Comment identifier et signaler les incidents de sécurité
Dans la société d'aujourd'hui fortement connectée et axée sur Internet, il est de plus en plus courant pour les entreprises d'investir dans la gestion des incidents de sécurité. Lorsque la prévention d'un problème devient impossible, la meilleure chose à faire est de prendre rapidement les mesures appropriées.
Voici comment reconnaître les incidents de sécurité pour minimiser leurs impacts.
Qu'est-ce qu'un incident de sécurité ?
Bien que les experts en cybersécurité aient parfois des définitions légèrement différentes des incidents de cybersécurité, ils les classent généralement en deux types principaux. Mais de manière générale, un incident de sécurité est toute tentative ou violation réussie des politiques de cybersécurité et des mécanismes de protection d'une entreprise qui entraîne des conséquences négatives. Les exemples comprennent:
- Preuve de l'utilisation non autorisée de l'application ou de l'accès aux données.
- Attaques de phishing.
- Rapports d'ingénierie sociale.
- Comptes d'utilisateurs compromis.
- Alertes sur l'utilisation non autorisée du réseau.
Quels sont les deux types d'incidents de sécurité ?
Les risques de sécurité n'entraînent pas toujours des problèmes. Par exemple, un employé peut laisser un ordinateur portable de l'entreprise sur le siège arrière d'un taxi et recevoir une notification concernant la propriété laissée cinq minutes plus tard. Une analyse peut également confirmer la probabilité que l'erreur ait conduit à des données compromises ou à une falsification informatique dans cette brève fenêtre, en particulier si elle est protégée par mot de passe.
Dans de tels cas, un événement de sécurité est un événement observé qui pourrait compromettre des données, un réseau ou une entreprise. La création d'un plan de réponse aux incidents de sécurité robuste réduit les chances que les événements de sécurité deviennent des incidents. La formation des employés peut aussi aider.
Un cybercriminel peut envoyer des e-mails de phishing à chaque membre de l'équipe d'une entreprise de 100 personnes, ce qui entraîne 100 événements de sécurité. Cependant, si aucun employé ne tombe dans le piège, aucun des événements ne devient un incident de sécurité avec les conséquences associées.
Les incidents de confidentialité sont-ils différents des incidents de sécurité ?
Les gens devraient également être informés des incidents liés à la vie privée. Ils sont souvent discutés séparément des incidents de sécurité mais sont néanmoins liés.
Un incident de confidentialité se produit en raison de la divulgation de données réglementées. Par exemple, une violation de données qui compromet les informations personnellement identifiables (PII) des clients entre dans cette catégorie.
Tous les incidents de confidentialité sont également des incidents de sécurité. Cependant, les incidents de sécurité peuvent ne pas affecter les données réglementées.
Les violations de données sont une autre catégorie pertinente. Ce sont des cas confirmés d'accès non autorisé à des informations qui deviennent souvent des incidents de confidentialité.
Comment les gens peuvent-ils repérer les incidents de sécurité potentiels ?
Les panneaux d'avertissement d'incident de sécurité se présentent sous plusieurs formes. Par exemple, lors d' une attaque dans une usine d'eau , un superviseur a vu un curseur de souris se déplacer tout seul et a remarqué que quelqu'un augmentait à distance les niveaux de lessive. Cependant, les cyberattaques en cours ne sont pas toujours aussi immédiatement évidentes. Quelqu'un peut voir des niveaux de trafic réseau légèrement plus élevés, mais ne pense pas qu'ils justifient encore une enquête plus approfondie.
Les données manquantes sont un autre signe avant-coureur d'une éventuelle cyberattaque. Cependant, ce n'est pas toujours un signe de problème. Si quelqu'un ne peut tout simplement pas trouver un fichier, il a peut-être oublié de l'enregistrer ou l'a accidentellement placé au mauvais endroit.
Le problème est plus grave si les gens signalent la perte de tous leurs fichiers.
De même, les attaques de ransomware se produisent lorsque des pirates informatiques verrouillent tous les fichiers sur un réseau et exigent un paiement pour les restaurer. Dans ces cas, les gens voient des messages qui confirment explicitement l'attaque et indiquent comment envoyer l'argent. Cependant, ils pourraient voir d'autres communications en premier.
Lorsqu'une attaque de ransomware a paralysé le service de santé irlandais , elle a commencé lorsqu'un employé a cliqué sur un lien pour obtenir de l'aide après qu'un ordinateur a cessé de fonctionner.
C'est également problématique si de nombreuses personnes signalent l'impossibilité soudaine d'accéder à leurs comptes. Alternativement, ils peuvent recevoir des e-mails les informant des changements d'adresse e-mail ou de mot de passe même s'ils n'ont pas modifié les détails du compte.
Quelle est la chose la plus importante à faire si vous soupçonnez un incident de sécurité ?
Lorsque les gens soupçonnent un incident de sécurité, ils peuvent immédiatement se sentir dépassés et ne pas savoir quoi faire en premier.
La réponse initiale la plus appropriée aux incidents de sécurité dans tous les cas est de signaler la situation à la bonne partie. Ensuite, les personnes responsables peuvent prendre des mesures rapides pour limiter les pertes de données et les temps d'arrêt potentiels. Ils obtiendront également les détails d'un rapport d'incident de sécurité de toute personne au courant de ce qui s'est passé.
Les dirigeants de l'entreprise doivent permettre aux gens de partager aussi facilement que possible les détails des incidents suspectés. Une possibilité consiste à inclure un lien vers un formulaire d'incident dans le pied de page de chaque e-mail. Une autre option consiste à afficher les numéros de téléphone de signalement des incidents de sécurité dans des zones bien en vue, telles que les salles de pause, les toilettes et les ascenseurs.
Une fois qu'une équipe de sécurité a confirmé un incident de sécurité, elle peut avoir besoin d'en informer des tiers tels que les forces de l'ordre ou les régulateurs nationaux. Par exemple, les entreprises opérant ou servant des clients dans l'UE ont 72 heures pour informer les régulateurs de données après avoir pris connaissance des violations.
Pourquoi la gestion des incidents de sécurité est efficace
Il n'existe pas de moyen unique et garanti d'arrêter tous les incidents de sécurité. C'est pourquoi la plupart des approches se concentrent plutôt sur la réponse et la gestion des incidents de sécurité.
La création d'un plan de réponse aux incidents est une excellente première étape pour couvrir toutes les bases.
En avoir un augmente les chances qu'une entreprise se rétablisse rapidement après la survenue d'un problème. Cela limite également la probabilité qu'un incident se reproduise. Plusieurs cadres réputés existent pour les entreprises à suivre.
Ils comprennent des actions pour se préparer à un incident futur, l'identifier et l'analyser, contenir et supprimer la menace et prévenir les problèmes futurs.
Ces incidents formels s'appliquent principalement aux personnes travaillant dans des organisations ayant déjà mis en place des dispositifs de prévention des incidents de cybersécurité. En effet, la gestion des incidents de sécurité ne fonctionne bien que lorsque chaque personne a un rôle d'atténuation des incidents bien défini et comprend comment l'exécuter.
La gestion des incidents de sécurité est la responsabilité de tous
Une personne peut toujours jouer un rôle crucial dans une réponse à un incident de sécurité lorsqu'elle travaille dans un rôle non lié à la cybersécurité. Leurs responsabilités peuvent simplement s'étendre au signalement d'un problème à un superviseur et à l'arrêt de leur ordinateur ; néanmoins, ces actions apparemment mineures pourraient limiter la gravité d'un incident de cybersécurité.
De plus, chacun doit prendre des mesures personnelles pour limiter l'accès d'un pirate informatique. La définition de mots de passe uniques et complexes peut aider, ainsi que l' utilisation de l'authentification multifacteur lorsque cela est possible.
Les incidents de sécurité deviendront probablement encore plus importants à mesure que le monde deviendra de plus en plus dépendant du numérique. Cependant, les informations couvertes ici peuvent aider les gens à devenir plus proactifs pour les arrêter.