S'il y a une attaque contre le pays, les militaires se mobilisent. Lorsqu'une catastrophe naturelle survient, les plans de redressement entrent en vigueur. Si une maladie infectieuse commence à se propager, les autorités sanitaires lancent une stratégie de confinement.

Les plans d'intervention sont essentiels au rétablissement dans les situations d'urgence, mais en matière de cybersécurité, une majorité d'industries n'y prêtent pas attention.

"La réalité est peu importe à quel point vous êtes incroyable avec vos capacités de prévention, tu vas te faire pirater, " a déclaré Mohammad Jalali, un membre du corps professoral de recherche au MIT Sloan dont le travail est actuellement axé sur la santé publique et la cybersécurité organisationnelle. « Alors qu'allez-vous faire ? Avez-vous déjà un bon plan de réponse en place qui est continuellement mis à jour ? Et des canaux de communication sont définis, et les responsabilités des parties prenantes sont-elles définies ? Généralement, la réponse dans la plupart des organisations est non."

Pour aider à remédier aux faiblesses de la cybersécurité dans les organisations, Jalali et ses collègues chercheurs Bethany Russell, Sabine Razak, et Guillaume Gordon, construit un cadre de huit stratégies de réponse agrégées. Ils l'appellent OREILLES.

Jalali et son équipe ont examiné 13 articles de revues portant sur la cybersécurité et les soins de santé pour développer EARS. Bien que les cas soient liés à des organismes de soins de santé, les stratégies peuvent s'appliquer à une variété d'industries.

Le cadre EARS est divisé en deux parties :pré-incident et post-incident.

Avant l'incident :

1—Construction d'un plan de réponse aux incidents :Ce plan doit inclure des étapes de détection, enquête, endiguement, éradication, et récupération.

"L'une des faiblesses communes des organisations est qu'elles élaborent un plan de réponse aux incidents, mais le problème est que la documentation est généralement très générique, ce n'est pas spécifique à l'organisation, " dit Jalali. " Il n'y a pas de clair, spécifique, liste d'éléments exploitables."

Assurez-vous que tout le monde dans l'organisation connaît le plan, pas seulement les employés du service informatique. Définir des canaux de communication clairs, et lors de l'attribution des responsabilités, assurez-vous qu'ils sont clairement définis.

2—Construction d'une politique de sécurité de l'information à effet dissuasif :Des étapes de sécurité clairement définies établissent et encouragent la conformité.

"Beaucoup d'entreprises pensent que la conformité est la sécurité, " a déclaré Jalali. " [Que] si vous suivez simplement les informations, vous serez pris en charge. "

Ne placez pas la barre si bas que l'organisation n'est pas sécurisée. Les réglementations devraient garantir une compréhension des cybermenaces. Établir des raisons de motivation pour les équipes d'intervention à suivre les politiques de signalement. La conformité doit aller de pair avec l'amélioration continue.

3—Implication du personnel clé au sein de l'organisation :quelle que soit la taille d'une organisation, les principaux dirigeants doivent être informés de l'importance de la cybersécurité et être prêts à agir conformément au plan d'intervention.

Les dirigeants n'ont pas besoin d'être des experts en cybersécurité, mais ils doivent comprendre l'impact qu'un incident aura sur leur organisation. Plus ils sont informés, plus ils peuvent être impliqués dans un plan de réponse.

4—Tests simulés réguliers des plans de reprise :les exercices de reprise aident les organisations à tester les plans de résistance et à former les employés sur les protocoles de réponse appropriés.

Si l'organisation ne teste son plan de redressement que lors d'une situation d'urgence réelle, il est probable qu'il se heurte à de graves problèmes, ce qui pourrait augmenter le montant des dommages causés par le cyberincident.

Le passage d'une position réactive à une position proactive peut aider une organisation à identifier les faiblesses ou les lacunes de son plan de redressement, et y remédier avant qu'un incident ne se produise.

Après l'incident :

5 - Confinement de l'incident :Le confinement implique à la fois des mesures proactives et réactives.

Il est plus facile de couper les appareils infectés d'un réseau s'ils sont déjà segmentés d'autres appareils et connexions, avant un incident.

Les chercheurs concèdent qu'il n'est pas toujours possible de segmenter les réseaux, ni de le déconnecter immédiatement de l'ensemble du système. Tout au moins, signaler immédiatement l'appareil infecté à l'équipe informatique de l'organisation pour contenir l'incident.

6—Éthique intégrée et implication d'autres personnes au-delà de l'organisation :il est important de se rappeler que toutes les parties prenantes d'une organisation peuvent être affectées par un incident informatique.

Informez rapidement le conseiller juridique et les organismes de réglementation et d'application de la loi pertinents. Envisagez l'aide de ressources externes et partagez des informations sur la cybermenace.

7—Enquête et documentation de l'incident :Soyez rapide et minutieux ; chaque étape de la réaction avant et après l'incident doit être documentée.

L'enquête doit viser à trouver la cause technique fondamentale du problème, ainsi que des faiblesses qui pourraient empêcher de futures attaques. Une documentation appropriée est une nécessité pour cette analyse.

8—Construction d'un algorithme d'évaluation et de récupération des dommages :Les organisations doivent s'auto-évaluer après l'incident.

Alors que les ordinateurs sont le lieu où se produisent les cyberattaques, ils peuvent également être utilisés pour aider à la récupération. Les organisations peuvent tirer parti de la puissance des ordinateurs, notamment l'intelligence artificielle, pour la détection et le confinement des incidents en temps réel.

« Les cadres couramment utilisés pour les stratégies de réponse aux incidents manquent souvent cette étape essentielle, " Jalali a dit, "même s'il existe déjà des produits basés sur l'IA à cette fin."