Une stratégie efficace de cyber-résilience est nécessaire pour se remettre d'une violation de données.

L’exposition des données sensibles d’une organisation ou des dossiers personnels des clients peut nuire à la réputation d’une entreprise. Elle peut également avoir de graves conséquences financières en raison des amendes réglementaires et des frais juridiques qui en découlent. C’est pourquoi les organisations doivent renforcer leur cybersécurité, car la cybercriminalité et les attaques par ransomware augmentent de façon exponentielle.

Ce constat est corroboré par les résultats de la récente enquête britannique sur les atteintes à la cybersécurité (UK Cyber Security Breach Survey 2024), qui indique que 50 % des entreprises britanniques ont déclaré avoir subi une cyberattaque ou une atteinte à la sécurité au cours des 12 derniers mois. Tout aussi préoccupant est le coût moyen mondial d’une violation, qui a atteint jusqu’à 4,45 millions de dollars en 2023 selon Statista.

Construire une défense de sécurité

Il est important d’identifier les sources communes d’une éventuelle violation de données et d’évaluer les vulnérabilités internes et externes de l’organisation afin d’atténuer efficacement les risques et de renforcer la stratégie de contre-résilience. Pour ce faire, il convient d’adopter une approche à multiples facettes qui tienne compte des différentes façons dont une violation pourrait se produire.

Les menaces externes, qui font référence aux attaques d’ingénierie sociale telles que le phishing ou les logiciels malveillants visant à compromettre le système ou les données d’une organisation, résultent souvent d’une vulnérabilité interne ou d’une erreur humaine provoquant une défaillance ou une lacune logicielle à l’origine d’une violation. Selon le rapport 2024 de Verizon sur les violations de données, ce type d’attaque est à l’origine de 68 % de l’ensemble des violations. Les entreprises doivent donc renforcer la première ligne de défense.

Les programmes de formation et de sensibilisation des employés sont essentiels pour améliorer la posture de sécurité d’une organisation, en particulier à mesure que l’IA progresse et que les attaques d’ingénierie sociale deviennent plus réalistes et difficiles à distinguer. Des méthodes telles que la gamification et la simulation améliorent la préparation en reproduisant des courriels d’hameçonnage réalistes dans les environnements de travail et fournissent une formation sur mesure, spécifique et mise à jour avec les dernières menaces, afin d’équiper les employés.

Des mesures préventives de contrôle des risques devraient également être mises en œuvre avec des mesures de sécurité des terminaux telles que la détection et la réponse, l’analyse continue des risques, l’intégrité du réseau et les protections de l’environnement cloud. En outre, les entreprises devraient segmenter les réseaux et les mesures de sécurité telles que le cryptage, les contrôles d’accès gérés et l’authentification multifactorielle.

Identifier les données vitales

Les organisations doivent déterminer leurs données vitales (VDA) qui diffèrent du point de vue de l’analyse de l’impact sur l’entreprise (BIA) afin de justifier l’investissement dans des stratégies modernes de protection des données et de préparation à la reprise d’activité. Les stratégies de protection des données telles que la règle 3-2-1, qui recommande d’effectuer plusieurs sauvegardes des données, peuvent dépasser les budgets de cybersécurité si chaque ensemble de données est répliqué.

Les données vitales (Vital Data Assets) sont des données sensibles, réglementées, génératrices de revenus ou utiles à la mission, qui peuvent menacer la viabilité de l’entreprise si elles sont exposées, compromises ou rendues indisponibles. Ces données sont susceptibles d’être prises en otage en échange d’une rançon. Bien que cela puisse varier en fonction des systèmes ou des ensembles de données qui sont vitaux pour la fonctionnalité d’une organisation en cas de violation de données, l’organisation doit identifier et sécuriser ces données en tant qu’élément clé de sa stratégie de cyber-résilience.

Contrôle des risques réactif ou préventif

Pour la plupart des organisations, les contrôles préventifs des risques sont intégrés dans leur stratégie de cybersécurité. Ces mesures se concentrent sur la détection et la prévention des menaces de cybersécurité afin de réduire le risque et l’impact des mauvais acteurs. Bien que ces mesures fassent partie intégrante d’une approche holistique visant à réduire le risque de violation de données, dans un paysage de menaces en constante évolution, il n’est plus suffisant pour les organisations de dépendre uniquement des mesures préventives. Les organisations doivent trouver un équilibre entre les contrôles préventifs et réactifs des risques.

Les mesures réactives de contrôle des risques utilisent des plans de récupération préétablis en réponse au moment où les données sont compromises (plutôt que si elles le sont), afin que les entreprises soient préparées à une violation de données et puissent récupérer leurs données et leurs systèmes de manière sûre et efficace.

Les mesures réactives de contrôle des risques combinent des stratégies modernes de protection des données qui reconnaissent que lorsqu’une violation de données se produit, les données compromises peuvent être manquantes ou déplacées et ne pas être parfaitement synchronisées en un seul endroit. La mise en œuvre de mesures telles que les sauvegardes immuables, les salles blanches hors réseau préétablies et la réhydratation et le décryptage ponctuels, peut minimiser l’impact d’une violation de données tout en garantissant la sécurité des données vitales d’une organisation.

Être prêt en cas de catastrophe

Dans le cas d’un cyber-événement non physique tel qu’une violation de données, la sauvegarde ou la réplique la plus récente des données n’est pas forcément le bon moment pour les récupérer. C’est plutôt la dernière réplique propre des données qui doit être récupérée. Cela dépend du moment où la compromission ou l’infection a eu lieu pour chaque système ou application, ainsi que de la possibilité de trouver une copie propre des données à restaurer.

En 2023, Statista a constaté que le temps moyen mondial pour identifier et contenir une violation de données était de 73 jours. Les logiciels malveillants peuvent rester en sommeil dans le système d’une organisation jusqu’à 90 jours s’ils ne sont pas détectés, ce qui fait perdre trois mois à l’organisation pour récupérer ses données.

Prêt pour la reprise

Les stratégies de récupération sont basées sur les principaux objectifs de récupération d’une organisation, notamment les objectifs de temps de récupération (RTO) et les objectifs de point de récupération (RPO). Les RTO correspondent à la durée ciblée nécessaire pour rétablir les opérations à la suite d’une atteinte à la protection des données, tandis que les RPO correspondent à la quantité maximale de données perdues qu’une organisation peut supporter tout en continuant à fonctionner.

Dans le cas d’une violation de données, les délais de récupération sont rarement respectés car la perte de données peut varier de quelques jours à plusieurs semaines, voire plus, en fonction des actions de compromission des sauvegardes menées par les auteurs de la violation. Par conséquent, la récupération de ces données doit être effectuée par étapes, en utilisant plusieurs salles blanches isolées pour garantir un environnement sûr et non compromis.

Toutefois, si les bonnes mesures préventives et réactives sont mises en place, le temps d’immobilisation et la perte de données peuvent être considérablement réduits si l’attaque est détectée rapidement afin que les entreprises puissent se rétablir efficacement.

Enfin, il convient de procéder à des contrôles d’audit réguliers afin d’établir une stratégie globale de prévention des violations de données, en veillant à l’évaluation des contrôles de sécurité et à la conformité avec des lois telles que HIPAA et PCI. Les organisations doivent également adapter et innover leurs dispositions en matière de cybersécurité en fonction de l’évolution des vecteurs de menace. Il est nécessaire de tester régulièrement, de prouver la récupérabilité et de pratiquer la réponse de récupération pour maintenir le cycle de vie de la récupérabilité.