Virginia adore faire des recherches et écrire sur des sujets scientifiques qui stimulent l’imagination.
Il vaut mieux pécher par excès de prudence, surtout lorsqu’il s’agit de questions de sécurité. Supposons qu’une faille de sécurité se produise à un moment donné dans le futur et préparez-vous à cette éventualité. Avoir un plan d’urgence vous fera gagner un temps précieux; agir rapidement est crucial pour limiter efficacement les dégâts. Confiez l’enquête sur la violation à une société externe, car vous n’aurez peut-être pas les ressources nécessaires pour traiter le cas correctement. Si une violation a été causée par l’un de vos employés, une enquête interne pourrait entraîner un conflit d’intérêts.
La réponse à une faille de sécurité sera différente dans chaque cas, car chaque entreprise est différente. Cependant, il y a quelques directives générales que vous devez suivre. Une réaction typique à un cyberévénement comprend cinq étapes : initiation, capture de preuves médico-légales, analyse Web et comportementale, analyse de l’impact des risques et signalement aux groupes constitutifs internes et externes.
1. Initiation
Commencez par former une équipe de gestion des violations qui devrait se composer des rôles et responsabilités suivants :
- Conseiller juridique. Interne si la personne a de l’expérience dans le traitement des manquements ou externe si le juriste interne n’a pas les qualifications nécessaires.
- Sponsor exécutif
- Sécurité interne
- Infrastructure informatique interne
- Ressources humaines. L’humain doit réviser le programme de sensibilisation à la cybersécurité et intervenir si la violation a été causée par l’un des employés.
- Communication d’entreprise. Ils façonneront un message aux médias.
- Confidentialité ou conformité réglementaire
- gestion des risques
À ce stade, vous devez établir des normes de communication, des protocoles et un cryptage pour la communication orale et écrite. Nommer une personne responsable de la communication avec les conseillers ou consultants externes (généralement, il s’agira du responsable juridique) et avec le comité d’audit et des risques du conseil d’administration. Établissez une fréquence et une méthode de communication des progrès – au début, les réunions devraient avoir lieu deux fois par jour. Veillez à divulguer la nouvelle de la violation au plus petit nombre de personnes possible au cas où l’un des employés serait en faute. Le temps d’informer les salariés viendra plus tard.
Faites défiler pour continuer
2. Capture de preuves médico-légales
La détection des failles prend parfois des années. Confirmez qu’une violation a eu lieu. Déterminez quels types d’informations ont été compromis – informations d’identification personnelle (informations de santé, de carte de crédit et financières), informations sur la famille des employés, propriété intellectuelle, secrets commerciaux, informations exclusives de l’entreprise (partenaires d’alliance, clients, fournisseurs tiers, investisseurs). Déterminez si la violation est terminée ou si elle est toujours en cours. Changez les mots de passe dans toute l’entreprise afin d’éviter de nouvelles fuites d’informations. Déterminez si les informations ont été cryptées et quel type de cryptage a été utilisé. Isolez et imagez tous les disques durs, afin qu’un professionnel indépendant puisse les examiner. S’il ne s’agit pas de la première violation subie par l’entreprise, examinez l’historique des violations pour essayer de trouver des parallèles. S’il s’agit de la première faille de sécurité, recherchez des cas similaires sur Internet.
3. Web et analyse comportementale
Analysez les adresses IP de l’environnement et classez-les en trois catégories : autorisées et bénignes, non autorisées et toxiques, et autorisées mais toxiques. Déterminez si la brèche est venue de l’intérieur ou de l’extérieur – si de l’extérieur, quelle en était la source ? Déterminez la méthode de la violation et recherchez tout programme malveillant dans le système. La violation a-t-elle impliqué une intrusion physique ? Existe-t-il une menace physique pour les employés ?
4. Analyse de l’impact des risques
Vérifiez quel type de données a été affecté, en vérifiant les formats électroniques et papier. Si des informations relatives aux informations personnellement identifiables, aux informations personnelles sur la santé, à la propriété intellectuelle et aux secrets commerciaux, aux infrastructures critiques, aux informations de défense ont été divulguées, assurez-vous d’informer les forces de l’ordre de l’événement. De plus, demandez conseil à votre conseiller juridique concernant les exigences de déclaration interne – vous devrez peut-être informer les entreprises clientes et partenaires à risque, les régulateurs et les membres du conseil d’administration. Établir des protocoles de notification appropriés et une stratégie de notification.
5. Rapports aux groupes constituants internes et externes
Ajustez vos stratégies de reporting pour différents publics – rappelez-vous qu’un rapport technique peut semer la confusion et l’incompréhension parmi des publics non techniques, tels que le conseil d’administration. Au lieu d’un langage technique, utilisez le langage des affaires et du risque. Le rapport exécutif doit contenir une introduction (conditions générales de risque et tendances), une description de l’entreprise piratée (au cas où le public ne la connaîtrait pas), une description de l’événement d’intrusion, la date de l’intrusion, une description de données sur les risques, une analyse des mesures d’atténuation préliminaires, des conclusions et des recommandations (cette partie est cruciale pour convaincre les clients que l’entreprise s’engage à bien gérer l’impact des risques), et un résumé technique.
sources
Ulsch, N MacDonnell, « Cybermenace ! Comment gérer le risque croissant de cyberattaques », Wiley, 2014
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.
© 2017 Virginie Matteo