Préparez-en un avant qu'il ne soit trop tard

Adobe. Yahoo. eBay. Equifax. LinkedIn. Lorsque vous verrez ces noms pour la première fois, vous serez pardonné de croire que c’est une sorte d’honneur. Ce sont quelques-unes des marques les plus reconnaissables au monde. Mais ils sont sur cette liste car ils étaient aussi la cible parmi eux violations de données majeures du 21e siècle. Et ces cinq marques ne sont qu’une fraction des nombreuses marques mondiales trouvées à la fin de la cyberattaque. Le message ici est clair. Personne n’est en sécurité. Personne n’est à l’abri. Chaque organisation doit reconnaître (ou du moins supposer) qu’elle est croisée par un ou plusieurs cybercriminels. Certaines cyberattaques sont difficiles à éviter en raison de leur ampleur et de leur complexité. Cependant, ce qui est sous le contrôle de l’organisation cible, c’est la façon dont elle se remet de ces attaques. Par conséquent, un plan de récupération des cyberattaques est nécessaire. Voici un aperçu de certains des domaines à couvrir.

1. Chef de l’équipe de rétablissement

Les situations sont plus susceptibles de devenir incontrôlables en cas de doute sur la responsabilité de guider une intervention. L’exécution efficace d’un programme de récupération des cyberattaques dépend de la désignation d’un leader. Ils seraient chargés de lancer le plan dès qu’une attaque est confirmée.

Leur titre exact n’est pas aussi important que leur date. Ils peuvent être appelés chef d’équipe de récupération de cyber-attaque, coordinateur de programme de récupération, chef de programme de récupération, chef de récupération, gestionnaire de récupération et plus encore. Le chef d’équipe doit être en contact avec tous les aspects du projet. Ils ne devraient avoir un adjoint que s’ils ne sont pas disponibles ou accessibles une fois l’attaque confirmée.

2. Équipe de récupération

Le chef d’équipe de rétablissement dirigera un groupe de personnes qui l’aideront à faire avancer les choses. Une cyber-réponse est intrinsèquement multiforme, avec plusieurs activités de réponse qui doivent être exécutées rapidement et simultanément. L’équipe doit être prête à travailler ensemble pendant des semaines, si nécessaire, car elle se concentre sur la restauration des opérations après l’attaque.

L’équipe de récupération des cyberattaques doit inclure des représentations internes et externes. Certains membres potentiels de l’équipe comprennent des cadres supérieurs, des experts en cybersécurité, des experts légistes, des avocats expérimentés en cyberattaque, des experts en cybersécurité et des relations publiques.

3. Identification de la cible

MSSP

Suttercock

La récupération doit commencer par l’identification du problème, car c’est le début de la solution. Si vous n’avez pas une bonne idée de la nature et du but de la cyberattaque, vous courez le risque d’être induit en erreur par les efforts de récupération.

Bien sûr, l’attaque est parfois trop compliquée pour que les professionnels de la sécurité informatique puissent être entièrement cartographiés. Voici venir des consultants externes en cybersécurité qui ont de l’expérience avec ce type de travail. Ils peuvent vous aider à déterminer ce qui s’est passé, quand, à qui et pendant combien de temps.

4. Restriction

Armé de la connaissance du problème, votre prochaine étape est la retenue. Selon la nature de la cyberattaque, qui peut impliquer l’arrêt des systèmes, la déconnexion des composants du réseau, la recherche de logiciels malveillants, la fermeture des dépanneurs, etc.

Plus tôt l’attaque est diagnostiquée et contenue, moins elle causera de dégâts. La cyberattaque est mieux gérée par les membres techniques de l’équipe de récupération des cyberattaques, y compris le personnel de cybersécurité à l’intérieur et des experts externes en cybersécurité.

6. Recherche

L’identification et la maîtrise du problème devraient fournir des indicateurs qui constitueront le point de départ de la recherche. L’enquête sera menée par des experts légistes. Cela inclurait la compréhension de l’origine de l’événement et des lacunes qui lui ont permis de se produire.

Cela est nécessaire pour ouvrir la voie, coopérer avec les forces de l’ordre et dégager l’organisation ou ses employés de leurs responsabilités.

7. Communication

Le représentant des relations publiques de l’équipe de récupération des cyberattaques peut ne pas avoir les connaissances techniques des autres membres de l’équipe. Cependant, laisser tomber le ballon en communication peut rendre inutile tout le travail technique effectué pour se remettre de l’attaque. La communication affecte la réputation à long terme d’une entreprise, la confiance des clients et la conformité légale.

À tout le moins, l’entreprise a l’obligation d’informer, dans les meilleurs délais, ses clients, ses employés, les autorités réglementaires et les services répressifs. Souvent, de nouvelles connaissances sur les cyberattaques émergeront avec le temps. Par conséquent, la communication n’est pas un événement unique. Il se passe tout au long de l’effort commercial pour informer toutes les parties prenantes.

8. Prévention de futures cyberattaques

Prévention des cyberattaques futures Le programme de récupération des cyberattaques comportera des éléments à court, moyen et long terme. À court terme, les vulnérabilités responsables de l’attaque doivent être traitées immédiatement. Il peut s’agir de ports ouverts, de comptes de visiteurs, de logiciels obsolètes et de bien d’autres attaquants.

À moyen terme, des tests et une analyse plus approfondis des cyberdéfenses de l’organisation seront nécessaires pour prévenir les attaques qui pourraient découler de nouvelles lacunes. À long terme, l’organisation peut avoir besoin de réévaluer la stratégie globale de cybersécurité pour des problèmes plus profondément enracinés (tels que la culture d’entreprise) qui pourraient faciliter la violation.

9. Environnement technologique alternatif

Une cyberattaque peut rendre l’environnement de production infecté par des logiciels malveillants et inutile. Les premières heures et les premiers jours, les connaissances sur l’étendue réelle de l’attaque sont également insuffisantes.

L’organisation peut avoir besoin de passer à un autre environnement technologique intermédiaire pour maintenir l’entreprise en marche. Cela est particulièrement vrai pour les attaques infiltrantes subversives telles que les ransomwares.

10. Cybersécurité

La cybersécurité n’empêchera pas une attaque contre une organisation. Cependant, il peut offrir un atterrissage en douceur après cela afin de protéger les finances de l’entreprise.

Par rapport à d’autres formes d’assurance, la cybersécurité en est encore à ses balbutiements et évolue. Cependant, une police d’assurance cybernétique peut couvrir les frais d’enquête médico-légale, d’interruption d’activité, de notification de violation de données, de poursuites, de règlements juridiques, d’amendes réglementaires, d’extorsion et d’atteinte à la réputation.

Créez tôt votre plan de récupération contre les cyberattaques

Un plan de récupération de cyber-attaque doit être conçu bien avant qu’une cyber-attaque ne se produise. Il doit subir des exercices, des tests et des pratiques sur une base régulière pour s’assurer que chacun sait ce que l’on attend d’eux après l’attaque.

Image en vedette: Shutterstock


Affichage des messages:
3


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *