incident et d’éliminer la menace qui affecte les services.

Le confinement consiste à appliquer des mesures préalablement établies pour éviter que les dommages causés par l’incident ne s’aggravent. Ces dommages peuvent inclure le chiffrement de fichiers, l' exfiltration d'informations , la destruction de données ou d'équipements, une atteinte à la réputation, ou encore des intrusions à long terme dans les systèmes et réseaux de l'organisation.

L'éradication se concentre sur l'élimination de la partie active de la menace. Cela peut impliquer la suppression de logiciels malveillants, la correction de vulnérabilités exploitées ou la restauration de systèmes compromis.

La réponse à un incident peut varier en fonction du type d'incident et de l'approche adoptée. Certaines attaques peuvent nécessiter des poursuites judiciaires, tandis que d’autres peuvent impliquer des contre-attaques . Il est important que les rôles et responsabilités soient clairement définis au cours de cette phase et tenus à jour.

À ce stade, notre équipe a décidé d'entamer des conversations avec l'équipe d'avocats de l'entreprise pour savoir quelles autres mesures devraient être prises au-delà des mesures technologiques, il y a également eu une évaluation des services qui pouvaient à nouveau fonctionner et qui n'avaient pas été affectés et, enfin, commencer un plan de réparation pour les équipements et services concernés.

Phase 4 : leçons apprises

Cette étape est fondamentale, bien que parfois négligée. C'est ici que l'équipe d'intervention et les autres rôles impliqués dans l'incident analysent ce qui s'est passé et comment l'incident a été géré. L’objectif est de tirer les leçons de l’expérience pour améliorer la préparation et la réponse futures.

Au cours de cette phase, des conclusions sont tirées de l’analyse ultérieure de l’incident. L'accent est mis sur l'amélioration continue des protocoles et des performances de l'équipe. Toutes les leçons apprises susceptibles d'améliorer la capacité de l'organisation à faire face à de futurs incidents sont les bienvenues. Ces leçons sont intégrées aux protocoles d’intervention et testées lors d’exercices ultérieurs.

Pour cette étape, il était essentiel de comprendre la relation entre la technologie, les personnes et les processus, concepts qui, selon Amazon, étaient fondamentaux pour que l'ensemble du plan de réponse soit efficace, car ce sont eux les acteurs impliqués et une attaque ne se produit pas uniquement en raison d'un problème technique. ou l'échec humain, mais plutôt l'ensemble du tout.

Ainsi, pour terminer l’exercice, nous avons choisi de réorganiser le manuel de procédures et d’inclure les actions que nous avons prises et tirées des leçons de la menace récente. De plus, nous avons encore une fois organisé un programme d'éducation auprès des employés et discuté avec nos alliés afin qu'ils comprennent également leurs échecs et leurs forces.