Pour en finir avec la « war room » du week-end — Passer de la réaction à la prévention

0

Les urgences en sécurité informatique semblent toujours avoir lieu quand une entreprise est le moins préparée. Et ce besoin d’une cellule de crise ou d’une « war room » en plein milieu du week-end est une expérience qu’aucun responsable de la sécurité informatique et son équipe ne veut vivre. Pour illustrer, tel un bulletinh météo, bien que cela puisse ressembler à un éclair par beau temps, de par mon expérience, c’est plus un grondement menaçant qui aboutit à un coup de tonnerre retentissant que vous ne pouvez jamais anticiper correctement. Alors comment les responsables de la sécurité informatique peuvent-ils être mieux préparés et éviter les mauvaises surprises ? 

Ma conviction à ce sujet s’est forgée à partir de ce que j’ai vu en tant que responsable d’une grande équipe en charge de la cybercriminalité (et de la collecte des preuves y afférant) au sein du FBI. Bien trop souvent, nous étions appelés des semaines voire plus après que l’incident ne se soit produit. À ce stade, l’entreprise concernée ne fait qu’essayer d’arrêter l’hémorragie et tente de se remettre en état de marche. Être si fortement impacté par un incident de sécurité n’est pas une position très enviable pour n’importe responsable IT ou cadre dirigeant. Surtout pas le week-end ou, pour parler franchement, n’importe quel jour de la semaine.

La première façon de reprendre le contrôle est de s’assurer que l’entreprise a de la visibilité. Il va sans dire qu’obtenir de la visibilité sur les failles et les menaces qui la guette n’est pas facile, mais c’est fondamental. Pouvez-vous voir tous les éléments constitutifs de votre environnement ? Vous ne pourrez pas réagir à ce que vous ne voyez pas ; vous ne pourrez remédier aux problèmes que vous ne voyez pas ; vous ne pouvez prévoir ce dont vous n’avez pas conscience. Quand vous obtenez une bonne visibilité, votre entreprise passe d’une posture défensive en réaction à une attitude de prévention des attaques.

Ne croyez pas que la visibilité ne concerne que les logs. Toutes les entreprises accumulent des logs de toutes sortes provenant de systèmes divers. Cela peut être utile, mais il est essentiel d’en avoir le contexte. Vous devez avoir la puissance nécessaire pour mettre en relation les activités « logguées » avec les différents domaines de votre environnement. De là, le défi est d’avoir un analyste étudiant ces logs, en reliant les différentes informations, les remettant dans le contexte et se mettant alors en position d’y répondre.

Intégrer les différents logs et outils de visualisation est une première étape pour une approche plus proactive. La suivante consiste en la façon dont les meilleurs centres opérationnels de sécurité (ou SOC) confrontés à des incidents de sécurité se servent de frameworks standardisés pour définir quelles sont les réponses les mieux adaptées. 

L’un de ces frameworks à envisager est le CISCSC (Center for Internet Security Critical Security Controls). Non seulement il présente 20 contrôles pour la communauté Infosec dans un langage simple à comprendre ; mais il les classe par priorité en fournissant une carte à suivre pour qu’une société sache par où commencer et où elle doit se situer en termes d’engagement pris sur la sécurité informatique. Ces contrôles se sont révélés utiles à maintes reprises, quelle que soit la taille de la société concernée. De fait, presque tous les incidents majeurs de sécurité — en tout cas ceux qui nécessitent une enquête du FBI ou d’un équivalent — résultaient d’une violation d’un de ces contrôles critiques.

La « war room » du week-end est le produit d’une gestion réactive. Et pourtant, cela ne veut pas dire qu’une war roon en semaine est inutile. Les sociétés proactives doivent avoir des évaluations périodiques réunissant les équipes de la sécurité informatique, le reste de l’encadrement et des dirigeants. Faire des points simples et réguliers avec les actionnaires clés peut faire toute la différence.

Quand vous organisez ce type de réunion (de crise ou non), vous avez besoin d’outils dédiés. L’un des problèmes que je rencontrais au FBI, alors que je dirigeais le SOC Enterprise, était que je ne disposais pas de tableau de bord efficace à partager avec les cadres dirigeants pour leur montrer où notre action améliorait et renforçait notre posture de sécurité. C’est pourquoi aujourd’hui, je recommande aux RSSI d’avoir un tableau de bord qui montre clairement la situation en termes de sécurité informatique et de le rendre assez simple pour que le personnel non technique comprenne ce qu’il se passe et ce qu’ils doivent faire. Pour une réunion et un conseil de sécurité efficaces, le tableau de bord et tout rapport qui y est associé doivent montrer le niveau relatif de risques associé aux failles et un échéancier pour y remédier. 

D’autres aspects de ce tableau de bord permettent de minimiser la difficulté de gérer un incident de sécurité. Il est important que l’entreprise sache ce dont elle dispose et quel élément est rattaché à quel réseau. Essayer de le visualiser après qu’un incident se soit produit n’est jamais très agréable. Le tableau de bord et les rapports associés devraient également fournir un contexte autour des alertes de sécurité d’une manière qui soit facilement compréhensible pour en déterminer l’impact.

Les sociétés devraient chercher de façon active ces incidents pour que les dirigeants puissent facilement voir s’il y a déjà eu des tentatives d’activation de malwares au sein de l’entreprise, et si ces tentatives ont été bloquées ou non. 

Avoir de la visibilité et une image claire de la santé du système d’information et de la maturité des opérations de sécurité en cours est la base d’une organisation proactive. Avoir une telle approche de la sécurité ne fait pas que sauver vos week-ends : cela vous aidera également à résoudre vos problèmes d’embauche du secteur. En intégrant la visibilité et l’automatisation qu’une approche proactive permet, une société peut accélérer ses opérations de routines, libérant un temps précieux pour que les analystes sécurité se consacre à des tâches à plus forte valeur ajoutée.

Personne ne veut recevoir une invitation pour une réunion d’urgence au cœur du week-end, ruinant ainsi un temps précieux consacré à ses amis et sa famille. La clé pour éviter une telle situation est d’adopter une stratégie de prévention qui fournit de la visibilité et assez de contexte pour identifier les risques avant qu’ils ne deviennent des incidents nécessitant de telles réunions d’urgence.

About Author

Avatar

VP, RSSI pour la zone Amériques, Palo Alto Networks

Leave A Reply