Dans cet article, nous définirons ce qu'est une faille de réponse. Puis, nous identifierons les problèmes courants auxquels les organisations sont confrontées lorsqu'elles cherchent à combler ces failles. Nous vous proposerons des approches de base pour résoudre ces problèmes, et enfin, nous vous proposerons un lien vers un nouvel outil gratuit visant à faciliter ce travail.

Lors de notre évènement SPHERE23, nos experts Tuomas Miettinen, Peter Page et Harri Ruusinen ont tenu une conférence intitulée Strengthening Your Organization's Detection and Response Capabilities (« Renforcer les capacités de détection et de réponse de votre organisation »). Nous leur avons demandé : comment combler les failles de réponse ? 

La réponse débute dès qu'un incident est détecté, et ne s’arrête que lorsqu’il est maîtrisé. Elle ne doit pas être confondue avec la récupération, qui fait suite à une attaque réussie : au stade de la récupération, la réponse n'a plus lieu d'être.

Comment s’organise la réponse ? La plupart des entreprises commencent par un plan de collecte de données et répondent aux alertes de leurs systèmes. C'est une étape incontournable. Pour ce faire, il existe des outils et processus efficaces. Quiconque a passé du temps à étudier la cybersécurité sait que le problème vient rarement d'un manque d'alertes ou d'accès aux données. Le traitement des alertes, lui, est souvent plus complexe.

Lorsque vous êtes capables de collecter et d’interpréter les données, vous devez miser sur la préparation proactive.

À cette étape, qui vous est sans doute aussi familière, l’objectif est d’élaborer un plan de réponse pour chaque danger.

Ainsi, face à une cyberattaque, vous serez en mesure d’apporter une réponse organisée, qui n'aura rien à voir avec la panique.

Agir de manière réfléchie tient du bon sens. Pourtant, selon une enquête Forrester commandée par WithSecure et réalisée en ce début d'année, trois organisations sur cinq déclarent réagir aux problèmes de cybersécurité au fur et à mesure qu'ils se présentent.

L'anticipation peut vous permettre d'aiguiser vos réflexes opérationnels et d’améliorer votre résilience : en menant un travail proactif, vous pourrez identifier clairement les responsabilités de chacun, élaborer un plan de réponse, tester ce plan et, si nécessaire, l'utiliser en cas d'incident. Vous pourrez aussi actualiser ce plan, au fur et à mesure que votre profil de menaces évolue.

Grâce à cette approche, vous pourrez réagir rapidement en cas d'attaque : vous pourrez cerner la menace, organiser votre réponse et l’exécuter avec précision. La clé est de réagir de manière appropriée, par opposition à une réaction précipitée, susceptible de créer plus de problèmes qu'elle n'en résout.

Que la détection soit réalisée en interne ou en externe, le principe est le même : plus la détection est précoce, plus l'exposition est réduite. Vous avez donc tout intérêt à développer de solides capacités de Threat Hunting.

L'activité de Threat Hunting est souvent plus efficace lorsqu'elle est menée dans un environnement calme, dans lequel aucune attaque n’est en cours. Ce travail est réalisé de manière méthodique, à l'abri de la pression qui caractérise un incident ou une situation de crise.

D'après les observations de notre équipe Incident Response, cette approche doit être associée à une pratique active de détection et de réponse.

Voyons maintenant comment détecter vos failles de réponse, ces lacunes qui nécessitent des ajustements pour améliorer votre réponse en cas d'attaque.

Détecter les attaques et y répondre demande du travail, des outils et des compétences. À cela, s'ajoute une difficulté : toutes les entreprises, toutes les équipes, toutes les menaces sont différentes. Chaque profil est donc unique, et chaque organisation présente des failles de réponse bien spécifiques.

Commencez par une évaluation solide des éléments de base. Vous pourrez ainsi vérifier où vous en êtes et évaluer la solidité de votre écosystème.

Souvent, les entreprises ont tendance à surinvestir dans les technologies et à sous-investir dans les compétences, qui sont pourtant nécessaires à la bonne utilisation de ces technologies. Face à la pénurie de compétences qui touche le secteur, investir dans la formation de vos professionnels peut s'avérer très rentable et vous permettre de fidéliser vos experts, tout en justifiant des augmentations de salaire.

1. Utilisez des cadres (ou frameworks) pour évaluer l'état de préparation de votre équipe et de votre entreprise. Cela peut passer par des formations de sensibilisation à la sécurité, financièrement accessibles à la plupart des entreprises. Pour les organisations dotées de moyens plus importants, cela peut concerner les capacités de Threat Hunting et de réponse aux incidents.
2. Préparation et formation : préparation aux incidents, développement de la résilience, exercices pratiques de gestion de crise et exercices de « Purple Team ».
3. Mise en place de process vous permettant de rester informé sur l'évolution des menaces : il peut s'agir tout simplement d'une liste OSINT permettant de connaître les dernières découvertes des chercheurs sur les menaces qui guettent votre secteur.
4. Nous avons déjà évoqué le Threat Hunting, qui représente un investissement largement rentable sur le plan de la sécurité. Le Threat Hunting peut être mené, par le biais d'une équipe interne ou via l'EDR, le MDR ou l'approche « peacetime value » de WithSecure.

Investissez dans des outils permettant de booster le travail de votre équipe et d‘optimiser les ressources dont vous disposez déjà. Envisagez ensuite de doter votre équipe de nouveaux experts supplémentaires ou de nouveaux outils, en fonction de vos besoins.

La résilience est le socle de croissance de votre entreprise. Et pour devenir résilient, vous devez adopter une stratégie adaptée aux capacités et ressources de votre entreprise.

Vous pouvez collaborer avec un partenaire afin de créer la bonne combinaison de technologies, de professionnels et de processus. WithSecure, par exemple, peut vous fournir une solution EDR telle que WithSecure Elements EDR, ainsi que des capacités de monitoring pour trier les alertes lorsque vous ne pouvez pas le faire. Vous pouvez aussi faire appel à un service managé de détection et de réponse comme WithSecure Countercept, qui inclut le personnel et les moyens nécessaires à un Threat Hunting proactif des menaces, sur l'ensemble de votre parc informatique.

En identifiant vos lacunes et en prenant rapidement des mesures pour les combler, vous pourrez assurer une réponse aux incidents bien plus performante. Ce travail de diagnostic n'est pas difficile mais il exige du temps et les entreprises peinent à prioriser ce type de démarche, pourtant essentielle. Utilisez notre outil interactif : il vous aidera à déterminer rapidement où en est votre entreprise.