Accueil La cyber-sécurité Pour améliorer les cyberdéfenses, pratiquez les catastrophes

Pour améliorer les cyberdéfenses, pratiquez les catastrophes

0
Pour améliorer les cyberdéfenses, pratiquez les catastrophes



Si vous n’utilisez pas déjà les simulations de crise comme élément clé de la préparation et de la réponse aux incidents, il est temps de commencer à tester le personnel et les protocoles pour aider les équipes à développer leurs compétences et leur préparation aux situations difficiles.

Mark Lance, vice-président du DFIR et des renseignements sur les menaces chez GuidePoint Security, déclare : « Nous constatons de plus en plus de demande, ainsi que d’exigences établies par planches, compagnies d’assurance cyberou d’autres parties prenantes clés, pour effectuer ces simulations chaque année ou plus », dit-il.

Non seulement ces exercices aident les employés à comprendre leurs rôles et responsabilités lors d’un incident, mais ils constituent également un excellent moyen d’éduquer les gens. À titre d’exemple, la plupart des gens ne comprennent pas les subtilités impliquées lors d’un incident de ransomware, la multitude de tiers impliqués et les points de décision clés, à moins d’avoir déjà vécu cette situation.

« Une simulation de crise non seulement les familiarise avec leurs propres processus de réponse aux incidents, mais les sensibilise également aux menaces pertinentes, aux risques associés et aux décisions critiques », explique Lance.

À une époque de cybermenaces en constante évolution, les simulations de crise offrent aux organisations un terrain d’essai essentiel pour renforcer leurs défenses en matière de cybersécurité, en dotant les équipes des compétences et de la résilience nécessaires pour se protéger contre une multitude de risques.

Types de simulations de crise

La simulation la plus simple est un « exercice de simulation » dans lequel une organisation rassemble les parties prenantes appropriées, présente un scénario de catastrophe ou d’attaque, demande à chaque partie prenante de discuter de sa réponse et fait ressortir les forces et les faiblesses des dépendances grâce à la collaboration, explique Casey Ellis, fondateur et directeur technique de Foule d’insectes.

« Un bon exemple est un exercice de simulation de ransomware simulant le déni des systèmes de production, les systèmes de basculement et la suppression des sauvegardes », explique Ellis. « L’idée d’une reprise après sinistre indisponible est assez contre-intuitive, et c’est un scénario qu’il vaut mieux réfléchir à l’avance qu’à la volée. »

L’objectif d’une simulation est de créer une situation de crise « quasi réelle » et de voir comment l’équipe réagit, explique Erik Gaston, vice-président de l’engagement mondial des dirigeants chez Tanium. « Cela inclut les communications en cas de crise et d’escalade », explique-t-il. « Cela permet non seulement de découvrir les problèmes potentiels avant qu’ils ne surviennent, mais aussi de garantir que les plans de réponse aux crises et aux incidents ne comportent pas de failles. »

Ces exercices permettent également de vérifier que les équipes, notamment l’équipe bleue, prennent de bonnes décisions collaboratives et n’opèrent pas dans le sens du terme. silos traditionnels dans lequel travaillent de nombreuses organisations de sécurité.

Alternativement, les organisations peuvent utiliser des tests d’intrusion de l’équipe rouge pour simuler des attaques réelles. Ceci peut être réalisé en employant des hackers éthiques ou un équipe rouge interne qui tente de briser les défenses d’une organisation.

« L’objectif est d’identifier les vulnérabilités et d’évaluer les capacités de réponse aux incidents de l’organisation », explique Mike Walters, président et co-fondateur d’Action1. « Cette approche fournit des informations précieuses sur l’état de préparation d’une organisation à lutter contre les cybermenaces. »

Ellis de Bugcrowd affirme que les organisations pourraient également envisager un programme public de primes aux bogues comme une sorte de « simulation de crise continue ».

Il explique que la création des mêmes types d’incitations pour les pirates informatiques que celles qui existent pour les criminels libère la créativité de cette communauté, et que les vulnérabilités et les risques qui apparaissent sont spécifiques, exploitables et hautement pertinents.

« Un programme de bug bounty se concentre principalement sur la prévention », note-t-il.

Améliorez la défense en surmontant les défis de simulation

Le principal défi auquel les organisations sont confrontées lors de l’exécution de simulations de crise est de déterminer le bon niveau de difficulté, explique Tanner Howell, directeur de l’ingénierie des solutions chez RangeForce.

« Avec des acteurs de la menace allant des scénaristes aux États-nations, il est essentiel de trouver un équilibre entre difficulté et pertinence », dit-il. « Si la simulation est trop simple, elle ne testera pas efficacement les playbooks. Trop difficile, et l’engagement de l’équipe pourrait diminuer. »

Walters dit que les organisations devraient se développer des simulations au-delà des aspects techniques pour inclure la conformité réglementaire, les stratégies de relations publiques, les communications avec les clients et d’autres domaines critiques.

« Ces mesures contribueront à garantir que les simulations de crise soient complètes et à mieux préparer l’organisation à un large éventail de scénarios de cybersécurité », note-t-il.

Taavi Must, PDG de RangeForce, affirme que les organisations peuvent mettre en œuvre certaines bonnes pratiques clés pour améliorer la collaboration, la préparation et la posture défensive des équipes.

« Les responsables peuvent effectuer des analyses commerciales pour identifier les menaces les plus pertinentes pour l’organisation », explique-t-il. « Cela permet aux équipes de concentrer leur temps déjà précieux sur ce qui compte le plus pour elles. »

Il ajoute qu’avec les exercices de crise, les équipes peuvent tester leurs compétences dans un environnement réel avec des menaces réelles.

« Cela signifie que les équipes doivent travailler sans alertes, playbooks et garde-fous préconfigurés », explique Must. « Cela permet aux équipes de véritablement comprendre la menace, sans avoir recours à des habitudes moins difficiles ou passives. »

Les équipes peuvent comparer leurs performances dans ces simulations, ce qui leur permet d’évaluer et d’atténuer rapidement les écarts détectés, explique-t-il.

Entraînez-vous comme vous vous battez

Alors que le paysage des menaces et la surface d’attaque de la plupart des entreprises se développent à un rythme rapide, les services informatiques ne peuvent jamais quitter le ballon des yeux.

« Cela s’étend à l’organisation dans son ensemble, où les gens doivent être vigilants et identifier rapidement des types spécifiques d’attaques, comme les ransomwares et même l’extorsion, qui peuvent conduire à des situations très coûteuses », explique Gaston.

De son point de vue, des équipes dédiées sont essentielles, car les organisations doivent toujours être à l’affût de signes de violation, tant au niveau de la sécurité que des opérations informatiques. Plus les équipes peuvent réagir rapidement, plus l’entreprise a de chances de ne pas faire la une des journaux – ou pire encore. La meilleure façon de passer d’un comportement réactif à un comportement proactif est de « s’entraîner comme si on se battait » aussi souvent que possible, explique Gaston.

« Lorsque vous disposez de vos meilleurs joueurs, de vos outils et d’un programme raffiné, de manuels de jeu et de processus pratiqués et perfectionnés chaque jour, cela garantit que l’équipe reste dans une posture préventive et maintient un haut niveau de résilience », ajoute-t-il. « Des violations se produiront, mais les équipes qui adoptent une attitude préventive auront beaucoup moins de violations et rebondiront beaucoup plus rapidement lorsqu’elles se produiront. »

Solliciter des commentaires, appliquer les leçons

Les enseignements tirés des simulations doivent être utilisés pour mettre à jour et améliorer les plans de réponse aux incidents.

Les animateurs spécialisés qui dirigent ces sessions « garantissent que vous avez la bonne implication de tous les participants – voix fortes et voix basses – respectent les délais établis, exercent les points de discussion critiques et peuvent fournir des commentaires tangibles qui seront nécessaires pour les améliorations résultant de la session. » Notes de Lance de GuidePoint.

Il est également important de impliquer les employés à tous les niveauxallant du personnel débutant à la haute direction, dans ces simulations.

« Cette approche inclusive garantit que chacun au sein de l’organisation comprend l’importance de la cyber-résilience et son rôle dans son maintien », explique Walters d’Action1.

De plus, recueillir les commentaires des participants après chaque simulation est essentiel pour identifier les domaines qui nécessitent des améliorations. Les informations peuvent ensuite être utilisées pour effectuer les ajustements nécessaires pour les simulations futures, selon Walters. Il estime qu’il est fortement recommandé de collaborer avec des experts et des organisations en cybersécurité pour concevoir et réaliser des simulations de crise.

Walters ajoute : « De tels partenariats permettent la création de simulations qui reflètent fidèlement les menaces du monde réel. »

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici