Découverte d'une violation de données : les actions décisives à suivre

Selon IDC, 53% des décideurs français font de la protection contre les attaques ciblées leur priorité pour les 24 prochains mois.

À une époque où la valeur des données ne peut être sous-estimée, il est en effet essentiel de réagir de manière adéquate et rapide dès qu’une compromission est suspectée. La réponse dépendra de l’organisation, de son équipe et du type d’attaque auquel elle est confrontée ; mais certaines étapes clefs sont à suivre scrupuleusement pendant les premières heures pour garantir le respect de la législation et un retour à la normale rapide.

Confirmation de l’attaque et communication auprès des parties prenantes

Dans un premier temps, il convient de déterminer si l’incident est bel et bien une violation ou s’il s’agit d’un faux positif. Pour ce faire, il faut effectuer un triage, déterminer si des données sont à risque ou ont été compromises, et si des hackers sont parvenus à pénétrer l’infrastructure, les applications, ou encore les services cloud. Si l’équipe de sécurité obtient des preuves tangibles d’une violation, elle doit diffuser un avis interne urgent, interdire l’accès aux systèmes compromis aux utilisateurs non essentiels et isoler l’environnement pour limiter la propagation. Au terme de la première heure, il est temps de transmettre les informations disponibles aux parties prenantes en interne et de préparer une réponse.

Planifier, tester et préparer

La teneur du plan de réponse dépendra du type d'attaque que vous subissez et de l’estimation des dégâts. L’identification d’une attaque par ransomware sera évidente, car le cybercriminel posera des conditions pour la restitution des données. D’autres seront à l’inverse plus discrètes, comme l’exfiltration d’informations, ou une compromission de type Zero-Day qui témoignerait d’une menace plus sophistiquée, potentiellement commanditée par un État. Dans tous les cas, un plan dûment éprouvé doit être élaboré en amont pour chaque éventualité, avec une réponse associée. À priori, l’instigateur de la menace pourrait suivre de près les actions menées contre lui, afin de déterminer la meilleure façon de ne pas se faire prendre et de riposter au besoin.

En parallèle, l’équipe de sécurité est soumise à une forte pression pour résorber l’incident tout en permettant de maintenir les activités opérationnelles. Cette recherche d’équilibre entre la sécurité et la continuité des activités peut se révéler très éprouvante et pousser à éviter toute mesure draconienne. Le fait de consigner des notes détaillées au fur et à mesure de l’évolution de la situation est extrêmement utile. En effet, détailler à l’écrit chaque décision prise, ainsi que le contexte qui prévaut à ce moment-là, permettra de formuler de futurs plans, mais aussi de justifier si besoin l’ensemble du processus et des décisions lorsque l’incident sera clos.

Rendre l’affaire publique

Une fois la compromission découverte, le RGPD (Règlement Général sur la Protection des Données) oblige l’entreprise à informer les personnes concernées et les autorités de ce qui s’est passé. Il s’agit d’une situation délicate, et il est donc essentiel de travailler en étroite collaboration avec l’équipe de communication pour s’assurer de véhiculer le bon message, au bon moment, aux bonnes personnes. Les régulateurs et le secteur dans son ensemble évalueront ensuite cette réponse. L’entreprise doit veiller à bien appréhender les obligations légales et réglementaires qui lui incombent en matière de reporting.

Se reposer et prendre du recul

Une fois que l’incident est sous contrôle et que les communications ont été assurées, il est judicieux de faire une pause : la plupart des cyberattaques se produisent en dehors des heures de travail, et l’équipe a probablement œuvré sans relâche depuis sa détection. La tâche la plus importante à entreprendre désormais est donc de prendre du recul et de se reposer, car les personnes fatiguées sont plus susceptibles de prendre de mauvaises décisions.

Au-delà du premier jour

Il est difficile de déterminer la suite des événements. Les employés chargés de la sécurité seront éventuellement amenés à atténuer de nouvelles vulnérabilités découvertes, à restaurer les systèmes et services de secours ou à se préparer à d’autres attaques potentielles. En effet, dès qu’un incident est rendu public, l’organisation devient bien souvent une cible encore plus grande pour les cybercriminels.

Une fois la menace maîtrisée, il est alors temps de réfléchir à comment mettre à profit l’expérience obtenue. L’équipe de sécurité peut ainsi développer une étude de cas pour demander un budget supplémentaire ou formuler de nouveaux plans de réponse aux incidents, ou même tirer parti du rôle joué par certains d’entre eux dans la réponse pour décrocher de nouvelles fonctions. Dans tous les cas, il est toujours utile de partager ses expériences avec des pairs, car le partage d’informations et de connaissances est la meilleure arme pour lutter contre les cybermenaces.