SentinelOne rappelle aux entreprises les 8 principales règles à suivre en cas de violation de données
avril 2024 par SentinelOne
A l’approche des Jeux Olympiques de Paris 2024, la question de la cybersécurité est au cœur des préoccupations. Comprendre comment prévenir et réagir face aux violations de données est essentiel au succès opérationnel de chaque entreprise. Face à la cybermenace qui pèse sur cet événement d’envergure – les cyberattaques devraient être 8 à 10 fois plus importantes que lors des JO de Tokyo selon le Comité d’Organisation des Jeux Olympiques (Cojo) - SentinelOne, leader mondial de la sécurité alimentée par l’IA, liste les 8 étapes clés pour affronter cette situation.
Les huit étapes à suivre en cas de violation de données
Quelle que soit l’origine d’une violation de données (piratage, malwares, actions malveillantes au sein de l’entreprise, erreur humaine involontaire), les conséquences ont un impact technique, financier, juridique et peuvent également altérer la réputation de l’entreprise et la confiance de ses clients. Lorsqu’une attaque se produit, les entreprises doivent donc agir rapidement pour préserver les preuves, restaurer le système et mener une investigation efficace. SentinelOne rappelle les 8 étapes incontournables pour mettre en place une réponse solide et efficace :
– 1. Faire appel au conseil juridique et à la réponse aux incidents
Bien que les obligations légales varient souvent en fonction du pays ou du secteur d’activité, elles imposent généralement aux entreprises de notifier les personnes touchées par une attaque, d’informer les autorités compétentes et de prendre les mesures nécessaires afin d’éviter sa propagation et réduire les risques futurs. En outre, en fonction du cadre de conformité qui leur est imposé, les entreprises doivent transmettre les détails de la violation aux autorités réglementaires. Enfin, en cas d’incident, il est également conseillé d’informer son conseiller juridique interne ou externe et de contacter son prestataire de cybersécurité.
– 2. Ne pas bloquer les endpoints affectés
Si les procédures juridiques et de conformité doivent être déclenchées immédiatement après une cyberattaque, les responsables de la sécurité doivent également adopter une approche proactive pour préserver les données et les éléments de preuve. Pour ce faire, il est conseillé aux entreprises de ne pas désactiver les endpoints suspectés d’être compromis. Leur mémoire vive (RAM) contient des preuves précieuses qui, lorsque les systèmes sont arrêtés, sont définitivement perdues.
– 3. Déconnecter du réseau les systèmes compromis
Il est indispensable de déconnecter le câble réseau, le Wi-Fi ou les données mobiles des systèmes potentiellement compromis. Séparer le réseau compromis du réseau sain (par exemple, réseaux locaux virtuels (VLAN) et listes de contrôle d’accès au réseau (ACL)) peut également faciliter la poursuite des activités.
– 4. Identifier et préserver les éléments de preuves
Les entreprises doivent identifier les éléments de preuves potentielles dans tous les pare-feu (systèmes de détection d’intrusion (IDS), réseaux privés virtuels (VPN), solutions antivirus (AV), journaux d’événements) et s’assurer qu’ils sont configurés pour conserver ces preuves et qu’ils n’écrasent pas automatiquement les anciens journaux.
– 5. Collecter les indicateurs de compromission (IoC) et les échantillons
Il est important de recueillir tous les IoC connus et les échantillons de codes malveillants. Il peut s’agir d’adresses IP ou de domaines suspects, de hachages, de scripts PowerShell, d’exécutables malveillants, de notes de rançon, ... pour contribuer à l’investigation.
– 6. Anticiper la restauration
Préparer la restauration des fonctionnalités du réseau à l’aide de solutions de sauvegarde est clé. Il est notamment important s’appuyer sur les informations issues des investigations des systèmes compromis avant de restaurer les données. Avant de procéder à toute restauration, il est enfin essentiel de vérifier que les sauvegardes sont viables et propres.
– 7. Élaborer un calendrier
Préparer une chronologie des événements suspects connus, indiquant le moment où l’attaque est censée avoir commencé et quelle est l’activité malveillante la plus récente, est primordial.
– 8. Identifier les endpoints
Les entreprises doivent déterminer les endpoints qui ont fait l’objet d’une activité suspecte, notamment en identifiant le premier système touché (patient zéro) et les sources éventuelles d’exfiltration.
Quelles mesures pour prévenir les futures violations de données ?
Pour éviter de futures violations de données, qui risquent de se multiplier à l’occasion des prochains JO, de solides mesures de sécurité doivent être mises en place par les entreprises. Il est ainsi conseillé de :
– Investir dans des solutions de cybersécurité robustes telles que la détection et la réponse étendues (XDR) et la détection et la réponse gérées (MDR), afin de garantir une approche holistique de la défense.
– Mettre en œuvre des méthodes d’authentification forte telles que l’authentification multifactorielle (MFA) ou le contrôle d’accès basé sur les rôles (RBAC) pour empêcher l’accès non autorisé aux systèmes et aux données.
– Réaliser des évaluations et des audits de sécurité réguliers afin d’identifier les vulnérabilités et y remédier
– Contrôler et analyser régulièrement le trafic réseau afin d’identifier les menaces potentielles et y répondre
– Mettre en œuvre le cryptage des données et d’autres contrôles de sécurité afin de protéger les données sensibles contre les accès non autorisés.
– Créer et communiquer un plan de réponse aux incidents aux principaux dirigeants de l’entreprise afin de garantir une réponse rapide et efficace en cas d’atteinte à la protection des données.
– Développer des partenariats avec des experts en cybersécurité afin d’être informé des dernières informations sur les menaces et d’accéder aux solutions de sécurité les plus récentes.
– Former les employés à la sécurité des données et aux bonnes pratiques.
Singularity XDR, solution basée sur l’intelligence artificielle (IA) et l’apprentissage automatique (ML) de SentinelOne, répond à l’ensemble des écosystèmes de sécurité et protège chaque surface d’attaque.