Depuis que la pandémie de coronavirus a contraint les organisations à instaurer un modèle de travail à distance et à s'appuyer plus que jamais sur des outils et des processus numériques, nous assistons à une recrudescence des violations de données. Selon le rapport annuel du FBI, la France a été ainsi le huitième pays au monde le plus touché en 2020 en termes de nombre de plaintes déposées. Dans ce contexte, chaque organisation doit de toute évidence être mieux préparée à réagir à une violation et à l'atténuer efficacement.
Des bases de cybersécurité
Si une organisation ne respecte pas les pratiques élémentaires de cybersécurité, elle risque de ne pas pouvoir gérer efficacement une violation de données. En effet, sans connaissance des types de données sensibles qu'elle détient, ni de leur emplacement, ou si ces informations sont exposées en raison d'autorisations excessives, une entreprise ne sera pas en mesure d'évaluer rapidement la portée de l'incident ni d'en bloquer l'accès. Par conséquent, il est primordial de respecter les pratiques élémentaires en matière de cybersécurité pour pouvoir apporter une réponse efficace en cas de compromission. Il s'agit notamment de veiller à ce que les données sensibles soient conservées dans des emplacements sécurisés, d'éliminer leur surexposition et de révoquer les droits d'accès inutiles. Grâce à la visibilité alors obtenue, l'équipe IT d'une organisation est alors à même d'identifier rapidement une violation, d'analyser le contexte dans lequel elle s'inscrit, et de prendre les mesures qui s'imposent pour y remédier.
Des capacités de détection
Selon un récent rapport de Microsoft, les cybercriminels ont rapidement gagné en sophistication au cours de l'année passée, en recourant à des techniques qui les rendent plus difficiles à détecter. Il s'agit d'un constat inquiétant, car plus les violations de données échappent à la détection dans le temps, plus les conséquences sont lourdes pour une organisation. Par conséquent, la stratégie de réponse aux incidents doit impérativement prévoir des mesures permettant à une organisation d'identifier une intrusion en temps réel. La détection des incidents de sécurité est donc à automatiser ; car cela permettra à une entreprise de déterminer plus rapidement la meilleure réponse à apporter et de réduire au minimum les dommages potentiels. Ainsi, selon un de nos rapports, les organisations disposant de processus automatisés pour surveiller le partage des données ont été capables de détecter les incidents de sécurité en quelques minutes (48 %), tandis que celles qui ne possédaient pas ce type de processus y ont consacré des jours (56 %), voire des semaines (22 %).
Un programme de réponse aux incidents exploitable
Une partie du programme de réponse aux incidents (ou IRP, pour incident response program) est probablement disponible sur l'intranet des entreprises. Cette documentation contient généralement des règles, des normes et des procédures. Pourtant, il est extrêmement important que ce programme soit connu de tous les employés, afin qu'il soit exécuté correctement. Il s'agit notamment de veiller à ce que les rôles des différents acteurs de l'organisation soient clairement définis dans le programme, ce qui signifie que chacun soit familiarisé avec ses devoirs et ses responsabilités. En outre, il convient également de veiller à ce que tous les employés soient formés et au courant des mesures à prendre s'ils remarquent un incident de sécurité. Cela permettra en plus à l'entreprise de limiter le risque de violation des données due à des erreurs humaines, car les collaborateurs comprendront davantage les dommages susceptibles de résulter d'une simple erreur. Par ailleurs, les employés doivent être capables de signaler un incident de sécurité aux personnes pertinentes, et savoir qui assumera la responsabilité de la réponse à cette violation. Enfin, tout IRP est à tester en situation réelle. Ainsi, une organisation pourra identifier les éventuelles lacunes techniques ou de communication et y remédier, de sorte qu'en cas d'incident, la réponse se fera sans heurts.
Apprendre de ses erreurs
Si des informations ont été perdues ou endommagées à la suite d'une compromission, il est essentiel de donner la priorité à la récupération des données clés. Mais dans tous les cas, il est également indispensable de mettre l'accent sur la récupération organisationnelle afin de garantir un retour à la normale le plus vite possible. Une fois cette étape terminée, il s'agira en dernier lieu d'intégrer les enseignements tirés de la violation des données dans la stratégie de sécurité de l'organisation. Cette démarche comprend notamment l'identification et l'élimination des éventuelles failles de sécurité à l'origine de la violation, ainsi que les potentiels problèmes dans les procédures en place, afin de limiter le risque que les attaquants opèrent à nouveau de la même manière.
Les violations de données sont inévitables, d'autant plus que la « cyberpandémie » perdure. Face à cette réalité, les organisations doivent rester en état d'alerte permanent. Toutefois, si les organisations tiennent compte de ces quelques conseils et se dotent d'outils de détection faciles à utiliser, elles parviendront à limiter les pertes résultant de violations de données.