En matière de cyber sécurité, le risque zéro n’existe pas. Pour être efficace, une politique de protection ne doit pas uniquement reposer sur la suppression des failles, mais aussi sur la capacité de l’entreprise à identifier rapidement les comportements suspects sur son réseau et réagir aussi rapidement pour en limiter l’impact. Ce double objectif est la réalité quotidienne des RSSI, qui sont 86 % à penser que les cyber incidents sont inévitables dans leurs entreprises. Il n’y a donc rien de surprenant à ce que la majorité d’entre eux considèrent la rapidité et la qualité de la réponse aux incidents comme les facteurs les plus importants pour la mesure de leur performance.
Tandis que la mise en place d’un processus de réponse aux incidents est une nécessité, les RSSI restent cependant confrontés aux défis organisationnels propres à chaque entreprise.
La nécessaire externalisation face à la pénurie de compétences
La réponse aux incidents est souvent perçue à tort comme le fait d’appliquer d’urgence un remède lorsqu’un incident survient. Or ce processus commence avant même le début d’une attaque et ne se termine pas avec elle. En règle générale, il se décompose en quatre étapes. La première consiste à former en amont le personnel concerné. La deuxième porte sur la détection d’incident. Ensuite, l’équipe dédiée doit neutraliser l’attaque et restaurer tous les systèmes touchés. Une fois le problème résolu, la stratégie de réponse doit être réexaminée en vue d’éviter des situations similaires à l’avenir.
Ces diverses activités font appel à différents professionnels. Malheureusement, ces spécialistes ne sont pas légion. Les profils d’analyste en malware, de spécialistes capables de répondre à une attaque et de chasseurs de menaces sont très prisés et les candidats, peu nombreux. Par conséquent, ces compétences coûtent cher. Pour ces raisons, il est de plus en plus compliqué pour les entreprises d’employer en interne une équipe à même de conduire l’ensemble du processus de réponse aux incidents.
L’externalisation, à la fois flexible et plus économique, peut alors représenter une alternative intéressante. Mais là encore, rien n’est simple car le choix d’un sous-traitant ne va pas de soi.
Résoudre le casse-tête de l’externalisation
Pour être efficace, une équipe extérieure doit couvrir toutes les compétences essentielles en matière de réponse aux incidents, à savoir la recherche des menaces, l’analyse des malwares et les investigations numériques a posteriori. Il importe que les prestataires possèdent des certifications indépendantes attestant ces compétences de base. En outre, il convient de les interroger sur leur expérience dans ce domaine. Plus ils travaillent pour de nombreux clients dans divers secteurs, plus ils ont de chances de se confronter régulièrement à des incidents typiques et de pouvoir déceler des similitudes entre des situations apparemment distinctes.
Les entreprises qui externalisent la réponse aux incidents peuvent instaurer des procédures plus rapides car une équipe extérieure est toujours d’astreinte, prête à intervenir pour résoudre un incident le cas échéant, à condition qu’elle soit mandatée à temps.
Il arrive souvent que l’équipe du client découvre, à son retour au bureau le lundi matin, que l’entreprise a été victime d’une attaque au cours du week-end. Pendant plusieurs jours, elle tente de régler le problème par elle-même. Finissant par s’apercevoir qu’elle est dépassée, l’équipe interne se décide à s’adresser à des experts extérieurs. Or il est déjà vendredi. L’entreprise s’efforce alors de valider en urgence toutes les demandes d’intervention avant que ne commence un nouveau week-end mais du temps précieux a été perdu.
Pour la plupart des grandes entreprises, une stratégie hybride, associant des intervenants extérieurs comme seconde ligne de réponse et une équipe interne en première ligne, constitue la solution la plus efficace car elle réunit les avantages et élimine les inconvénients des deux approches. Pour limiter les coûts d’un tel choix, certaines entreprises peuvent faire le choix d’un modèle plus économique en employant une équipe de réponse de premier niveau. Cette équipe interne doit pouvoir analyser l’incident en premier, puis le traiter selon la procédure ou bien le transmettre à des experts extérieurs.
En conclusion, l’externalisation de la réponse aux incidents ne veut pas dire que l’entreprise s’exonère de toute responsabilité pour la confier à des experts extérieurs. Il est toujours indispensable de prévoir un plan. Pour réagir à temps, l’entreprise doit s’être préparée et avoir mis en place une première ligne de réponse. Elle doit formuler des instructions précisant dans quel cas faire appel à une assistance extérieure et pour quelles tâches. Un collaborateur interne à l’entreprise doit également être chargé de définir les priorités d’action et de coordonner la coopération entre les services internes et l’équipe externe. Il est impératif d’attribuer ce rôle.
Par Ilijana Vavan, Directrice générale Europe, Kaspersky