Réponse à la violation d'une tierce partie : 6 mesures immédiates à prendre

Six mesures à prendre dans les 24 heures qui suivent une faille de sécurité

Les étapes suivantes constituent une liste rapide des mesures à prendre au cas où votre organisation serait touchée par une atteinte à la vie privée d'un tiers. Le type ou l'ampleur de la violation aura une incidence sur les mesures spécifiques que vous prendrez à chaque étape.

Remarque : ces étapes ne doivent pas être considérées comme des conseils exhaustifs en matière de gestion des incidents. Veillez à collaborer avec l'équipe de votre centre d'opérations de sécurité (SOC), les auditeurs et d'autres parties internes.

1. Communiquer

Dès qu'un incident est détecté, établissez immédiatement une communication avec le tiers concerné. Il est essentiel de disposer d'un plan de communication préétabli dans le cadre de votre programme global de réponse aux incidents. Commencez par comprendre la portée et l'impact de l'attaque, en particulier si elle concerne des données personnelles ou sensibles régies par des normes réglementaires. Discutez des accords de niveau de service (SLA) ou des obligations contractuelles, et efforcez-vous de maintenir un dialogue calme et constructif.

Considération clé : Incorporez un arbre de décision de communication dans votre plan d'intervention en cas d'incident, décrivant les informations à communiquer en fonction de vos connaissances actuelles et du moment de vos découvertes, y compris des délais spécifiques pour les produits livrables.

2. Recueillir des informations

Une fois que le contact est établi et que l'étendue de la violation est comprise, recueillez des informations détaillées sur l'incident. Traitez cette étape comme une mini-évaluation post-fraude. Posez des questions pour savoir ce qui s'est passé, quelles données ont été consultées, quelles sont les expositions potentielles et quels sont les plans de reprise. Il est essentiel de comprendre le délai de rétablissement, surtout si la violation a entraîné une interruption de service.

En cas de violation par un tiers, le fait de poser les bonnes questions vous aidera à comprendre et à atténuer efficacement l'impact sur votre organisation.

Questions recommandées (à adapter en fonction des spécificités de l'incident) :

• Le fournisseur a-t-il été touché par une violation ou a-t-il utilisé un produit/service touché par une violation (oui/non) ?
• Quelle est la nature de l'impact sur le fournisseur ? (impact élevé/moyen/faible sur les systèmes, les applications et/ou les données)
• L'incident affecte-t-il les services essentiels fournis à votre organisation ? (Oui/Non)
• Le fournisseur a-t-il pris les mesures correctives suivantes ? (Énumérer les mesures recommandées, telles que l'application de correctifs ou la mise à jour des systèmes concernés)
• Le fournisseur a-t-il modifié les contrôles existants ou mis en œuvre de nouveaux contrôles pour résoudre et atténuer l'impact de la violation (identifié et déjà mis en œuvre ; identifié et en cours de mise en œuvre ; non identifié et/ou ne pouvant pas être mis en œuvre) ?
• Si les contrôles ne peuvent être mis en œuvre, quels sont les contrôles compensatoires ou les méthodes de contournement mis en œuvre ?
• Qui est le point de contact pour les demandes de renseignements complémentaires ?

3. Isoler

Les stratégies de confinement varieront en fonction du type de violation et du niveau d'accès du fournisseur. Par exemple, si le fournisseur a accès à vos données mais pas à votre infrastructure, vous pouvez cesser d'utiliser le service ou la plateforme jusqu'à ce que vous en sachiez plus. En revanche, si le fournisseur a accès à votre environnement informatique, quel qu'en soit le niveau, mettez-le en quarantaine et isolez l'accès immédiatement.

Dans la mesure du possible, isoler les systèmes et les points d'accès concernés afin d'empêcher tout nouvel accès non autorisé. Mettez en œuvre des restrictions d'hôtes locaux, des contrôles d'accès au réseau, des restrictions de privilèges et des suppressions ou verrouillages de comptes si nécessaire. Un manuel d'isolation préétabli pour les fournisseurs, les prestataires de services et les logiciels simplifiera ce processus. En l'absence d'un plan complet de réponse aux incidents, votre équipe pourrait avoir du mal à réagir rapidement, ce qui augmenterait le risque d'aggravation des dommages.

4. Remédier à la situation

Les efforts de remédiation doivent être rapides et efficaces. L'approche variera en fonction de l'endroit où la violation s'est produite. Si les systèmes internes sont compromis, vous devez corriger ou atténuer les vulnérabilités afin de contrôler le "rayon d'action" le plus rapidement possible. Si la violation est limitée à un tiers, il faut se concentrer sur la compréhension des données affectées, initier les notifications de violation et assurer la conformité avec les réglementations en vigueur.

5. Contrôler le comportement

La surveillance est essentielle pour détecter et comprendre l'impact de la violation et pour empêcher d'autres accès non autorisés. Gardez un œil sur les comportements internes des plateformes ou des logiciels affectés. Les activités inhabituelles, telles que les connexions réseau inattendues, doivent donner l'alerte. Surveillez les activités d'accès à distance entre votre organisation et le tiers afin de détecter les anomalies. Essayez de vous tenir informé des menaces potentielles ou des vulnérabilités affectant des organisations ou des technologies similaires.

6. Vérifier les renseignements sur les menaces

Tirer parti de la veille sur les menaces pour mieux comprendre et atténuer l'impact de la violation. Les organisations qui utilisent les renseignements sur les menaces peuvent détecter les brèches environ 28 jours plus rapidement que celles qui ne le font pas. Identifier les indicateurs internes de compromission (IOC) et les tactiques, techniques et procédures (TTP). Évaluez le type de données potentiellement exposées afin de formuler une réponse ciblée et d'informer les parties concernées de manière appropriée. En outre, surveillez l'impact sur la réputation et suivez les informations publiques concernant la tierce partie impliquée afin de mieux comprendre les implications plus larges de la violation.

Un incident impliquant un tiers peut avoir de graves répercussions sur votre organisation. Des actions immédiates, informées et décisives sont essentielles pour atténuer ces impacts. Ces six étapes permettent d'atténuer les dommages et de jeter les bases d'un processus de rétablissement complet.

Prochaines étapes pour se préparer aux violations de données par des tiers

Il est clair que les violations et les incidents impliquant des tiers peuvent avoir d'importantes répercussions en aval sur les opérations de votre organisation. Préparez-vous en tenant compte des risques liés aux tiers dans votre manuel de réponse aux incidents. Sachez qui vous contacterez, quels sont les accords de niveau de service concernés, quelles questions vous poserez et comment vous procéderez en fonction des réponses. Les programmes de réponse aux incidents étant par nature réactifs, la mise en œuvre de mesures proactives dans le cadre de votre programme global de gestion des risques liés aux tiers peut contribuer à écarter les menaces avant qu'elles n'aient un impact sur votre organisation.

Pour plus d'informations, regardez mon webinaire à la demande sur les incidents de cybersécurité des tiers et contactez Prevalent pour une démonstration de ses capacités de réponse aux incidents des tiers dès aujourd'hui.