Comment la cybersécurité change le visage de la gestion des incidents

Les cybercriminels sont partout. Malheureusement, une fois qu'ils ont pénétré dans votre réseau, ils ont tout le temps de faire leur sale boulot. prend presque deux mois (50 jours) en moyenne pour que les équipes informatiques identifient qu'une violation a eu lieu.

Et les coûts s'accumulent rapidement. Selon le Étude 2019 sur le coût d'une violation de données de l'Institut Ponemonle coût moyen de recouvrement par incident est de $3,92 millions.

Pour atténuer ces risques, vous devez disposer d'un plan de réponse aux cyberincidents. Cela vous permet de minimiser les dommages et les coûts lorsque - et non pas si - vous êtes attaqué.

Mais comment la cybersécurité et la réponse rapide aux incidents s'intègrent-elles dans votre mécanisme établi (et vraisemblablement bien huilé) de gestion des incidents informatiques ?

La bibliothèque des infrastructures informatiques (ITIL®) est devenu la norme pour la gestion des infrastructures informatiques de nombreuses organisations. Mais bien que l'ITIL - ou ses variantes - aide efficacement les entreprises à organiser et à gérer leurs services informatiques, il n'offre pas une sécurité suffisante. Si vous vous fiez à ITIL, vous risquez de vous retrouver à sec lorsque les cybercriminels viendront vous chercher.

Dans ce blog, nous expliquons comment la sécurité et la gestion des incidents informatiques sont actuellement cloisonnées dans de nombreuses organisations. Nous examinons les raisons de ce problème et suggérons des moyens de le résoudre afin que tout incident affectant les services informatiques - qu'il s'agisse de cybersécurité, d'infrastructure informatique ou d'autres problèmes - soit traité et résolu rapidement et efficacement.

Gestion des incidents et cybersécurité : distinctes, mais d'égale importance

Votre Gestion des incidents informatiques (IM) est un élément clé de la gestion des services informatiques (ITSM). La charte de l'équipe consiste à remettre rapidement les services en état après une interruption. Son objectif est de minimiser l'impact du problème sur les utilisateurs et sur l'entreprise. Sur le plan opérationnel, cela signifie réduire la durée et la gravité des perturbations dues à des ralentissements ou à des pannes inattendues du matériel, des logiciels et du réseau.

L'équipe de GI entre en action lorsque quelqu'un ou quelque chose - un utilisateur ou un membre du personnel informatique, ou peut-être un système d'alerte automatisé - identifie qu'un événement s'est produit. Il se peut que le réseau ait ralenti ou qu'une application ne réponde pas. Le personnel de la GI commence par contenir l'incident pour éviter qu'il n'affecte d'autres services. Ensuite, il trouve généralement une solution de contournement temporaire, déploie le correctif, récupère le système et le remet en production. Le personnel de la GI effectue ensuite une analyse des causes profondes (si nécessaire) pour déterminer la raison du problème, consigne l'incident pour référence ultérieure et, si nécessaire, fait intervenir les personnes appropriées pour commencer à travailler sur une solution permanente.

De nombreuses entreprises ont également constitué de solides équipes de cybersécurité. Ces équipes de réponse aux incidents (RI) ont traditionnellement suivi un chemin comparable, bien que parallèle, à celui de l'équipe de GI pour résoudre les problèmes. La différence : leur charte est dédiée à la réponse aux incidents de sécurité. Les types d'événements qui déclenchent l'intervention de l'équipe de cybersécurité sont les suivants :

  • Logiciel malveillant
  • Attaque de pirates réussie ou non.
  • Une alarme déclenchée par un système de détection d'intrusion
  • Accès non autorisé à des informations sensibles
  • Modification non autorisée d'informations
  • Accès non autorisé à des données classifiées ou autrement sensibles
  • Compromission de l'intégrité du système/serveur
  • Déni de service (DoS) ou DoS distribué

Les équipes de cybersécurité et les équipes de GI ont traditionnellement travaillé de manière indépendante. Mais le monde change. La technologie progresse rapidement et les organisations en sont de plus en plus dépendantes. Cela signifie que les systèmes doivent être toujours opérationnels, sous peine d'avoir un impact négatif sur l'entreprise. La complexité des environnements informatiques actuels et la perspicacité des cybercriminels - qui semblent malheureusement toujours avoir une longueur d'avance sur les professionnels de la sécurité - signifient que les entreprises comme la vôtre doivent forger une nouvelle relation entre les équipes. Cela signifie qu'il faut analyser les personnes, les processus et les technologies des deux opérations, et voir comment ils peuvent travailler ensemble de manière plus transparente.

Les défis de l'intégration IM-IR

Aujourd'hui, les entreprises sont confrontées à des questions telles que : quand un problème de gestion de l'information devient-il un problème de sécurité, et vice versa ? Qui - ou quels systèmes automatisés - prend cette décision ? Que se passe-t-il ensuite ? Malheureusement, ITIL n'aborde pas directement ces questions et d'autres encore. Bien qu'elle indique ce qu'il faut faire à un haut niveau, elle n'est pas très utile sur le plan opérationnel.

L'ancienne façon "informatique" de répondre aux incidents de sécurité, avec le DSI qui se tient au-dessus de votre épaule et qui vous demande "Est-ce que c'est réparé ?", est révolue depuis longtemps". a écrit Robert Herjavecprésident du Groupe Herjavec, une société de conseil basée à Los Angeles.

Cette nouvelle complexité pose de nombreux défis. Le principal d'entre eux : Les équipes de GI et de RI sont aujourd'hui inondées d'alertes et de données provenant d'un portefeuille croissant de solutions ponctuelles cloisonnées, pour gérer les perturbations de l'infrastructure et de la sécurité. Mais les données relatives à ces incidents et vulnérabilités manquent souvent de contexte commercial, ce qui rend difficile de savoir lesquels constituent la plus grande menace pour l'organisation et qui est le plus apte à faire face à la perturbation. Les processus manuels et les transferts entre équipes entravent encore davantage le processus.

Une nouvelle approche

Nous constatons déjà un changement radical dans la façon dont les entreprises parlent aujourd'hui de la RI de cybersécurité. Le langage utilisé provient des professionnels de l'intervention d'urgence comme les premiers intervenants et les équipes militaires : des termes comme découverte, confinement, éradicationet récupération sont fréquemment entendus en liaison avec les RI de cybersécurité.

Des organisations de premier plan ont également adopté le structures organisationnelles de professionnels de l'urgence en qualifiant la hiérarchie des membres de l'équipe d'escouade de "commandement d'incident", avec un commandant d'incident, le chef qui prend les décisions lors d'incidents de cybersécurité souvent très graves.

En fait, si vous n'avez pas entendu ces termes lorsque vous tentez d'aligner la gestion de l'information et la gestion des incidents informatiques, vous ne disposez probablement pas de l'équipe adéquate pour faire face à une urgence en matière de cybersécurité. Voici le cycle de vie habituel de l'équipe informatique de cybersécurité :

  1. Préparation : Effectuer une évaluation des risques de l'organisation et établir des politiques de sécurité
  2. Découverte : Identifier quand une violation potentielle s'est produite
  3. Confinement : Empêcher les intrus (ou l'infection) de se propager
  4. Éradication : Se débarrasser du problème
  5. Récupération : Retour à la normale des systèmes et des opérations
  6. Les leçons apprises : Faites un bilan complet pour être prêt pour la prochaine fois.

Premières étapes

Pour mettre en œuvre ce cycle de vie, vous devez d'abord établir un processus permettant d'identifier les événements liés à la sécurité - par opposition aux événements qui relèvent de l'équipe de GI. Parfois, c'est évident. Par exemple, votre système d'intrusion ou SIEM peut détecter une attaque DDOS. Il enverrait alors bien sûr une alerte à l'équipe de RI de sécurité. Mais il faut parfois un certain temps pour enquêter sur un événement avant de se rendre compte qu'il s'agit, en fait, d'un problème de sécurité.

La première étape consiste à former votre service d'assistance et les autres membres du personnel de la GI à reconnaître les incidents de sécurité, c'est-à-dire tout événement informatique qui nuit ou tente de nuire à la disponibilité, au respect de la vie privée, à la confidentialité ou à l'intégrité d'un service informatique.

Comme pour tous les incidents, l'utilisation de techniques de questionnement spécifiques dès le début d'un incident et la capacité à décomposer les informations sont essentielles pour découvrir rapidement les incidents de sécurité et mener des actions spécifiques. En particulier, l'étape que nous appelons "Séparer et clarifier" est essentielle pour décrire les symptômes et l'impact à un niveau suffisamment granulaire pour voir "ce qui se passe en dessous". Cela augmentera la probabilité qu'une équipe de GI identifie un incident de sécurité probable et implique l'équipe de RI le plus tôt possible dans le processus et minimisera les dommages.

Cela ne fonctionne que si les organisations intègrent, au moins partiellement, la GI à la réponse aux incidents de cybersécurité. Un rapport de Enterprise Management Associates "La gestion des services informatiques de nouvelle génération : Changing the Future of IT", a révélé que l'une des deux principales priorités stratégiques des professionnels de la gestion des services informatiques - juste après l'amélioration de l'expérience utilisateur - est "la prise en charge intégrée de la sécurité entre les silos". Ces deux priorités stratégiques, ainsi que d'autres citées par les répondants à l'enquête, constituent des incitations fortes et permanentes au changement. et la croissance des équipes de gestion de l'information des entreprises pour englober la cybersécurité.

Le site RESILIA Les directives publiées par AXELOS en 2019 constituent un autre point de départ pour votre voyage. RESILIA est un portefeuille de formation, d'apprentissage et de certification étayé par le guide des meilleures pratiques en matière de cyberrésilience RESILIA. Il aligne les directives de cybersécurité sur ITIL, ce qui permet d'intégrer la sécurité dans vos processus de GI existants.

Bien entendu, ce qui s'applique aux incidents majeurs (P1) s'applique également à la gestion des incidents de sécurité, qui, presque par définition, sont pour la plupart "majeurs". Une fois détectés, ils doivent être gérés différemment des incidents ordinaires. Cela implique des ressources dédiées et des gestionnaires d'incidents qui combinent l'expertise technique avec la capacité d'animer des équipes d'incidents majeurs et de les conduire à la résolution grâce à un excellent dépannage, une prise de décision et une gestion des risques.

Que faire ensuite ?

Les événements de sécurité peuvent être stressants, d'autant plus qu'ils se situent en dehors de la zone de confort d'un grand nombre de vos employés de GI. Cela est particulièrement vrai lors d'incidents complexes où des professionnels d'autres services, tels que les RH, le service juridique, la conformité ou la direction générale, doivent être impliqués. Ces professionnels sont habitués à travailler de manière plus structurée et ont probablement été très peu exposés aux processus de RI en matière de cybersécurité. Cela rend le travail de l'équipe de gestion de l'information encore plus crucial. En effet, si les pratiques et les directives de gestion de l'information ne sont pas prises en compte dans la RI en matière de cybersécurité, le processus de récupération pourrait être nettement moins efficace, ce qui entraînerait des dommages financiers et une atteinte à la réputation. C'est pourquoi votre équipe de gestion de l'information est plus importante que jamais en ces temps de risque continu et chronique en matière de cybersécurité.

À propos de Kepner-Tregoe

Kepner-Tregoe a permis à des milliers d'entreprises de résoudre des millions de problèmes. KT fournit une approche cohérente, évolutive et basée sur les données aux clients des secteurs de l'exploitation, de la fabrication, de la gestion des services informatiques, du support technique, de la formation et du développement. Nous vous donnons les moyens de résoudre les problèmes. KT offre une combinaison unique de services de développement des compétences et de conseil, conçus spécifiquement pour révéler la cause profonde des problèmes et relever de façon permanente les défis organisationnels. Notre approche de la résolution des problèmes donnera des résultats mesurables à toute entreprise cherchant à améliorer la qualité et l'efficacité tout en réduisant les coûts globaux.

Image du blog 1
Incidents et problèmes - les deux faces d'une même médaille
Image du blog 1
Les meilleures pratiques en matière d'examen après incident améliorent considérablement la réponse aux incidents
Image du blog 1
Régler les incidents ou résoudre les problèmes - choisissez votre poison
Image du blog 1
Comment devenir une superstar de la gestion des incidents et des problèmes ?

Nous contacter

Pour tout renseignement, information complémentaire ou un devis !