
Pourquoi chaque organisation a besoin d'un plan de réponse aux incidents
En psychologie, le phénomène est connu sous le nom de corrélation illusoire. Il s’agit d’un terme qui est utilisé pour décrire notre capacité, en tant qu'humain, à percevoir une relation entre des choses alors qu’aucune relation n’existe.
On me rappelle souvent ce phénomène lorsque je m'adresse à l'un de mes collègues cadres au sujet de leur état de préparation contre une cyberattaque potentielle. Je leur demande s'ils ont un plan de réponse aux incidents contre les cyberattaques, et généralement, leur réponse ressemble à ceci, « Ah, ça ne m’inquiète pas trop. Je ne vois pas comment quelqu'un souhaiterait nous pirater. »
Et bien qu'ils puissent avoir raison de croire que leur profil cible est assez bas, ils sont aux prises avec une corrélation illusoire. Ils font un lien à tort entre la probabilité d'être attaqué et l'importance de bien se préparer à l'éventualité. La vraie question qu'ils devraient se poser est : quels seraient les dommages potentiels pour l'organisation s'ils étaient attaqués.
Le principe de l'école
Prenons l'exemple des exercices d'incendie dans les écoles. Les chances qu’un feu sévisse dans un bâtiment d'école moderne ont considérablement diminué si l’on se réfère au temps où les enfants se regroupaient dans des structures de bois qui étaient chauffées par des chaudières au bois. Une étude de 2014 menée par Safe Havens International aux États-Unis a révélé que, « les décès par le feu dans les établissements scolaires sont rares, et aucuns cas documentés n’ont été trouvés entre 1998 et 2012. » Et pourtant, nous nous assurons encore que nos enfants, enseignants et personnel de soutien sachent exactement ce qu'ils doivent faire dans le cas peu probable d'un incendie. Parce que, quelle que soit l’improbabilité de l’incident, rien n'est plus important que de s’assurer de la sécurité de nos enfants.
Cette même ligne de pensée doit s’appliquer à la sécurité de votre organisation qui est considérablement plus vulnérable que de nombreux cadres veulent le croire.
Selon la 12e édition de l’étude des coûts de l'atteinte à la protection des données menée par le Ponemon Institute, le coût total moyen d'une atteinte à la protection des données en 2017 était de 3,62 millions de dollars. Un bref regard à l'histoire récente des cyberattaques montre que les dommages peuvent être beaucoup plus graves.
En 2017, une attaque au logiciel rançonneur a coûté plus de 10 millions de dollars à l’Erie County Medical Center. En juin de la même année, une attaque NotPetya a coûté plus de 300 millions de dollars à la compagnie de transport Maersk, et a forcé une société pharmaceutique, Merck, à fermer son usine de fabrication. Pendant ce temps, le virus Wannacry a infecté plus de 45 000 ordinateurs dans 74 pays, dont le Royaume-Uni où cette infection a forcé une fermeture effective des hôpitaux.
La première mesure que toute organisation devrait prendre
Si votre organisation n’a pas déjà un plan de réponse aux incidents (PRI) en place, concevez-en un et mettez-le en œuvre immédiatement. Un PRI est simplement un plan détaillé qui précise ce que chacun doit faire dans le cas d'une infraction à la cybersécurité. Mais ne vous sentez pas obligé de réinventer la roue pour en implanter un. Par exemple, Cisco propose un plan de réponse aux incidents, une excellente solution pour aider les organisations à mettre sur pied une réponse planifiée et coordonnée en cas d'incident. Le programme de Cisco présente un plan sur la façon d’identifier l'agresseur, la portée et maîtriser la situation, identifier la cause principale, concevoir des stratégies visant à remédier aux problèmes sous-jacents. Il souligne la nécessité impérative de communiquer avec les différentes communautés touchées, y compris les clients, partenaires et fournisseurs et à l’interne.
Tout cela est extrêmement important, parce du moment où vous identifier l'infraction jusqu’à la correction, une organisation pourrait perdre beaucoup de temps, d'argent, et sa réputation. L'importance d'une réponse rapide et efficace ne peut pas être surestimée dans les heures et les minutes suivant une cyberattaque.
La deuxième étape est alors de mener une évaluation pour déterminer les dommages causés, les endroits qui ont été touchés, et dans quelle mesure. La seule façon dont ces deux étapes peuvent être effectuées de manière efficace est si tout le monde dans l'organisation sait exactement ce qu'il doit faire si une infraction à la sécurité se produit.
La mise en place d’un PRI n’est que la première étape
Une étude récente du Royaume-Uni a indiqué que deux tiers des cadres ont dit qu'ils ont une sorte de PRI en place, mais qu’ils ne l'ont jamais testé. Il s’agit également de l'une des plus grandes vulnérabilités que je vois dans les organisations en Amérique du Nord. Ils ont un faux sentiment de sécurité en pensant que, parce que quelqu'un a établi un plan il y a quelques années, ils seront protégés en cas d'attaque.
En réalité, la seule façon d'être sûr que vos gens sauront quoi faire le moment venu est d'exécuter régulièrement des « exercices d’incendie » pour identifier les vulnérabilités internes. Cela peut être fait sous la forme de ce qui est appelé « essais de simulations » parce que de toute évidence, vous ne voulez pas implanter un virus dans votre environnement. Ces essais de simulations peuvent détecter les vulnérabilités techniques et vous permettre d'exécuter des simulations au sein de vos organisations.
La dernière chose que vous voulez est de vous retrouver à expérimenter votre plan de réponse aux incidents en cours d’incident.
Il n'y a pas si longtemps, Compugen a connu un excellent succès avec une journée sans virus. Seul notre niveau élevé de préparation nous a permis d'éviter des pertes de données de clients ou de données internes, mais il a renforcé la nécessité de constamment surveiller et consolider notre propre environnement au niveau le plus élevé possible.
Évolution du paysage de la conformité
Après qu’une infraction à la sécurité ait été signalée, une autre responsabilité clé est de rapporter l'incident aux divers intervenants. L'annonce d'une infraction à la sécurité pourrait être la dernière chose qu'une organisation veuille faire. Cela pourrait ne pas être une option dans un avenir très proche.
À compter du 1er novembre 2018, les organisations canadiennes devront se conformer à la réglementation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). En vertu de la loi, les organisations canadiennes et étrangères assujetties à la LPRPDE devront :
(a) Informer les individus de toutes les atteintes à la vie privée;
(b) Signaler les atteintes à la vie privée au Commissariat à la protection de la vie privée du Canada et à d'autres dans certaines circonstances;
(c) Conserver certains dossiers sur les atteintes à la vie privée.
Les dommages causés par une attaque sont souvent aggravés par l’omission d'une organisation de divulguer clairement la nature et l'étendue de l'attaque. Un PRI bien conçu permettra non seulement de présenter les mesures pour limiter les infractions, mais également de présenter le processus d'évaluation et de gestion des exigences en matière de divulgation.
La grande question
Si vous êtes encore hésitant quant au besoin de votre organisation à mettre en place ou non un PRI bien conçu, posez-vous cette question - préféreriez-vous l'avoir sans en avoir besoin ou en avoir besoin et ne pas l'avoir?
Réfléchissez bien, l'avenir de votre organisation peut en dépendre.