Survivre au premier contact

Le maréchal allemand du 19^e siècle Helmuth Von Moltke est célèbre pour ses remarques sur la valeur de la planification qui résonnent encore aujourd'hui. « Aucun plan d'opérations ne s'étend avec certitude au-delà de la première rencontre avec la force principale de l'ennemi, » a-t-il déclaré. Vous connaissez peut-être mieux ce concept sous sa forme moderne plus populaire : « Aucun plan ne survit au premier contact avec l'ennemi ». Quoi qu'il en soit, dans le contexte socioéconomique actuel, où pratiquement tout a été numérisé (ou le sera bientôt), c'est un principe que nous ferions bien de suivre en matière de cybersécurité.

Pourquoi? Parce que les changements de modèles de travail, en particulier le passage accéléré au télétravail dans les organisations de toutes tailles dû à la pandémie de COVID-19, ont fait grimper les cyberrisques dans tous les domaines. Devant une multiplication des attaques, de nombreuses organisations ont fait passer la préparation aux cybermenaces en tête des priorités.

Mais si aucun plan ne survit, pourquoi en faire un? Facile : pour la planification en soi.

En matière de cybersécurité, la préparation implique généralement un investissement accru dans la détection, les technologies et les solutions préventives, la sensibilisation des employés aux nouvelles habitudes de télétravail et l'adaptation des procédures à la nouvelle réalité. Parallèlement, il est tout aussi essentiel de préparer et de tester les capacités et les procédures d'intervention technique, ainsi que les communications entre dirigeants au moment de gérer un cyberincident.

Entendons-nous, certaines choses peuvent être planifiées et mises en pratique avant un cyberincident. Ce qui m'amène à citer Moltke, c'est que d'autres aspects sont beaucoup moins prévisibles, et ce sont souvent les plus cruciaux. Ces éléments peuvent être propres à votre organisation, à votre secteur ou à votre région et nécessiter une approche qu'il est impossible d'anticiper complètement. Quoi qu'il en soit, les domaines d'intervention qui peuvent être planifiés constituent un cadre que l'organisation peut suivre pour réagir de manière structurée et ciblée. Or, le cadre lui-même exige un certain degré d'agilité et de souplesse pour que l'intervention tienne compte non seulement de la nature unique de l'incident, mais aussi du vecteur d'attaque et de l'aspect technique et procédural de la réponse.

Voici quelques principes de base que les organisations devraient appliquer au moment de préparer leur plan d'intervention en cas de cyberincident :

1. Faire appel à une entreprise tierce d'intervention en cas d'incident et de juricomptabilité pour intervenir conformément à des conditions et des ententes de niveau de service prénégociées. Le recrutement d'un tiers pour soutenir votre équipe d'intervention doit se faire le plus rapidement possible. Trop souvent, un temps précieux est consacré à la négociation de l'énoncé des travaux, ce qui peut permettre à un pirate informatique de pénétrer plus profondément dans le réseau de l'organisation et d'exfiltrer d'éventuelles données confidentielles, aggravant ainsi les dommages.
2. Faire appel à un coach en intrusion. Un coach en intrusion est une personne qui a de l'expérience dans la planification et la gestion des attaques informatiques du point de vue de la protection des renseignements personnels et des communications. Cette personne fait souvent affaire avec une entreprise tierce d'intervention et de juricomptabilité (voir le point 1) « en vertu d'un privilège » pour enquêter sur le cyberincident.
3. Souscrire à une police d'assurance cybersécurité. Que ce soit pour les frais d'enquête, les frais juridiques, les pertes d'exploitation, les rançons ou les frais de relations publiques, une police d'assurance complète peut constituer un filet de sécurité en cas de cyberincident.
4. Recourir aux services d'un cabinet de relations publiques. En cas de cyberattaque, la communication au public et aux parties prenantes est un facteur important pour maintenir la confiance des clients et des autres parties pendant et après une cyberintrusion. Les organisations qui communiquent et gèrent une cyberattaque avec intégrité auront moins de répercussions sur leurs résultats après l'incident.
5. Prévoir des guides d'intervention en cas d'incident afin que le personnel soit en mesure de réagir en situation d'urgence. Réunir dans un document les procédures et les mesures à prendre en cas d'urgence aidera les équipes d'intervention à surmonter la panique initiale et à mettre en place une action coordonnée. Les plans d'intervention en cas d'incident doivent minimalement indiquer les personnes à contacter pour obtenir de l'aide (c'est-à-dire les parties prenantes internes et externes qui doivent participer au processus d'intervention en cas de cyberincident) afin d'éviter de perdre du temps à trouver ces informations. En outre, des guides techniques détaillés peuvent aider l'équipe d'intervention à mener à bien les activités initiales de triage, de contrôle et de détermination de la portée dans le but de gérer l'incident pendant que les équipes d'intervention élargies à l'interne et à l'externe sont formées.
6. Mettre à l'essai les plans d'intervention et de communication. La mise à l'essai régulière des plans, des procédures et des communications permettra de réunir l'équipe chargée de l'intervention en cas de cyberincident et d'identifier les éventuelles lacunes dans le processus. On constate souvent des décalages entre les équipes techniques et non techniques lors de la gestion des cyberincidents. Le fait de repérer et de gérer ces décalages dans un environnement sûr vous permettra de mieux vous préparer à répondre à un cyberincident dans son ensemble.

Quelle que soit la rigueur de son plan d'intervention, votre organisation ne pourra jamais être prête à 100 %, car chaque incident est unique. Et comme les équipes d'intervention ne sont généralement pas exposées à des intrusions constamment, elles manquent souvent d'expérience et de compétences critiques. Le fait de se doter d'un plan d'intervention agile et souple et d'avoir une équipe expérimentée prête à intervenir permet toutefois de gérer les incidents rapidement.

Dans ce contexte, des exercices de simulation techniques et administratifs (axés sur la communication) sont couramment effectués pour se préparer à l'inévitable intrusion. J'en dirai plus à ce sujet dans mon prochain billet.