Il est temps de se préparer à la réponse aux incidents de demain. Ce n'est pas comme hier, et les entreprises qui n'embrassent pas la différence pourraient se retrouver dans une situation désespérée en cas de catastrophe.
La réponse à l'incident Le paysage a radicalement changé au cours de la dernière année. Cela est en partie dû à l'évolution des modèles de travail à mesure que les gens ont migré vers le travail hybride. Le changement le plus important découle d'un changement d'attitude parmi les compagnies d'assurance et, dans une certaine mesure, parmi les entreprises clientes.
Les assureurs et les clients scrutent la sécurité
Les assureurs effrayés par le nombre croissant de paiements liés à la cyber jouent un rôle plus actif dans la réponse aux incidents. Nous avons vu certains exiger de faire appel à leur propre partenaire de cybersécurité préféré lorsqu'un client signale un incident comme condition de dépôt d'une réclamation. D'autres limitent leur responsabilité en introduisant des clauses qui excluent les clients de la couverture pendant les premières heures ou les premiers jours d'un incident.
Les entreprises sont également confrontées à la pression de leurs propres clients commerciaux, qui exigent une plus grande attention à la cybersécurité. Sécurité de la chaîne d'approvisionnement est devenue une priorité pour de plus en plus d'entreprises depuis la SolarWinds et Les débâcles de Kaseya, dans lequel des produits compromis ont créé des problèmes pour des milliers d'utilisateurs en aval. Cela a conduit de plus en plus d'entreprises à exiger de leurs fournisseurs la preuve d'une couverture de cybersécurité adéquate XNUMX heures sur XNUMX, et cela a créé un pool de responsabilité plus large que les assureurs doivent prendre en compte lors de la détermination de la couverture.
Les plans de réponse aux incidents doivent s'adapter
Qu'est-ce que cela signifie pour équipes d'intervention en cas d'incident? L'élément le plus critique est une concentration accrue sur la vitesse. Cela souligne à son tour la nécessité de se concentrer sur les incidents à un stade précoce qui peuvent être un précurseur d'une violation majeure. L'objectif est de répondre aux « petits » incidents avant qu'ils ne deviennent de « grands » événements.
Les victimes d'attentats non couvertes pendant les premières heures d'un incident doivent réagir rapidement pour limiter l'impact financier. Malheureusement, les attaquants compliquent la tâche.
Les criminels rançongiciels sont les plus actifs en dehors des heures de bureau. Ils savent que les équipes de sécurité seront mal dotées en personnel à ces moments-là, si elles sont au bureau. Cybereason, partenaire de Nuspire, a récemment interrogées 1,200 XNUMX entreprises qui ont subi une attaque de ransomware en dehors des heures normales de travail. La moitié d'entre eux ont subi une réponse plus lente en conséquence, en partie parce qu'il était difficile de rassembler les membres de l'équipe le week-end ou les jours fériés, même avec un plan de réponse aux incidents en place. Cela a souvent entraîné une augmentation des pertes de revenus suite à une attaque de ransomware, ont déclaré les répondants.
Certaines compétences, telles que la criminalistique numérique, sont difficiles à intégrer en interne. Ces compétences spécialisées sont rarement utilisées, mais elles sont essentielles en cas de besoin.
Les entreprises ont besoin d'un continuum de réponse aux incidents
Il existe deux niveaux de réponse aux incidents. Le premier est celui que la plupart des entreprises comprennent : la réponse aux événements importants et spectaculaires. Ce sont les choses qui vous empêchent de dormir la nuit : le vol des dossiers des clients, une catastrophe liée à un ransomware ou une compromission de messagerie professionnelle qui siphonne des millions de dollars des coffres de l'entreprise. Cela peut être considéré comme une «réponse aux gros incidents» traditionnelle.
L'autre type de réponse aux incidents implique des événements plus petits et isolés. Il peut s'agir d'une infection par ransomware sur un seul ordinateur portable, d'un seul e-mail de phishing ou d'un cas ponctuel d'accès non autorisé. Les gens les traitent souvent comme des incidents quotidiens - des épisodes qui irritent les administrateurs mais qui sont traités tôt ou tard. Certains voient cela comme les petites choses que vous n'avez pas besoin de transpirer.
Ce n'est plus vrai. Les ransomwares et autres formes de malwares se déplacent désormais plus rapidement que jamais. L'incident isolé de ce soir pourrait être la catastrophe de demain matin.
Les assureurs et les clients le comprennent de plus en plus et veulent une preuve que vous vous attaquez à ces problèmes pour éviter des violations importantes plus tard. Cela signifie que la réponse aux incidents n'est plus un processus discret ; c'est un continuum qui commence avec la première alerte d'incident (et qui, espérons-le, s'arrête là).
Nous devons également accroître notre compréhension de ce qui se passe à l'autre extrémité du spectre d'intervention en cas d'incident, lorsque les compagnies d'assurance peuvent intervenir. Cela commence avant même que les professionnels de la médecine légale n'arrivent sur le terrain.
Une communication claire avec les assureurs en amont d'incidents majeurs est cruciale pour comprendre leurs attentes. Il en va de même pour la compréhension des aspects juridiques du processus de réponse aux incidents, y compris la personne que la victime contacte en premier. Par exemple, les assureurs pourraient exiger que la victime les contacte initialement, mais parler d'abord à un avocat pourrait rendre certaines informations confidentielles pour empêcher leur découverte plus tard. Il y a aussi des nuances dans ce que dit la victime. Même l'utilisation du mot « violation » dans la communication pourrait déclencher un délai pour informer les régulateurs ou les clients.
Les entreprises doivent constituer une équipe solide avec une chaîne de commandement claire, afin que chacun comprenne qui a le contrôle en cas de crise. Ensuite, ces équipes doivent effectuer des exercices réguliers sur table pour résoudre des scénarios de violation majeurs. Savoir qui fait quoi est essentiel.
C'est beaucoup à gérer pour les entreprises, surtout compte tenu de la nécessité d'être tout aussi diligent en dehors des heures de travail normales. Aujourd'hui plus que jamais, lorsqu'il s'agit de gérer des problèmes de cybersécurité, la rapidité est essentielle.
