Blog > Reponse aux incidents

Simulation de cyberattaque (tabletop) : êtes vous prêts?

Lorsqu’un incident de cybersécurité se produit, notamment une attaque par rançongiciel, les équipes internes sont souvent tellement choquées qu'elles sont incapables de prendre de bonnes décisions pour gérer efficacement l’incident.

Par exemple, nous avons vu des cas où l’équipe interne a identifié 2 ou 3 serveurs infectés, et s’est contenté de les déconnecter sans vérifier que le pirate était encore dans le réseau. Erreur fatale! Le pirate accélère toujours la cadence lorsqu’il se rend compte que son piratage a été découvert. Finalement l’organisation se retrouve avec des dizaines ou centaines de serveurs infectés, ce qui augmente fortement les impacts de l’attaque et met le pirate dans une position de force dans une négociation éventuelle. 

Noter que plus vous avez des serveurs critiques infectés, et plus le retour en production sera long et coûteux. 

Bonne nouvelle : vous pouvez éviter une gestion d’incident catastrophique en faisant régulièrement des simulations de cyberattaques, communément appelées tabletop. Ainsi, lorsqu’un incident se produit, vous aurez un sentiment déjà-vu, et vous serez très efficaces. Ce qui réduira fortement l’impact de l’incident.

Dans cet article de blog, nous vous expliquerons en quoi consiste une simulation de cyberattaque.

 

 

Objectif de la simulation de cyberattaque (tabletop)

Lors d’une simulation, l'équipe interne dédiée à la gestion des incidents (aussi appelée équipe de réponse aux incidents) se réunit et simule la gestion d’un cas de cyberattaque, afin de vérifier si elle dispose de tout ce qu’il faut pour gérer une telle attaque.

La simulation est coordonnée par celui qui leade l’équipe de réponse aux incidents.

Lors du tabletop, l’on vérifie si l’équipe tient compte de toutes les étapes de la gestion de l’incident et si les mesures de mitigation qu’elle propose sont adéquates et efficaces.

Chaque membre de l’équipe intervient et indique comment il contribuerait à la gestion de l’incident.  L’on vérifie aussi si l’équipe collabore pour trouver des solutions.

A la fin de la simulation, vous produisez un rapport qui évalue votre gestion de l’incident. Le rapport indique aussi les recommandations à mettre en place pour améliorer votre capacité de réaction si lors de la simulation des faiblesses ont été constatées.

 

 

Idéalement il faut avoir un plan de réponse aux incidents

Avant la simulation, nous vous recommandons fortement d’avoir un plan de réponse aux incidents. Ce plan indique clairement les rôles et responsabilités de chacun des membres de l’équipe de réponse aux incidents. Il indique aussi les actions à prendre à chaque étape de la gestion d’un incident.

Assurez-vous que chaque membre lise la plan de réponse aux incidents avant de venir à la simulation.

Si vous n’avez pas de plan de réponse aux incidents, c’est le moment d’en créer un.

Chose importante: assurez vous d’avoir un plan écrit. 



Étapes couverts par la simulation (tabletop)

Le tabletop simule un incident réel. Vous devez donc vous assurer de couvrir toutes les étapes de la gestion d’un incident, à savoir:

  • La déclaration de l’incident

  • Le confinement de l’incident : l’isoler et éviter qu’il se propage

  • L’éradication : éliminer l’incident (reconstruire ses serveurs infectés, etc.)

  • Le recouvrement : restaurer vos données et revenir en production de manière sécuritaire

  • La surveillance post-incident : mettre le réseau sous surveillance temporaire avoir de détecter si le pirate essaie de vous attaquer (ce qui arrive souvent).

  • Le post-mortem : retour sur la gestion de l’incident et les leçons apprises

  • La communication : toute la communication nécessaire pour gérer l’incident (communication avec les employés, les autorités, les partenaires, les médias, le public, etc.)



La première simulation risque d’être catastrophique

Si c’est la première fois que vous faites un tabletop, il se pourrait que vos résultats soient approximatifs, mais il ne faut pas se décourager. Plus vous en faites et plus vous devenez efficaces.



Simulation regulières

Dans les bonnes pratiques. Il est fortement recommandé de faire des simulations de cyberattaque au moins une fois par année.

 

 

Comment Streamscan peut vous aider?

Les conséquences d’une cyberattaque peuvent être majeures. Votre préparation doit donc être impeccable afin de vous donner tous les moyens nécessaires pour gérer efficacement les incidents.

Besoin d’aide pour créer votre plan de réponse aux incidents ou faire une simulation de cyberattaque? 

Contactez nous au +1 877 208-9040 ou parlez à l’un de nos experts.