L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.
Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.
Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.
Suivez le plan d’intervention en cas de fuite de données dans votre entreprise
Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.
En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.
Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.
1. Communiquez avec les personnes appropriées
L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.
Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :
- Les faux messages antivirus
- Les barres d’outils du navigateur non souhaitées
- Les installations inattendues de logiciels
- Les pop-ups de rançon
2. Mener une enquête préliminaire
Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.
Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.
3. Définir l’incident
L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.
Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.
4. Faites participer les intervenants
Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.
5. Lois sur la notification des violations de la sécurité
La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.
Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.
Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.
Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.
Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.
6. Analyse et mesures correctives contre une fuite de données
L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.
En général, elle peut déterminer un ou plusieurs des éléments suivants :
- Signature du virus
- Adresse IP de l’attaquant
- Hashage MD5 d’un fichier malveillant
- URL ou nom de domaine d’un serveur de commande et de contrôle de botnet
Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.
De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.
7. Qu’arrive-t-il à l’entreprise pendant cette période ?
Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.
D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :
- Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
- Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
- Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
- Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.
L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.
8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg
Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.
L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.
Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.
Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.
L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.
Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.
9. Leçons apprises – Revue complète
Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.
Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.