Lors de la conférence RSA 2024, les représentants de certaines des violations les plus tristement célèbres de l’histoire récente ont uni leurs forces pour partager leurs expériences en première ligne d’une cyberattaque.
Les membres du panel comprenaient Russel Ayres, actuel RSSI adjoint chez Equifax et RSSI par intérim lors de la violation de données de 2017 ; John Carlin, président du département de cybersécurité du cabinet d’avocats Paul and Weiss, qui a supervisé le ministère de la Justice lors de plusieurs violations, notamment le piratage de Sony Pictures, les attaques de SolarWinds et l’attaque de Colonial Pipeline ; et le RSSI Tim Crothers, qui a été embauché chez Target après sa violation en 2013, puis chez Mandiant après les attaques de SolarWinds.
Les deux étapes les plus importantes pour se préparer et réagir à une violation de données, ont-ils convenu, sont d’avoir de bons plans de communication et de mener des jeux de guerre.
La communication est essentielle
Étant donné que la perception du public dépend en grande partie de la rapidité avec laquelle une organisation réagit à une violation, cela signifie que les RSSI doivent envisager tous les scénarios potentiels, souvent avant même de savoir ce qui s’est passé.
Faisant référence à la fausse affirmation du gang de ransomwares LockBit selon laquelle il aurait violé Mandiant en 2022, Crothers a recommandé de créer des plans de communication pour de multiples résultats. Pour Mandiant, cela signifiait avoir un plan pour savoir si la violation avait été ou non, ce que Crothers savait être vrai. Cela a permis à l’entreprise de répondre rapidement au public, quel que soit le résultat.
“Tout le monde essaie d’évaluer si vous avez les choses sous contrôle ; c’est l’essentiel”, a déclaré Crothers. “Qu’il s’agisse des régulateurs, des clients, des partenaires, tous essaient de porter un jugement. Sommes-nous au top ? Savons-nous ce qui se passe ? Ou sommes-nous derrière la boule de huit et à la merci des adversaires ? “
Les communications internes, notamment sur les risques commerciaux et l’acceptation des risques, sont également essentielles.
“L’erreur numéro un qui aboutit à la perte d’emploi d’un RSSI et à ses conséquences personnelles est l’incapacité à établir des communications entre les entreprises et les juristes avant l’incident”, a déclaré Carlin.
Les RSSI ont généralement de bonnes intentions et ne partagent pas le fonctionnement des systèmes et quels sont leurs risques, a déclaré Carlin, souvent pour éviter des inquiétudes inutiles et pour ne pas créer de frictions entre collègues et services. Mais après une violation, la plupart des électeurs souhaiteraient connaître les risques à l’avance, a-t-il déclaré. De nombreux acteurs du monde des affaires ne comprennent pas vraiment les risques qu’ils prennent, a-t-il ajouté.
Les jeux de guerre font ressortir les risques
Les jeux de guerre constituent le meilleur moyen de traduire les risques commerciaux et l’acceptation des risques par les dirigeants d’entreprise, a déclaré Carlin. “Utilisez un scénario qui commence petit et se transforme en une catastrophe pour l’ensemble de l’entreprise qui n’est plus un problème de sécurité mais un problème de risque commercial.”
Les jeux de guerre impliquent de rassembler des cadres de niveau C, des avocats généraux et d’autres membres du personnel pour mettre en scène des attaques et des scénarios de catastrophe. L’objectif est de s’assurer que chacun connaisse son rôle lors de la réponse aux violations.
La participation réticente constitue cependant un obstacle majeur aux jeux de guerre. Cela est souvent dû au fait que les gens ne comprennent pas leur objectif, a déclaré Crothers. Il a souligné que la mémoire musculaire créée par les jeux de guerre aide les dirigeants, habitués à être aux commandes en permanence, à comprendre quand ils doivent rester les bras croisés pendant une attaque, quand ils doivent prendre des décisions et quels types de décisions ils doivent prendre.
Carlin a ajouté que de nombreux dirigeants croient à tort que le RSSI sera aux commandes en cas de cyberattaque et savent exactement quoi faire. Il a recommandé de réaliser des exercices théoriques réalistes, pour lesquels le RSSI n’a pas de réponses et qui obligent les participants à prendre des décisions clés sans l’aide du RSSI.
Crothers est allé plus loin en suggérant aux organisations de mener des exercices sans l’implication du RSSI. “Vous êtes dans un avion de Paris à Minneapolis et sans communication pendant 10 heures”, a-t-il déclaré. “Pendant les 10 premières heures suivant l’incident, ils doivent partir sans vous.”
Ayres a souligné l’importance de tester plusieurs scénarios, aussi improbables soient-ils. Equifax n’a pas été en mesure de répondre rapidement aux clients lors de sa faille de sécurité en 2017, car un ouragan a frappé son centre d’appels principal, et deux jours plus tard, un autre ouragan a frappé son centre d’appels de basculement.
“Pour leur défense, si quelqu’un avait fait une telle table, je l’aurais probablement viré”, a déclaré Ayres. Rétrospectivement, a-t-il ajouté, ils auraient dû simuler de tels scénarios.
Autres conseils de préparation et de réponse aux violations
Les panélistes ont également offert les conseils suivants :
- Revenez à l’essentiel. Patching, analyse, gestion des actifs. Ce n’est pas passionnant, mais revenir aux bases de la cybersécurité permet d’éviter les violations.
- Devenez amis avec votre avocat général. Votre avocat général devrait être votre meilleur ami, a déclaré Crothers. Après tout événement, incident ou non, appelez l’avocat général pour que l’affaire soit confidentielle. Premièrement, cela garantit que l’avocat général est au courant si cela se transforme en violation. Deuxièmement, cela garantit que tous les messages autour de l’événement sont sécurisés.
- Considérez votre sauvegarde et la sauvegarde de votre sauvegarde. Que se passe-t-il lorsque les principaux dirigeants ne sont pas là ? D’après l’expérience d’Ayres lors de la violation d’Equifax, le PDG, le CIO et le CSO sont partis, et trois autres chefs d’entreprise ont été enfermés dans une enquête de la SEC, incapables d’aider. Lorsqu’il s’agit de communications et de jeux de guerre, “impliquez autant de personnes que possible”, a-t-il suggéré.
- Tenez tout le monde informé. Une organisation compte de nombreux ambassadeurs de marque au sein de l’entreprise, a déclaré Ayres – des personnes qu’il a laissées dans le noir lors de son expérience de violation alors qu’il se concentrait sur l’information des clients et des consommateurs. “Cela va être réglé par les gens. C’est fait pour les gens. Cela va être mis en œuvre par les gens”, a-t-il déclaré. “Le dénominateur clé, ce sont les gens. Pensez à ces gens, qui sont votre atout le plus important, et tenez-les au courant autant que tout le monde.”
- Parlez à quelqu’un qui a vécu cela. Si vous vivez une brèche, il y a de fortes chances que quelqu’un ait vécu la même chose avant vous. “C’est une petite communauté”, a déclaré Ayres. “Si vous contactez quelqu’un qui a déjà vécu cette situation et parlez à quelqu’un, tout le monde vous donnera probablement toutes les informations et l’aide dont vous avez besoin.”
Sharon Shea est rédactrice en chef de TechTarget Security.