En cas de cyberattaque, c’est auprès de vous que votre direction
cherchera à obtenir des réponses et des éclairages. On peut parfois se
sentir seul dans une telle situation, mais rien ne dit que vous l’êtes
totalement. Si vous pouvez démontrer que vos plans et actions s’appuient
sur de bonnes pratiques sectorielles et respectent toutes les directives
et exigences applicables, vous aurez de quoi rallier les autres à votre
cause. D’autant plus si des experts tiers ont validé vos actions. Vous
rassurerez ainsi les parties prenantes sur le fait d’avoir paré à toute
éventualité et engagé toutes les actions nécessaires pour protéger votre
entreprise.
Une fois que la direction a bien cerné votre exposition aux cyberrisques
et les moyens de la réduire, il se peut qu’elle se pose alors la
question suivante : «
Quelles procédures de due diligence et d’assurance sécurité
avons-nous menées ? »
Sous-questions à envisager :
- Avons-nous fait valider le travail par une entité indépendante ?
- Qui s’en est chargé ? Quelles ont été la nature et l’étendue de
cette validation (traque des menaces, évaluation des
compromissions, etc.) ? - Si ce travail a été réalisé en interne, comment avons-nous
vérifié la robustesse de notre approche ?
Due diligence de cybersécurité : comment être
sûr d’avoir fait les bons choix ?
La clé ici consiste à rassurer la direction et les autres principales
parties prenantes quant à l’objectivité des analyses effectuées. Ces
analyses doivent non seulement prouver que la vulnérabilité a été
corrigée ou que l’attaque a été neutralisée, mais également que
l’environnement n’est pas exposé aux exploits subséquemment créés.
Les entreprises qui utilisent régulièrement des logiciels open-source et
dont les opérations s’étendent au-delà des frontières géographiques sont
soumises à des réglementations de plus en plus strictes (RGPD, CCPA,
etc.). Pour ces dernières, il est recommandé de recourir à un deuxième
avis objectif pour confirmer l’élimination des risques et la protection
de l’environnement contre une attaque ultérieure.
Divers outils et services (plateformes de simulation de compromissions,
experts indépendants, etc.) permettent aux entreprises de reproduire des
exploits et de valider la non-exposition de leur environnement à une
vulnérabilité particulière. Ces outils peuvent vous aider à renforcer
vos preuves de due diligence et à attester le bon fonctionnement de
l’environnement pour rassurer davantage la direction.
Données d’évaluation des risques : une gestion
colossale
Étayer vos réponses par des sources de données et des informations
solides vous aidera à démontrer la pertinence de vos choix. C’est une
démarche vitale, mais pour le moins difficile. Prenons le cas simple de
l’ évaluation
d’une compromission. Comment prouver que vous avez pris en
compte le bon périmètre de l’entreprise pour réaliser cette évaluation ?
Il vous faudra sans doute décrire la manière dont vous avez priorisé les
ressources. Ladite priorisation peut reposer sur des niveaux de
criticité qui, à leur tour, s’appuient sur une analyse robuste de
l’impact sur l’entreprise et un système de classification des données…
Bref, on peut vite tomber dans une spirale infernale.
La solution consiste à définir des liens clairs dans la hiérarchie
décisionnelle que vous avez suivie. Vous démontrerez ainsi votre due
diligence et pourrez fournir des preuves qui justifient votre choix de
suivre une feuille de route de sécurité donnée. Par exemple, vous devrez
pouvoir montrer pourquoi telle tâche a été définie de telle manière et
quel travail a été réellement réalisé.
Lisez le quatrième volet de cette série qui aborde cette question clé : «
Comment répondre aux exigences réglementaires ou autres demandes de
conformité ? »
Et visionnez cette vidéo pour en savoir plus sur la manière de présenter
la due diligence de cybersécurité à votre direction :
Nous contacter
Besoin de
services de réponse aux incidents ? Faites appel à Unit
42.®
Vous pensez avoir été impacté par la vulnérabilité Log4j ou victime
d’une autre attaque majeure ?
Contactez l’équipe Unit 42 pour échanger avec l’un de ses
membres. L’équipe Unit 42 de réponse aux incidents est disponible
24h/7j/365j. Vous pouvez également demander une évaluation
proactive pour mettre en place des mesures préventives.
