Le rôle évolutif de la sécurité et de l’informatique dans la reprise après sinistre et la réponse aux incidents

Les DSI ont une longue expérience dans la gestion des incidents et des catastrophes grâce à des pratiques informatiques établies, guidées par des cadres tels qu’ITIL pour la gestion des incidents et la reprise après sinistre. Cependant, à mesure que le commerce électronique prolifère, les menaces à la sécurité se sont multipliées, élevant la cybersécurité au rang de préoccupation au niveau des conseils d’administration. Les premières menaces de cybersécurité étaient limitées dans leur portée et leurs dégâts, mais les menaces actuelles peuvent ruiner une entreprise. Les menaces ont évolué depuis les attaques de logiciels malveillants et de déni de service au début des mauvais acteurs du commerce électronique jusqu’aux attaques de ransomwares qui menacent la capacité d’une entreprise à fonctionner. Selon une enquête d’IDC, « les attaquants de ransomwares sont de plus en plus efficaces pour trouver des données précieuses ; la moitié des attaques de ransomware nord-américaines au cours desquelles des données ont été exfiltrées ont entraîné la perte de données précieuses, sensibles ou de sécurité (Enquête sur la résilience et les dépenses futures des entreprises, vague 11, IDC 2023). Les réponses mondiales montrent que les attaquants sont de plus en plus capables d’extraire des données plus sensibles. Dans un autre, « plus de la moitié des organisations signalent leur situation en matière de cybersécurité au conseil d’administration au moins une fois par trimestre ». (Enquête mondiale auprès des PDG d’IDCfévrier 2024).

Face à une menace aussi accrue, les outils, les technologies et les organisations informatiques ont évolué en conséquence. Pour les infrastructures critiques, les exigences réglementaires et les normes ont également évolué en conséquence. Cela a entraîné certains chevauchements entre les normes et cadres de sécurité et l’informatique, qui, s’ils ne sont pas gérés efficacement, peuvent ruiner la capacité de réponse de l’entreprise.

La convergence des normes informatiques et de sécurité informatique pour répondre aux menaces opérationnelles et de sécurité

La convergence des cadres informatiques tels qu’ITIL et l’évolution des normes de sécurité nécessitent une approche cohérente de la gestion des services informatiques et des menaces de cybersécurité. L’accent mis par ITIL sur la gestion structurée des services informatiques – couvrant la gestion des incidents, des problèmes, des changements et de la continuité des services – recoupe naturellement les cadres de sécurité tels que le NIST et l’ISO/IEC 27001, qui mettent l’accent sur l’identification, la protection, la détection, la réponse et la récupération suite aux incidents de cybersécurité.

Avant l’avènement du centre d’opérations de sécurité, le centre de commande informatique se coordonnait avec les équipes opérationnelles pour répondre à tous les incidents, impliquant ainsi la petite équipe de sécurité informatique. Les SOC modernes sont équipés d’outils et de technologies avancés tels que des systèmes de gestion des informations et des événements de sécurité (SIEM), des plateformes de renseignement sur les menaces et des solutions de réponse automatisées. Ces améliorations permettent au SOC de surveiller, détecter et répondre de manière proactive aux incidents de sécurité en temps réel. Malgré ces progrès, lorsqu’un incident est signalé, il est souvent difficile de savoir s’il s’agit ou non d’un événement de sécurité. De plus, la collecte centrale de données du centre de commande informatique peut différer en termes d’alertes. Lorsqu’un incident survient, le centre de commande informatique et le SOC sont alertés. La cause peut être des problèmes de configuration, une tentative d’exfiltration de données, une attaque de ransomware, une fausse alerte ou autre chose. Le centre de commandement et le SOC sont prêts à réagir. Cette ambiguïté exige une réponse coordonnée et efficace pour minimiser les dommages potentiels.

Collaboration entre les opérations informatiques et de sécurité

Le responsable de la sécurité de l’information (RSSI) et le SOC sont à l’avant-garde de la prévention et de la réponse aux incidents de sécurité. Une réponse rapide et efficace est cruciale, mais la collaboration entre les opérations informatiques et les opérations de sécurité est tout aussi importante. Ce partenariat est essentiel pour déterminer si un incident est lié à la sécurité, restaurer rapidement les services et atténuer toute exposition à la sécurité.

Selon l’organisation, le RSSI peut rendre compte au CIO, à l’organisation de gestion des risques ou, dans certains cas, au PDG ou au CFO. La collaboration est plus simple lorsque le RSSI et l’organisation de sécurité relèvent du CIO, mais cela ne garantit pas une collaboration solide. Quelle que soit l’organisation, en combinant la gestion des services informatiques avec des pratiques robustes de cybersécurité, les organisations peuvent garantir une gestion efficace et complète des incidents.

Pour garantir un diagnostic et une réponse rapides sans que les deux équipes ne se gênent, le DSI et le RSSI peuvent mettre en œuvre les stratégies suivantes.

Définir des rôles et des responsabilités clairs

Définir clairement les rôles et les responsabilités des équipes SOC, des opérations informatiques et DevOps garantit que chaque équipe connaît ses tâches lors d’un incident, réduisant ainsi les chevauchements et la confusion. L’élaboration et la mise à jour régulière de plans de réponse aux incidents qui décrivent les étapes spécifiques que chaque équipe doit suivre lorsqu’un incident survient, y compris les protocoles d’escalade et les canaux de communication, contribuent à rationaliser le processus de réponse. Assurez-vous que le SOC partage librement avec le centre de commande.

Effectuer régulièrement des exercices de réponse aux incidents

Des exercices réguliers de réponse aux incidents, tels que des simulations sur table et des exercices en direct, sont essentiels pour tester et affiner les procédures de réponse. Après chaque exercice ou incident réel, une analyse post-mortem approfondie doit être menée pour évaluer la réponse et apporter les ajustements nécessaires aux processus et aux plans.

Mettre en œuvre des plateformes de communication intégrées

La mise en œuvre de plates-formes de communication intégrées permettant un partage transparent d’informations entre les équipes SOC, des opérations informatiques et DevOps est cruciale. Des outils tels que des logiciels de gestion des incidents et des plateformes collaboratives facilitent la communication et la coordination en temps réel. Assurez-vous que toutes les informations pertinentes sur l’incident, y compris les journaux, les alertes et les diagnostics, sont partagées rapidement et de manière transparente entre les équipes, afin d’identifier rapidement la nature de l’incident et de décider de la réponse appropriée.

Tirer parti de l’automatisation

Tirer parti de l’automatisation pour gérer les tâches de routine et le tri initial des incidents peut améliorer considérablement l’efficacité de la réponse. Les outils automatisés peuvent analyser rapidement les alertes, corréler les événements et identifier des modèles, permettant ainsi aux analystes humains de se concentrer sur des tâches plus complexes et plus critiques. Les outils d’orchestration de sécurité peuvent coordonner automatiquement les actions entre les équipes et les systèmes.

Mettre en place des équipes d’intervention conjointes

Favoriser la collaboration par le biais d’équipes d’intervention conjointes et de réunions régulières des équipes SOC, des opérations informatiques et DevOps garantit une approche unifiée et coordonnée face aux incidents majeurs. Les équipes d’intervention conjointes peuvent travailler ensemble lors d’incidents majeurs pour garantir une réponse unifiée. Des réunions régulières pour discuter des menaces potentielles, partager des informations et examiner les incidents récents renforcent la confiance et améliorent la capacité globale de réponse aux incidents.

Dans de nombreuses organisations, il existe souvent un chevauchement entre les outils utilisés par les opérations informatiques et les opérations de sécurité. Par exemple, les systèmes SIEM utilisés par le SOC peuvent collecter des données similaires à celles surveillées par les outils d’exploitation informatique. Pour remédier à ce chevauchement, il est essentiel d’établir des protocoles clairs pour l’utilisation des outils et le partage des données. En garantissant qu’il existe une source unique de vérité, les organisations peuvent réduire la redondance, améliorer la précision des données et améliorer l’efficacité globale.

International Data Corporation (IDC) est le premier fournisseur mondial d’informations commerciales, de services de conseil et d’événements pour les marchés technologiques. IDC est une filiale en propriété exclusive d’International Data Group (IDG Inc.), le leader mondial des services de médias technologiques, de données et de marketing. Récemment élu cabinet d’analystes de l’année pour la troisième fois consécutive, les solutions technologiques leaders d’IDC vous fournissent des conseils d’experts soutenus par nos services de recherche et de conseil de pointe, de solides programmes de leadership et de développement et les meilleures données d’analyse comparative et d’approvisionnement. auprès des conseillers les plus expérimentés de l’industrie. Contactez-nous dès aujourd’hui pour en savoir plus.

En savoir plus sur Les recherches d’IDC pour les leaders technologiques.

Gérald Johnston, conseiller de recherche adjoint auprès des programmes pour cadres informatiques (IEP) d’IDC, a fondé GJ Technology Consulting, LLC, où il a aidé des institutions financières mondiales et a contribué au lancement d’une start-up bancaire au Royaume-Uni. Johnston est un directeur expérimenté des services financiers et du conseil qui excelle dans la collaboration entre équipes pour obtenir des résultats. Avant d’occuper son poste actuel, Johnston a dirigé la fourniture de technologies pour les groupes de cybersécurité de l’information, de technologie et de propriétés d’entreprise de Wells Fargo, où lui et son équipe ont modernisé le centre de fusion des cybermenaces de l’entreprise au nom de l’équipe de cybersécurité. Il a été sélectionné comme Wells Fargo Global Fellow, grâce auquel il a aidé une banque philippine de microfinance et ses clients en collaboration avec Banquiers sans frontières. Il est l’ancien CTO des services partagés chez Wachovia, leader technologique pour les unités commerciales Core Banking, Bank Operations, Finance, Risk, Legal et Marketing.