Cyber-résilience : Quand l'IT et la Sécurité brisent les silos face aux attaques
Face aux cyberattaques, une collaboration renforcée entre équipes IT et de sécurité est essentielle pour une cyber-résilience accrue.
La recrudescence des cyberattaques telles que les ransomwares met en lumière une problématique assez méconnue, mais pourtant persistante, au sein des organisations : la fracture entre les équipes IT et sécurité. Bien que leurs rôles soient distincts et complémentaires, un manque de collaboration entre DSI et RSSI peut gravement compromettre la capacité d'une entreprise à riposter. Une étude récente souligne cette lacune, révélant que près d'un tiers des responsables IT et professionnels de la sécurité jugent leur collaboration "faible", et qu'une proportion encore plus importante (42 %) voient cette désunion comme un boulevard pour les attaquants. Pire encore, 40 % constatent une stagnation, voire un recul de cette collaboration vitale. Il est temps d’agir.
Chaque rôle est unique. La sécurité protège et riposte. L'IT assure le quotidien et la continuité. Mais leur interdépendance est totale pour la résilience. L'harmonisation n'est plus une option, c'est une urgence.
Réponse aux incidents : Les bases d'une collaboration inébranlable
L'élaboration d'une stratégie de réponse aux incidents doit débuter par une définition claire des responsabilités. Pour l'équipe IT, cela implique une concentration sur la remédiation et la garantie de la continuité des activités. Leurs tâches incluent la gestion des pannes de système, la restauration des infrastructures critiques, la réinitialisation des jetons d'authentification et des mots de passe, la suppression des comptes malveillants et l'application de correctifs logiciels. Parallèlement, les équipes de sécurité doivent se focaliser sur la détection de brèches, la limitation de leur propagations et l'identification précise du point d'entrée des attaques.
Un élément fondamental de cette synergie réside dans l'établissement de politiques claires en matière de gouvernance et d'escalade des incidents. Ces politiques doivent être non seulement définies, mais également mises en pratique dès le départ. La communication, souvent le talon d'Achille en crise, doit être bétonnée. Des protocoles clairs sont vitaux : qui parle à qui ? Quand ? Comment ? Un flux de travail commun pour gérer l'attaque ? Indispensable.
La documentation joue ici un rôle essentiel. Un document partagé et évolutif, décrivant les responsabilités, les contacts clés, les chemins d'escalade et les stratégies de restauration, constitue une base vitale. Il permet aux équipes d'agir rapidement et méthodiquement, même sous la pression intense d'une cyberattaque.
Le "Modèle de Responsabilité Partagée" : clé de voûte de la riposte
Dans un scénario de crise, l'idéal serait que les deux équipes aient déjà élaboré un « modèle de responsabilité partagée ». Ce cadre structuré établit des procédures pas à pas pour répondre aux cyberattaques.
Dans ce contexte, la mise en place d'une « Salle Blanche » est fortement recommandée. Il s'agit d'un environnement isolé et sécurisé où les équipes IT et de sécurité peuvent collaborer sur l'enquête et la remédiation sans risque de réinfection des systèmes de production. Cet espace contrôlé permet d'analyser l'attaque en profondeur, de construire une chronologie précise des événements et de développer un plan de restauration des données qui non seulement élimine la menace, mais prévient également toute réinfection future.
Une fois que les systèmes sont confirmés comme étant propres et les données restaurées, elles peuvent être déplacées vers une zone de stockage temporaire pour des tests rigoureux avant d'être réintroduites dans les systèmes en production. Bien que ce processus puisse prendre plus de temps que souhaité par les parties prenantes, le coût d'une restauration inappropriée, qui pourrait entraîner de nouvelles attaques et des interruptions prolongées, est bien plus élevé.
Briser les silos : Cultiver l'entente IT-Sécurité
La compartimentation des équipes IT et de sécurité est souvent alimentée par une saine compétition. L'IT est orientée vers l'innovation, tandis que la sécurité privilégie le contrôle et la protection. Cependant, en situation de crise, cette dynamique peut se transformer en obstacle. Pour construire une stratégie de réponse aux incidents efficace, l'identification d'une vision partagée est essentielle.
La direction peut organiser des ateliers conjoints où les équipes peuvent apprendre les unes des autres et échanger des idées sur l'intégration de la sécurité dès la conception de l'architecture des systèmes. Ces sessions devraient également inclure des simulations de crises réelles. Ces exercices permettent à chaque équipe de se familiariser avec l'interconnexion de leurs rôles dans des situations de haute pression, favorisant ainsi un sentiment de confort et de préparation lorsque de véritables crises surviennent.
Eviter les récidives
Une stratégie de réponse aux incidents efficace ne se limite pas à réduire les frictions ; elle vise à renforcer la résilience. L'évaluation de cette préparation peut se faire en mesurant l'efficacité du modèle de responsabilité partagée. Au-delà des mesures classiques comme le temps moyen de détection, de réponse et de remédiation, l'essentiel réside dans l'évaluation de la préparation par le biais d'activités structurées.
La simulation de scénarios réalistes – qu'il s'agisse d'incidents de ransomware ou d'attaques de logiciels malveillants – permet aux dirigeants de tester et de mesurer directement le plan de réponse aux incidents, le transformant ainsi en un processus intégré. L'introduction d'imprévus lors de ces exercices est cruciale pour identifier les lacunes dans les processus, les outils ou la communication.
De nombreux problèmes peuvent être mis en évidence : des outils et des systèmes déconnectés, un manque d'automatisation qui ralentit la réponse, ou des exigences de documentation excessives. Cependant, le message clé demeure : créer un objectif commun, simplifier les chemins d'escalade en attribuant des rôles clairs aux intervenants de première ligne, automatiser autant que possible et garantir des canaux de communication rationalisés et toujours disponibles.
Briser les silos, c'est la clé. En unissant sécurité et IT, la plupart des défis s'évanouissent. Face à la prochaine cyber-crise, seule la synergie des équipes fera la différence.