la réponse sur incident de sécurité

(1)

LIVRE BLANC

la réponse sur incident

de sécurité

Enjeux, démarche et bonnes pratiques

Mai 2015

(2)

éditorial

Marc Cierpisz, Directeur de l’offre Cybersécurité Econocom-Osiatis

Depuis le début de cette année 2015, nous avons constaté une recrudescence des actes de cybercriminalité. Que ce soit dans les médias ou dans la presse, ces cyberattaques ont montré les limites de la sécurité.

La première raison est liée au fait que la sécurité est plus devenue un moyen de commodité que de protection réelle (anti-virus, firewall, anti-spam,...). D’ailleurs si nous prenons les cas d’entreprises ayant récemment fait l’objet de cyberattaques révélées dans les médias, nous constatons, la plupart du temps, une incompréhension des dirigeants : avoir pu être attaqués alors qu’ils avaient mis en place des moyens de sécurité périmétrique de dernière génération.

La seconde raison est liée au fait que nous ne soyons pas capables d’anticiper et de détecter suffisamment tôt ces cyberattaques.

Ces phénomènes devraient entraîner l’évolution des méthodes de réponse sur incident de sécurité !

Les études, que ce soit Ponemon Research Institute, Verizon, ICSPA, et bien d’autres, montrent depuis un certain temps une évolution constante des actes de cyberattaque.

(3)

La réponse sur incident de sécurité 3 Cette évolution n’est pas neutre. Le développement des

techniques de cyberattaque est porté par l’évolution des technologies et constitue un réel changement dans le monde professionnel. Ce phénomène ne pourra que s’accroître dans les prochaines années si nous ne réagissons pas.

Les dirigeants, les DSI et les RSSI doivent transformer la sécurité et surtout la réponse sur incident pour en faire un facteur de productivité, de qualité. Ils doivent définir une politique limitant les risques non pas au sens IT ou métier mais impactant l’ensemble de l’entreprise et mettre en place les moyens pour gérer efficacement la réponse sur incident de sécurité.

la réponse sur incident de sécurité pose de nombreuses questions sur les aspects aussi bien techniques que juridiques ou organisationnels

une réflexion doit être engagée afin de pouvoir arbitrer et

organiser la sécurité de demain

Cette réflexion ne doit plus être uniquement axée sur des aspects technologiques. Il est essentiel de comprendre les mécanismes, les usages et le comportement qui conviennent le mieux à chaque métier, à chaque fonction pour permettre une réaction et une gestion efficace des incidents de sécurité. Certes l’État français a renforcé certains dispositifs, permettant ainsi une meilleure approche et des moyens accrus pour lutter contre ces deux nouvelles formes de cybercriminalité mais c’est aux dirigeants, aux DSI et aux RSSI de jouer un nouveau rôle.

Nous avons souhaité dans le cadre de ce livre blanc leur donner des pistes pour aborder avec plus de sérénité la réponse sur incident de sécurité et développer des moyens de protection face à ces nouveaux risques.

(4)

sommaire

Éditorial ...2

Comprendre le périmètre de la réponse sur incident de sécurité ...7

L’état de la réponse sur incident ...8

Le changement de visage de la réponse sur incident ...8

Le cycle de vie d’un incident lié à une cyberattaque ...10

Le rôle central de l’entreprise face à une cyberattaque ...10

Pourquoi les solutions traditionnelles de sécurité ont du mal à adresser la réponse sur incident ?

...

15

Des cyberattaques en pleine expansion ...16

Une sécurité périmétrique inadaptée et inefficace ...18

Que peut apporter la réponse sur incident de sécurité dans la lutte contre les cyberattaques ?

...

21

Introduction à la réponse sur incident ...22

(5)

La réponse sur incident de sécurité 5

Quels délais de réponse sur incident de sécurité ou cyberattaque ? ...23

Quelle défense apporter aux incidents de sécurité ou cyberattaques ? ...25

Quelle démarche de réponse sur incident de sécurité ?

...

31

Quelle défense contre un incident de sécurité ou une cyberattaque ? ...32

L’orchestration de la réponse sur incident : méthodologie SCOR ...33

Synthèse des bonnes pratiques de la réponse sur incident de sécurité

...

37 Interview : point juridique sur les cyberattaques

...

41

Conclusion ...46

(6)

(7)

Comprendre le périmètre de la réponse sur incident de sécurité

Comprendre le périmètre

de la réponse sur incident

de sécurité

(8)

L’état de la réponse sur incident

Toutes les statistiques le montrent, les cyberattaques sont aujourd’hui et plus que jamais un phénomène touchant l’ensemble des acteurs économiques.

Trois chiffres¹ importants pour comprendre l’état actuel de la réponse sur incident de sécurité.

78 %

des cyberattaques ont été réalisées sans difficulté, c’est-à-dire ne nécessitant pas un niveau d’expertise pointu pour mettre à mal les moyens de production de l’entreprise.

69 %

des cyberattaques ont été découvertes par des tiers, ce chiffre met en évidence la difficulté des entreprises à maintenir à niveau l’expertise de son personnel.

66 %

des cyberattaques ont été découvertes après plusieurs mois démontrant une perte de la maîtrise de ses infrastructures dans un monde de plus en plus ouvert et interconnecté.

Ce nouveau type de menaces a connu une croissance importante depuis 2009 avec l’émergence du cloud et l’expansion de l’informatique déportée. Les entreprises ont soif de compétitivité, d’innovation, de connectivité et veulent s’affranchir des modèles classiques de l’IT. Cette évolution a eu pour conséquence directe la recrudescence des risques de cyberattaques. Dans ces conditions, l’évolution des solutions de sécurité mais surtout de la réponse sur incident de sécurité n’est plus un gage de pérennité mais est devenue un véritable défi pour les entreprises.

Le changement de visage de la réponse sur incident Depuis l’ordonnance de 2005 relative aux échanges électroniques entre les usagers et les autorités administratives qui introduit la notion de prestataires de services de confiance (PSCO), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a beaucoup œuvré dans le changement et la professionnalisation des acteurs de la sécurité. Pour rappel, en 2011 l’ANSSI effectuait la présentation du référentiel de qualification PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) et en 2014 exposait sa feuille de route sur la Qualification des Prestataires de

« Cyberdéfense » sur deux nouveaux axes : la détection et la réponse sur incident (PDIS, Prestataire de Détection d’Incident de Sécurité & PRIS, Prestataire de Réponse sur Incident de Sécurité).

1Source : Verizon « 2013 Data Breach Investigations Report »

(9)

La réponse sur incident de sécurité 9 Cette approche a entraîné une mutation profonde des acteurs

du marché de la sécurité mais aussi de la façon dont les entreprises d’appréhendent la réponse sur incident.

passage d’une posture de protection passive à une

stratégie de cyberdéfense en profondeur

Deux courants de pensée s’affrontent.

Le premier met en avant la sécurité opérationnelle et l’utilisation de produits de sécurisation (firewall, anti-virus, anti-spam, etc...).

Le second met en avant la maîtrise des risques du SI. Mais l’un comme l’autre se retrouvent face aux mêmes dysfonctionnements en cas de cyberattaque et donc de gestion de crise.

Comme nous avons pu le voir, l’actualité a souvent pointé et mis en avant les risques liés aux cyberattaques. La sécurité et le traitement ont été régulièrement mis à mal.

Problématiques de ressources, problématiques de temps, problématiques de compétences, problématiques d’appréciation du risque, problématiques économiques, problématiques financières autant de sujets qui nous conduisent à réfléchir sur la façon d’adresser la réponse sur incident de sécurité ou de cyberattaques.

Dans un monde où compétitivité rime avec productivité, mobilité et agilité, les risques de cyberattaques ont de belles années devant eux.

Une question subsiste : comment les entreprises vont-elles pouvoir adresser les nouveaux enjeux de cybersécurité ? Un simple constat, les entreprises ne semblent pas encore avoir pris en compte l’ampleur de la menace liée aux attaques contre les systèmes d’information.

Comment, dans ce contexte être en mesure d’intervenir

rapidement pour traiter les attaques les plus graves représentant un danger pour la sécurité du patrimoine informationnel de l’entreprise ?

Pour répondre à cette question, les dirigeants, DSI et RSSI doivent faire évoluer le modèle sécuritaire de leur entreprise afin d’adresser ces enjeux autour de leur patrimoine informationnel.

Mais qu’en est-il du côté des assaillants ?

(10)

Le cycle de vie d’un incident lié à une cyberattaque Les cyberattaques actuelles, plus nombreuses, plus complexes, plus sophistiquées imposent aux entreprises d’adopter une autre posture que celle consistant à un empilement de solutions de sécurité pas toujours adaptées.

Le cycle de vie d’une cyberattaque, qu’elle soit complexe ou sophistiquée, reste le même depuis des années. Elle se déroule en 3 étapes :

- la première : la phase de reconnaissance. Elle va permettre d’identifier sa cible et de rechercher l’ensemble des vulnérabilités. Contrairement à l’audit de sécurité, dans cette étape, l’assaillant n’a aucune contrainte de périmètre ni de cadre contractuel. Cette absence de contrainte va lui permettre d’exploiter tout type de vulnérabilité.

- la seconde : l’attaque elle-même. Les attaques, aujourd’hui plus sophistiquées, permettent aux assaillants, une fois entrés dans le système d’information de l’entreprise, d’effectuer diverses actions comme l’élévation de privilèges, la création d’une porte dérobée, la mise en sommeil des agents dormants et surtout l’effacement de toute trace de son passage.

- la dernière : l’atteinte de son objectif. Cela peut se traduire par une simple perturbation des systèmes ou encore l’exfiltration d‘informations sensibles dans le but d’actes de

manipulation.

Le rôle central de l’entreprise face à une cyberattaque Les impacts liés à une cyberattaque peuvent être considérables pour toute entreprise. Il n’existe malheureusement aucune solution miracle pour empêcher quelqu’un de vouloir s’introduire dans le système d’information et ce, en dépit des efforts de préparation et de protection qu’une entreprise peut y consacrer.

Les entreprises doivent donc modifier leur positionnement en matière d’appréciation de la sécurité, abandonner la posture défensive pour adopter une approche à la fois stratégique, proactive et pragmatique.

Reconnaissance

- Identifier les cibles - Rechercher les

vulnérabilités

Attaque

- Exploiter les vulnérabilités - Augmenter les privilèges des

comptes utilisateurs - Créer des portes dérobées

(Backdoors) - Effacer les traces

Atteinte de l’objectif

- Perturbation de systèmes - Extraction (ex : d’argent, ou

DPI, données confidentielles ) - Manipulation (ex : ajout,

modification ou suppression des informations clés) Intrusion

Compromission

Incident

(11)

La réponse sur incident de sécurité 11 A l’heure actuelle, il existe différents moyens de réactions face

aux risques de cyberattaques comme :

- la mise en place de tests d’intrusion, bonne pratique mais limitée car enfermée dans un cadre contractuel.

- le PRA/PCA, là aussi une démarche fort louable mais qui n’est testée qu’unitairement dans les entreprises. 80% d’entre elles n’ont d’ailleurs jamais effectué un exercice dans sa globalité.

Trop contraignant, trop d’acteurs à solliciter et surtout une perte de chiffre d’affaires. Incomparable par rapport aux risques qu’elles encourent suite à une cyberattaque.

- SOC, CERT, veille... nécessaires dans la phase d’alerte mais inutiles pour l’entreprise si les personnes ne sont pas sensibilisées et impliquées.

Aucun de ces moyens n’est véritablement complet sauf si nous l’abordons du point de vue de la cyberrésillience.

Pourquoi ?

La cyberrésillience implique l’essence même de la réponse sur incident, à savoir : le personnel, les processus et la technologie.

Elle impose une méthodologie à la fois solide et pragmatique d’analyse des risques de cyberattaques. Elle permet à l’entreprise de reprendre son rôle central dans la réponse aux cyberattaques.

Elle se pose ainsi comme le garant de la protection du patrimoine informationnel de l’entreprise.

Gestion des vulnérabilités :

plus de 55%

des organisations n’ont pas développé de stratégie pour guider leurs efforts de gestion des vulnérabilités.

Gestion des incidents :

65%

des organisations n’ont pas de processus de gestion des incidents de sécurité.

Gestion des risques cyber :

70%

des organisations n’ont pas de plan de gestion documenté des risques cyber.

Source : Homeland Security 2014

(12)

Maturité et efficience de la sécurité

Audit

- Test d’intrusion - Maturité de la sécurité - Tableaux de Bord - Etc…

Bonne compréhension des enjeux de sécurité

Hacking

Violation données Piratage

Détection

- SIEM - SOC - CERT - Veille - Etc…

Bonne compréhension des enjeux de sécurité

Manque de budgets Manque de ressources adéquates

Gestion sur incident de sécurité

- Gestion de la sécurité dans les projets - Mise en place d’architecture sécurisée - Mise en place de PRA/PCA

- Réponse sur incident de sécurité

Mauvaise estimation des conséquences Manque de ressources

Budget insuffisant

(13)

La réponse sur incident de sécurité 13 Le cycle de vie de la sécurité dans les entreprises évolue de façon

positive mais pas pour tous les segments.

En effet, les entreprises ont pris conscience de la nécessité d’auditer leur site, permettant ainsi une réduction des risques de cyberattaques. Elles ont pu grâce à la mise en place de système de management de la sécurité établir une bonne visibilité des risques mais pas forcément des moyens de réaction.

Si nous nous penchons sur la phase de supervision, de détection et de veille, les entreprises, même si elles ont une bonne compréhension des enjeux de sécurité, minimisent l’importance des conséquences sur les budgets et l’importance des ressources compétentes.

Le constat est encore plus alarmant dans la phase de gestion sur incident de sécurité : problématique budgétaire, ressources, mauvaise estimation des conséquences.

(14)

(15)

Pourquoi les solutions traditionnelles de sécurité ont du mal à adresser la réponse sur incident ?

Pourquoi les solutions

traditionnelles de sécurité

ont du mal à adresser la

réponse sur incident ?

(16)

Des cyberattaques en pleine expansion

En France, comme dans le reste du monde, les entreprises ne luttent pas forcement à armes égales face aux cyberattaques ; conséquence directe d’une expansion de ces dernières depuis quelques années.

PwC² considère que plus de 117 000 cyberattaques ont lieu chaque jour dans le monde, soit un total pour 2014 de 42,8 millions ! Chiffres en augmentation de 48 % par rapport à 2013.

Si maintenant nous regardons le coût annuel attribué aux incidents de cybersécurité, il atteint 2,7 millions de dollars en 2014 en augmentation de 34 % par rapport à 2013. Par contre le budget moyen alloué à la sécurité de l’information baisse pour la première fois depuis 2010. Il est tombé à 4,1 millions de dollars, soit 4 % de moins qu’en 2013.

Côté cibles, l’étude de PwC, démontre que l’Europe reste une cible privilégiée .Les cyberattaques y sont en forte progression.

Ce sont malheureusement les collaborateurs qui restent à l’origine de plus d’un tiers des incidents de sécurité déclarés (35%)

(involontairement la plupart du temps), en augmentation de 10 % en 2014 par rapport à 2013.

2014 reste une année prolifique avec un focus sur les

cyberattaques menées par un État (+ 86 %), en particulier sur les secteurs de l’énergie, de l’aéronautique et de la défense.

Un manque de visibilité : SOC, CERT que font-ils ? Ces chiffres sur la cybersécurité montrent que, malgré la multitude des acteurs sur ce marché, les entreprises restent souvent seules faces aux cyberattaques.

Pourquoi ce manque d’orchestration dans la réponse sur incident ?

Au-delà de la gouvernance IT de l’entreprise mise en place et de la gestion de son plan sécuritaire, la coordination de la réponse sur incident reste souvent difficile.

Si nous nous penchons sur les différents acteurs de la chaîne sécuritaire, nous constatons que les acteurs de réponse sur incident en sont absents ou peu présents.

Pourquoi ? Tout d’abord certains acteurs se sont focalisés sur certains axes de métiers.

20,5%

de progression du coût des cyberattaques en France en un an Source : Ponemon Institute - HP « Coût du cybercrime aux Etats-Unis et en France en 2014 »

2Source : PwC « Managing cyber risks in an interconnected world » 2015

(17)

La réponse sur incident de sécurité 17 C’est notamment le cas des CERT (Computer Emergency

Response Team). Leur mission s’articule autour de 4 piliers : - le premier : la veille. Pour observer et anticiper les menaces

mais aussi suivre l’évolution des attaques

- la seconde : la communication. Le CERT doit pouvoir communiquer librement en interne comme en externe.

- la troisième : la coordination. Le CERT centralise l’ensemble des remontées d’incidents aussi bien internes qu’externes. Au fur et à mesure des années l’un de ces axes de coordination, à savoir, le suivi des incidents et la mise en place de la remédiation tend à progressivement disparaître de sa feuille de route. Trop coûteux, trop contraignant (les cyberattaques n’ont pas lieu uniquement entre 8h et 17h !)

- le dernier : la conformité. Le CERT joue un rôle particulier dans la notification des incidents de sécurité devenant ainsi un interlocuteur incontournable pour le Correspondant Informatique & Libertés (CIL).

Veille, communication, coordination, conformité.

Mais pas d’intervention en tant que telle.

Penchons-nous dans ce cas sur les activités d’un autre élément clé du dispositif de sécurité : le SOC (Security Operations Center).

Sa mission consiste à être avant tout le centre de supervision et d’administration de la sécurité garantissant ainsi les moyens de détection des incidents de sécurité.

Il collecte les événements remontés par les composants de sécurité, les analyse, détecte les anomalies et définit les

procédures à suivre en cas d’émission d’alerte. Son rôle consiste à participer à la réduction des risques d’indisponibilité des composants critiques d’un système d’information, à l’identification des menaces et à la réduction des délais d’intervention.

Superviser, détecter, analyser, alerter.

Et toujours pas d’intervention.Le problème est là.

à force d’optimisation,

d’arbitrage, les entreprises ont

perdu pour beaucoup d’entre

elles la capacité à intervenir sur

un incident de sécurité ou une

cyberattaque

(18)

Une sécurité périmétrique inadaptée et inefficace La sécurité périmétrique est devenue depuis un certain temps non plus un rempart contre les menaces mais une commodité.

Mais pourquoi ?

Certes elle constitue la base de la sécurité mais les évolutions économiques (cloud, big data, etc…), technologiques (virtualisation, base de données en mémoire etc…) et les nouveaux usages en entreprise (objets connectés, réseaux sociaux, BYOD, etc…) ont mis en évidence la difficulté à adresser les risques liés aux signaux faibles.

la principale caractéristique des nouvelles attaques est leur furtivité

Comment lutter dans ce cas si les outils de sécurité périmétrique ne sont pas suffisants ?

Une réponse peut être la coordination entre les divers métiers que sont le CERT, le SOC et celui des cellules d’intervention sur incident de sécurité afin de permettre d’analyser les divers événements enregistrés dans les logs, d’analyser et de comprendre les profils de type de données, de détecter des

signaux faibles car indirects et peu nombreux, des tentatives ou succès d’exploitation de failles.

Une autre réponse pourrait se porter sur l’analyse prédictive qui commence à faire ses preuves dans la production d’indicateurs fiables car mesurables des probabilités de cyberattaques passées, présentes et à venir !

+ de 3 milliards

d’enregistrements ont été perdus depuis 2013 Source : Breach Level Index Gemalto / SafeNet, avril 2015

(19)

La réponse sur incident de sécurité 19 Rootkits, programmes malveillants polymorphes, attaques « zero-day » et ciblées, menaces internes, autres signaux faibles

Programmes malveillants explicites inconnus

Exploitation connue des applications

Programmes malveillants statiques connus

Tentatives d’hameçonnage

Comportements connus de code anormal

Canaux de communication non approuvés

Gestion de la configuration

Evaluation de la vulnérabilité

Anti-virus

Filtre anti-spam

Préventions des intrusions

Pare-Feu

La sécurité périmétrique, une commodité

(20)

(21)

Que peut apporter la réponse sur incident de sécurité dans la lutte contre les cyberattaques ?

Que peut apporter la réponse sur incident de sécurité dans la lutte

contre les cyberattaques ?

(22)

Introduction à la réponse sur incident

Avant de parler de réponse sur incident, il est important de définir une cyberattaque. Derrière cette terminologie qui a été fortement « marketée » depuis un an maintenant que se cache-t-il exactement ?

une cyberattaque est l’exploitation délibérée des failles des systèmes

informatiques des entreprises sans leur consentement

Comment ?

En effectuant des actes malveillants qui s’appuient sur l’utilisation de codes malveillants afin de modifier le code informatique, l’utilisation de vulnérabilités de sécurité etc...

Dans quel but ?

Pouvoir compromettre les données, pouvoir véhiculer des revendications, pouvoir organiser la cybercriminalité, le cyberterrorisme, etc...

Une chose est sûre, la réponse sur incident doit tenir compte, premièrement des typologies d’attaques et deuxièmement des évolutions technologiques.

Injection de codes SQL 30%

Attaque ciblée 28%

Malware 27%

Compromission de certificat 18%

Phishing 18%

Attaque de site web 16%

Déni de service 15%

Attaque ou vol de device 13%

Typologie des attaques identifiées lors d’incidents de sécurité

Source : Ponemon Institute - Solera Networks « The Post Breach Boom » 2013

2009 - Cloud computing et

informatique déportée - Open source

2010 - Smartphone - Virtualisation - Réseaux sociaux en

entreprise

2011 - Tablettes - Applications

mobiles - Big data - Bases de données en

mémoire

2012 - Conformité - Consumérisation - BYOD

2013 - Mobilité au service

des métiers - Open data - Applications en

entreprises 2009

Brute Force Backdoor Export Data Spyware Priviledge Abuse Phising

2010 2011 2012 2013

Source : Verizon « 2013 Data Breach Investigations Report »

Valeur cyclique des cyberattaques

(23)

La réponse sur incident de sécurité 23 Quels délais de réponse sur incident de sécurité ou

cyberattaque ?

La perte de données ou d’informations sensibles est l’un des plus grands risques auxquels les entreprises doivent faire face plus qu’hier et moins que demain. La fréquence accrue des incidents de sécurité liés à une cyberattaque et l’augmentation des coûts liés aux réparations ainsi que l’allongement du temps de la réponse sont autant de vulnérabilités supplémentaires. De plus, les entreprises ne disposent que d’une visibilité restreinte et limitée pour identifier les cibles des attaques, et déterminer où et comment les données ont pu être dérobées, ce qui ne fait qu’ajouter de la complexité au problème.

Il devient de plus en plus difficile de répondre aux incidents de manière appropriée. Il suffit de quelques minutes aux personnes malveillantes pour entrer et sortir de votre système, et laisser derrière elles des mois de travail aux équipes en charge de la sécurité pour rassembler et analyser les données.

43 jours

est le temps moyen pour résoudre une attaque. Pour un coût moyen estimé à 561 533 euros, un chiffre en croissance de 200% par rapport à l’édition 2013 du rapport !

Source : Ponemon Institute - HP « Coût du cybercrime aux Etats-Unis et en France en 2014 »

Jour X

Appel de l’utilisateur pour signaler un problème

Jour X SIRT

Dossier créé et placé en file

d’attente Jour X+1

Incident qualifié

Jour X+2

Dossier exanimé Jour X+2

Détails capturés

Jour X+4

Technicien en sécurité envoyé pour collecter les données sur l’incident

Jour X+3

Analyse forensic³ effectuée sur toutes les machines susceptibles d’être touchées

Rapports Web détaillés générés

Jour X+8

Analyse des données collectées

Jour X+14 Investigation manuelle

sans gestion

de la réponse sur incident avec gestion

de la réponse sur incident Délais de réponse à un incident de sécurité

Attaque Attaque

Données fournies par Guidance Software

3Analyse post-incident de sécurité

(24)

Nous pouvons considérer à l’heure actuelle qu’il existe un certain laps de temps entre une attaque avérée et le déclenchement de la réponse sur incident.

Pourquoi ?

Simplement parce que dans la majorité des cas nous avons affaire à des cyberattaques non pas plus complexes qu’auparavant mais plus furtives.

Une fois la chaîne d’alertes déclenchée par un employé, les délais sont proportionnels à la complexité de la chaîne d’alertes et ce, quels que soient les SLA mis en place.

Là aussi la chaîne de traitement d’alertes est dans bien des cas peu ou mal adaptée à la réponse sur incident de sécurité.

Un Help Desk est souvent peu ou pas sensibilisé à l’urgence de la réponse sur incident de sécurité mais surtout pas formé à ce type de procédure.

Se pose la question de la qualification et de la formation des personnes qui interviendront pour collecter les éléments d’analyse.

Une fois tous les processus d’escalade mis en œuvre, les experts en sécurité peuvent enfin effectuer une investigation.

Mais trop tard...

Des données essentielles sont perdues.

La portée réelle de l’incident n’est pas maîtrisée.

Le périmètre de l’analyse est tronqué par les enjeux business de l’entreprise.

Ce qui par ailleurs a bien été mis en évidence par l’étude Ponemon Institute⁴ :

Immédiatement

Sous une semaine

Sous un mois

Sous trois mois

Sous six mois

Sous un an

Sous deux ans

Délai non déterminé 2%

20%

19%

29%

28%

24%

16%

6%

4%

2%

1%

15%

10%

Délai de détection de l’incident de sécurité

Attaque malveillante Attaque non malveillante

4Source : Ponemon Institute - Solera Networks « The Post Breach Boom » 2013

(25)

La réponse sur incident de sécurité 25 Cependant, concernant ces chiffres, il faut se rendre compte que

les moyens de détection ont fortement évolué et confirment que la sécurité périmétrique n’est plus le moyen par excellence de détection.

Quelle défense apporter aux incidents de sécurité ou cyberattaques ?

Les entreprises sont bien conscientes de la menace inévitable que représentent les cyberattaques et autres risques non maîtrisés pour leurs systèmes et leurs données. Elles ont investi dans des systèmes de sécurité basés sur la signature, les indicateurs et l’heuristique pour prévenir ces risques et lutter contre ces menaces. Pendant des années, elles ont essayé de développer le fameux mur de sécurité pour le rendre aussi efficace que possible, mais ne détectaient que les menaces connues faute de mieux.

Les entreprises se retrouvent démunies contre des menaces avancées telles que les attaques de type zeroday, les outils de dissimulation d’activité, les programmes malveillants mutants ou les espions internes, ce qui ne laisse qu’une seule option aux professionnels de la sécurité : attendre qu’un incident de sécurité se produise.

Pourtant il existe des moyens pour apporter un axe de défense contre les incidents de sécurité.

Délai non déterminé 7%

7%

Incident non résolu 6%

4%

Sous deux ans 0%

1%

Sous un an 2%

4%

Sous six mois 9%

10%

Sous trois mois 18%

25%

Sous un mois 25%

29%

Sous une semaine 22%

18%

Immédiatement 9%

2%

Délai de résolution de l’incident de sécurité

Attaque malveillante Attaque non malveillante

(26)

L’ensemble de ces défis ne peut être integré dans une chaîne classique de support.

Les entreprises vont devoir travailler à maîtriser la réponse sur incident de sécurité et introduire des experts et de l’expertise pour arriver à maîtriser la menace des cyberattaques.

Un problème associé avant tout à la cyberdéfense ?

Certains aspects de sécurité ont déjà été abordés et résolus par les entreprises qui ont traité cette problématique de la réponse sur incident de sécurité.

La préparation pour pouvoir réagir correctement face à un incident de sécurité doit commencer par le renseignement sécuritaire.

Généralement cette phase se découpe en 5 étapes.

Elle ne garantit pas les entreprises contre une cyberattaque mais a le mérite de poser les bases nécessaires à la réaction sur incident de sécurité.

Défis des organisations pour répondre à un incident d’une manière rapide, efficace et cohérente

1. Identifier un incident de sécurité

2. Établir les objectifs de toute opération d’investigation et de nettoyage

3. Analyser toutes les informations disponibles relatives à l’incident de sécurité

4. Déterminer ce qui s’est réellement passé 5. Identifier les systèmes et réseaux compromis 6. Déterminer les informations divulguées à des tiers

non autorisées, volées, supprimées ou corrompues 7. Trouver l’origine (acteurs, organisation, etc…) et ses

modifications

8. Analyser les processus d’attaque 9. Déterminer l’impact sur l’entreprise

10. Mener l’enquête (analyse Forensic) pour identifier et lancer les poursuites, le cas échéant

-Procéder à une évaluation de la criticité de l’entreprise

-Effectuer une analyse de la menace sécuritaire du S.I, soutenue par des scénarios et des répétitions réalistes

-Examiner les implications de personnes, des processus

-Créer un cadre de contrôle approprié

-Examiner l’état de préparation dans la réponse aux incidents de sécurité Etape 5 Etape 4

Etape 3 Etape 2

Etape 1

(27)

La réponse sur incident de sécurité 27 L’évaluation de la criticité de l’entreprise permet d’appréhender le

positionnement de l’entreprise en matière de sécurité et de risques, en commençant par identifier les informations essentielles à son activité, puis en réalisant une évaluation de la maturité et surtout, de mesurer l’efficience de la sécurité.

Dans le cadre de la préparation, il faut sensibiliser et former régulièrement le personnel relatif à la réponse sur incident de sécurité et l’aider à comprendre l’importance de son rôle pour l’entreprise. Ces individus n’étant pas forcément des experts en sécurité, il est primordial de bien les impliquer afin d’éviter des erreurs coûteuses.

un plan de contrôle définissant clairement la procédure à suivre en cas d’incident de sécurité doit être formalisé

Il faut mettre en place une équipe d’intervention rapide en cas d’incident et identifier les rôles et responsabilités de chacun.

Ces rôles doivent être attribués à des membres expérimentés et aguerris à ce type d’intervention.

Il est impératif de désigner un responsable chargé de signaler un incident, de coordonner les activités de l’équipe d’intervention et d’informer la direction de l’état de la situation.

Le renseignement sécuritaire permet de notamment : - évaluer l’ampleur de la menace et sa possible évolution - se focaliser en priorité sur les menaces les plus dangereuses - déterminer si des informations personnelles et/ou de propriété

intellectuelle ont été compromises

Une fois cette phase de renseignement sécuritaire réalisée, il faut coordonner la réponse sur incident de sécurité.

Généralement cette deuxième phase se découpe en 4 étapes.

Le temps jouant en faveur des assaillants, il faut réagir rapidement afin de pourvoir :

- Collecter les données concernant le programme malveillant et toute autre donnée utile à l’aide d’outils d’investigation pouvant être déployés sur le système d’information de l’entreprise - Collecter et isoler les données éphémères pour s’en servir

comme preuve, le cas échéant

- Identifier la source de contamination et le ou les programmes malveillants en cause et ses artefacts

- Déterminer s’il est de nature polymorphe ou métamorphique

-Identifier les incidents de sécurité

-Définir les objectifs et enquêter sur la situation

-Prendre les mesures appropriées

-Récupérer les systèmes, données et connectivité Etape 4 Etape 3

Etape 2 Etape 1

(28)

- Déceler les valeurs de hachage et les valeurs du registre - Procéder à un audit des données sensibles sur les machines

infectées afin de s’assurer que les données se trouvent dans un emplacement sûr

Compte tenu de l’hétérogénéité et la complexité de certaines entreprises, il est de la responsabilité de chacune d’entre elles de veiller à ce que l’équipe de réponse sur incident de sécurité possède les matériels et les solutions adaptés à leur spécificité métier dans le cadre de leur fonction.

Enfin la dernière phase consiste à effectuer l’analyse post- incident de sécurité.

Même si cette phase peut paraître délicate car elle doit faire appel à l’ensemble des acteurs de la cellule (l’équipe de réponse sur incident, le juridique, la communication, la DSI, la direction), elle n’en reste pas moins essentielle pour capitaliser afin de pallier d’autres attaques potentielles.

Elle est constituée de 6 étapes.

Durant cette phase post-intervention il est impératif de :

- faire un rapport de réexamen ou un bilan qui dresse une liste de toutes les leçons tirées de cet incident, notamment :

• les actions qui étaient prévues par l’entreprise

• les succès remportés

• les problèmes rencontrés

• les améliorations qui pourraient être apportées - modifier certaines règles de gestion des incidents et/ou

certaines politiques de l’entreprise en fonction des leçons que vous avez retenues de chaque cyberattaque.

-Enquêter sur l’incident de manière plus approfondie

-Signaler l’incident aux parties prenantes concernées

-Effectuer un examen après incident

-Communiquer et s’appuyer sur les leçons apprises

-Mettre à jour les informations clés, les contrôles et les processus

-Effectuer une analyse de tendance Etape 6 Etape 5

Etape 4 Etape 3

Etape 2 Etape 1

(29)

mémo les étapes de la réponse sur incident de sécurité

-Procéder à une évaluation de la criticité de l’entreprise

-Effectuer une analyse de la menace sécuritaire du S.I, soutenue par des scénarios et des répétitions réalistes

-Examiner les implications de personnes, des processus

-Créer un cadre de

contrôle approprié -Examiner l’état de préparation dans la réponse aux incidents de sécurité Etape 1.5 Etape 1.4

Etape 1.3 Etape 1.2

Etape 1.1

1. Renseignement sécuritaire

-Identifier les incidents

de sécurité -Définir les objectifs et enquêter sur la situation

-Prendre les mesures

appropriées -Récupérer les

systèmes, données et connectivité Etape 2.4 Etape 2.3

Etape 2.2 Etape 2.1

2. Réponse sur incident

-Enquêter sur l’incident de manière plus approfondie

-Signaler l’incident aux parties prenantes concernées

-Effectuer un examen

après incident -Communiquer et s’appuyer sur les leçons apprises

-Mettre à jour les informations clés, les contrôles et les processus

-Effectuer une analyse de tendance Etape 3.6 Etape 3.5

Etape 3.4 Etape 3.3

Etape 3.2 Etape 3.1

3. Suivi post-intervention

(30)

(31)

Quelle démarche de réponse sur incident de sécurité ?

Quelle démarche de

réponse sur incident de

sécurité ?

(32)

Quelle défense contre un incident de sécurité ou une cyberattaque ?

Dans le contexte de dépendance grandissante vis-à-vis de la technologie et du Web, nous ne pouvons pas dire qu’il existe à travers le monde une défense universelle et efficace contre les incidents de sécurité.

Traiter la réponse sur incident de sécurité revient à livrer une véritable partie d’échecs ou de cache-cache avec un adversaire qui n’a aucune limite pour arriver à son but.

Cependant, il existe une certaine hygiène sécuritaire que l’ANSSI ( Agence National de la Sécurité des Systemes d’Information ) s’attache à diffuser et suivre.

Mais au-delà d’équipes pour piloter la gouvernance de la sécurité et la sécurité opérationnelle rattachées au RSSI, chaque entreprise devrait disposer d’une équipe de réponse sur incident de sécurité, capable de :

- prendre connaissance des procédures, processus de l’entreprise dans sa globalité IT et métier

- identifier et compléter la partie documentaire en cas de manquement

- réaliser de vrais exercices d’intervention planifiés - optimiser les processus d’intervention sur la gestion des

incidents de sécurité

- superviser et corréler les alertes d’incidents de sécurité - garantir le suivi des procédures

- pouvoir monopoliser l’équipe rapidement pour gérer et opérer l’intervention rapide sur crise

- piloter la gestion de crise

En décembre 2014, Econocom-Osiatis a annoncé le lancement de sa solution complète, produits et services, de réponse sur incident, s’appuyant notamment sur son offre SIRT Investigation (Security Incident Response Team).

Pour bâtir cette offre, Econocom-Osiatis s’est appuyé sur les bonnes pratiques du FIRST, Forum of Incident Response and Security Teams :

- favoriser la coopération entre les équipes pour prévenir, détecter et rétablir un fonctionnement nominal en cas d’incident de sécurité informatique

- fournir un moyen de communication commun pour la diffusion de bulletins et d’alertes sur des failles potentielles et les incidents en cours

- aider au développement des activités de ses membres, en particulier, la recherche et les activités opérationnelles - faciliter le partage des informations relatives à la sécurité, des

outils, des méthodes et des techniques.

(33)

La réponse sur incident de sécurité 33 Les moyens

- Une équipe à temps plein d’experts sécurité - Une infrastructure dédiée

- Un accès à l’ensemble des experts Econocom-Osiatis - Un éditeur pour l’investigation, la supervision

- La certification EnCE (EnCase Certified Examiner) de Guidance Software

- Un partenariat avec un cabinet d’avocats pour l’accompagnement en cas de procédure juridique

- Un partenariat avec un courtier en assurance pour les démarches de déclaration de sinistre suite à une cyberattaque

Les bénéfices

- Un point d’entrée unique via notre application - Un engagement sur les délais

• Alerte : T0

• Prise en compte : T+1h

• Intervention : T+4h en heures ouvrées et T+8h en heures non ouvrées

- De fortes expertises en Forensic, en sécurité, en audits, en gestion de crise

- Une méthodologie éprouvée de réponse sur incident - Un accompagnement post-incident

RENSEIGNEMENT SÉCURITAIRE

Surveiller Conduire

L’orchestration de la réponse sur incident : méthodologie SCOR

CONTRE-MESURE

Ordonner Remédier

(34)

Phase 1

Elle consiste à identifier les enjeux, le périmètre, les orientations stratégiques, les risques et contraintes.

Phase 2

Elle correspond à l’identification d’une trajectoire à prendre en cas d’incident de sécurité ou de cyberattaque.

Surveiller Conduire

Les fondamentaux

1. Identifier les moyens de supervision déjà opérationnels où à mettre en œuvre

2. Identifier les risques de l’entreprise dans sa globalité (Métier/IT/Fournisseur)

3. Créer les politiques et les stratégies d’intervention 4. Établir des processus d’intervention

5. Créer des scénarios d’intervention

6. Créer les manuels d’intervention, les listes de contrôle et les listes des contacts

7. Identifier les employés en cas d’alerte

1. Corréler les alertes d’incidents de sécurité 2. Evaluer l’ampleur de la menace et de sa possible

évolution

3. Identifier les menaces les plus dangereuses sur le périmètre et l’activité de l’entreprise

4. Déterminer si des informations personnelles et/ou de propriété intellectuelle ont été compromises

5. Anticiper et préparer l’intervention rapide sur incident de sécurité ou de cyberattaque 6. Coordonner la gestion de crise

(35)

La réponse sur incident de sécurité 35 Phase 3

Il s’agit d’un plan de mise en œuvre de réponse sur incident de sécurité ou de cyberattaque.Cette phase permet de faciliter l’intervention et de répondre efficacement à ce type d’incident.

Phase 4

A l’issue d’un incident de sécurité ou d’une cyberattaque, l’entreprise dispose d’éléments lui permettant d’effectuer une analyse post- mortem de l’incident et ainsi définir un plan de remédiation.

1. Identifier le programme malveillant

2. Déterminer la nature du programme malveillant 3. Collecter les données concernant le programme malveillant et toute autre donnée utile à l’aide d’outils d’investigation pouvant être déployés sur le réseau

4. Collecter et isoler les données éphémères pour s’en servir comme preuve, le cas échéant

5. Piloter et gérer la « war room » 6. Mettre en place de la gestion de crise 7. Gérer la communication

1. Faire un rapport et un bilan dressant la liste de toutes les leçons tirées de cet incident

• rapport d’intervention

• rapport concaténé de l’ensemble des résultats obtenus sur les incidents de sécurité

2. Définir le plan des améliorations qui pourraient être apportées

3. Apporter les modifications à certaines règles de gestion des incidents et/ou certaines politiques de l’entreprise en fonction des conclusions de l’incident de sécurité

Ordonner Remédier

(36)

(37)

Synthèse des bonnes pratiques de la réponse sur incident de sécurité

Synthèse des bonnes

pratiques de la réponse

sur incident de sécurité

(38)

- Définir le plan de réponse sur incident - Constituer l’équipe de réponse sur incident - Définir le corpus documentaire

- Préserver les preuves

- Sensibiliser le personnel interne

- Etablir le plan d’entreprise de gestion des crises - Mettre à jour le PCA/PRA afin d’y refléter le plan de

réponse sur incident de sécurité

- Vérifier l’adéquation des compétences entre les équipes de supervision et les experts Forensic

- Définir les objectifs

- Identifier l’autorité centrale en charge de la communication avec les médias

- Définir les process, flux et formats (réunions, téléconférences, courriels, messagerie instantanée, messages en ligne vers le site, etc...)

1. Les mesures indispensables

2. Le plan de communication

(39)

il est indispensable de maîtriser la communication vers l’extérieur et minimiser les impacts sur la réputation de l’entreprise et des dirigeants en matière de sécurité

- Les métiers impactés pour :

• identifier le propriétaire des systèmes et des données

• identifier les impacts et les risques opérationnels

• faire l’interfaçage entre l’équipe de réponse sur incident de sécurité et l’équipe de

communication

- Les employés pour gérer le « Que dire », les

commentaires et la divulgation sur les médias sociaux, Twitter, Facebook...

- Mettre en place la « war room »

- Gérer les relations avec les organismes de régulation

• CNIL,

• Autorité Financière,

• ANSSI,

• etc…

3. L’implication de l’entreprise

4. La gestion de crise

(40)

(41)

Interview : point juridique

sur les cyberattaques

(42)

Interview : point juridique sur les cyberattaques

Actuellement, il n’existe pas de définition normative des termes

« cyberespace » ou « cyberattaque ». Selon l’Agence Nationale de Sécurité des Systèmes d’Information le cyberespace est « un espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques ». Ainsi, le cyberespace est un environnement polymorphe et il convient de garder à l’esprit les difficultés de localisation des données ainsi que de remontée à la source des informations.

Quant aux « cyberattaques », l’ANSSI, les définit comme des

« actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible ». En d’autres termes, la cyberattaque résulte d’un acte malveillant.

Pour l’ANSSI, la majeure partie des « cyberattaques » auraient pu être évitées si des règles d’hygiène en matière informatique avaient été appliquées par les entreprises. Rappelons qu’en premier lieu, il est de la responsabilité des équipes dirigeantes d’être sensibilisées et de sensibiliser l’ensemble des acteurs de l’entreprise aux cyberattaques et leurs conséquences.

Indépendamment de la mise en place d’outils de sécurité avec les politiques de sécurité y afférentes, ces dernières doivent être en mesure d’anticiper les menaces et de mettre en place des systèmes de sécurisation du réseau afin de surveiller, contrôler les connexions ou encore les flux entrants et sortants ainsi que d’effectuer des audits et des tests de sécurité régulièrement.

Quelles sont les étapes pour se protéger efficacement des conséquences d’une cyberattaque ?

1. Obligations générales

L’article 34 de la loi Informatique et libertés prévoit que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Toute personne qui détient des données à caractère personnel, est débiteur d’une obligation de sécurité. Il s’agit d’une obligation de moyens « renforcée » qui confine quasiment à l’obligation de résultat.

Garance Mathias, Avocat à la Cour Après avoir travaillé au sein de Cabinets Internationaux, Garance Mathias, avocate, a choisi de créer sa propre structure dédiée au droit des affaires et à l’accompagnement des entreprises, tant en Conseil qu’en Contentieux, notamment sur les enjeux juridiques liés aux technologies avancées et à la sécurité des systèmes d’information.

Garance Mathias et son équipe écrivent de nombreux articles et participent régulièrement à des conférences consacrées à ce sujet.

(43)

La réponse sur incident de sécurité 43 En effet, le détenteur de données à caractère personnel doit

prendre toutes les précautions utiles. Cette obligation suppose qu’il soit à même de démontrer :

- qu’il a agi conformément aux règles de l’art ; - selon les plus hauts niveaux de sécurité ; - en liaison avec les risques anticipés.

Pour exclure sa responsabilité vis-à-vis des personnes concernées, il devra démontrer qu’en l’état actuel des technologies, il était impossible de prendre des mesures complémentaires. Une telle preuve s’avérera, en pratique, très difficile à rapporter.

2. Obligations des OIV⁵ en termes de sécurisation informatique

Aux termes de l’article 22 de la loi de programmation militaire qui définit les OIV comme toute société publique ou privée

représentant un enjeu stratégique pour la cyberdéfense française, quatre règles s’imposent aux OIV :

- les opérateurs mettent en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information ;

- ils doivent informer sans délai les autorités des incidents affectant le fonctionnement ou la sécurité des systèmes d’information ;

- ils doivent soumettre leurs systèmes d’information à des contrôles destinés à vérifier le niveau de sécurité et le respect

des règles de sécurité ;

- en cas de crise majeure menaçant ou affectant la sécurité des systèmes d’information, ils doivent se soumettre aux instructions données par les autorités.

A défaut de respecter ces obligations, l’article L.1332-7 du Code de la défense prévoit une peine d’amende d’un montant de 150.000 € en cas d’omission par un OIV de mise en œuvre d’un plan de protection ou la réalisation de travaux prévus. Le défaut d’entretien en bon état des dispositifs de protection antérieurement établis par les OIV, après mise en demeure de l’ANSSI, est également puni d’une amende de 150.000 €.

Deux premiers décrets (décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale et décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense) précisent les conditions dans lesquelles sont fixées les règles de sécurité nécessaires à la protection des systèmes d’information des OIV. D’une part, des « systèmes de détection d’événements affectant la sécurité » seront mis en place. D’autre part, les incidents affectant la sécurité ou le fonctionnement des systèmes d’information devront être déclarés à l’ANSSI, qui contrôlera aussi les systèmes jugés critiques des OIV. A ce jour, ces systèmes ne sont ni définis, ni détaillés…

5OIV : Opérateurs d’Importance Vitale

(44)

Le second décret, qui est prévu pour septembre prochain décrira la procédure de qualification des produits de sécurité et des prestataires de service de confiance qui seront retenus pour travailler avec les OIV. Il est dès lors précisé que pour obtenir la qualification, une partie du code source des solutions soumises devra être audité. Une fois obtenue, la qualification sera valable 3 ans, avec des évaluations « au fil de l’eau » par l’ANSSI.

En outre, il est important d’insérer dans tous les contrats techniques des clauses concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique :

- déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne, etc.) ;

- dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, firewall, anti-virus etc). A cet effet, l’une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique ; - Les systèmes de signature électronique et de cryptologie

permettent également d’assurer la sécurité des échanges ; - Par ailleurs, on peut imaginer qu’une entreprise puisse souscrire

une assurance contre le risque d’attaque informatique. Dans ce cas précis, le dédommagement dépendra du type d’assurance souscrite.

L’entreprise peut-elle mettre en place des systèmes contrôlant les matériels personnels de ses employés afin de se prémunir d’une cyberattaque ?

La mise en place de systèmes contrôlant les usages des moyens mis à disposition au sein de l’entreprise par les salariés, ou encore par les consultants, est impérative.

Les modalités de contrôle doivent se faire en toute transparence et en concertation, éventuellement, avec les institutions

représentatives du personnel. Il est ainsi recommandé de mettre en place des politiques de sécurité avec une charte d’usage des moyens informatiques portant notamment sur le contrôle de la sécurité des connexions mobiles ; le cloisonnement et l’accès aux différentes données de l’entreprise ; la réalisation d’audit de vulnérabilité pour évaluer les risques notamment opérationnels et financiers associés aux systèmes d’information.

De manière générale, respecter les recommandations de l’ANSSI, sensibiliser et informer les salariés sur les risques de sécurité susceptibles d’engendrer des incidents critiques sur les données.

(45)

La réponse sur incident de sécurité 45 Existe-t-il une jurisprudence sur la réponse sur incident de

sécurité ?

A titre d’illustration, en avril 2014, la société Orange avait notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l’un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile.

La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d’emailing promotionnel. Il a été constaté que les

dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l’engagement d’une procédure de sanction.

La CNIL a retenu que la société n’avait pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire.

Ainsi, il est important de bien sécuriser ses relations contractuelles, notamment avec les sous-traitants.

Peut-on espérer une compensation financière

(cyberassurance, dédommagement suite à un rendu de décision juridique) à la suite d’une cyberattaque ? La question de l’indemnisation des victimes n’est toujours pas traitée alors que les dernières dispositions européennes commencent à prendre en compte cette dimension telle que l’on peut l’observer dans le dispositif de financement du risque par l’assurance ou par une exigence de solvabilité figurant dans les articles 13 et 24 – 2 c) du Règlement Européen du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise.

L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a permis le développement exponentiel du marché de la cyberassurance aux États-Unis.

(46)

conclusion

Le sujet de la réponse sur incident de sécurité, reste un sujet sensible car il nous met face aux manquements sécuritaires.

D’ailleurs l’absence de cellule de réponse sur incident de sécurité peut devenir impitoyable et dévastateur pour n’importe quelle entreprise qui n’appréhende pas ce sujet.

Il n’existe malheureusement aucune solution miracle pour empêcher les cyberattaques et s’en prémunir correctement.

Quels que soient les efforts de préparation et de protection qu’une entreprise met en oeuvre, elle risque de subir tôt ou tard ce type de désagrément.

Néanmoins, en observant les étapes progressives de la réponse sur incident de sécurité qui permettent à une entreprise de tendre vers un cycle vertueux de la réponse sur incident, tout en ayant une approche intelligente de la sécurité, l’entreprise en question aura tous les atouts en sa possession pour gérer et réduire les risques auxquels elle est confrontée au cours d’un cyberattaque.

(47)

(48)

www.econocom-osiatis.com

Suivez‑nous sur

Twitter : https: / / twitter.com / Econocom_fr Le blog Econocom : http: / / blog.econocom.com /