CyberCrise

Comment améliorer son processus de réponse aux incidents ? (deuxième partie)

L’efficacité du processus de réponse aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en cybersécurité. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.

Le référentiel TIBER-UE

Le référentiel TIBER-UE a été mis en place par la Banque Centrale Européenne. Son objectif est d’organiser des exercices de cybercrises au travers des scénarios de type Red Team ou TLPT (Threat-Led Penetration Testing).TIBER-UE s’adresse aux institutions financières. Le règlement européen DORA préconise la généralisation de ces exercices pour simuler des attaques ciblées et améliorer les mesures de prévention, de détection et de réaction. TIBER-UE prévoit 3 étapes : préparation, test et plan de remédiation. Le prestataire externe qui conduit les tests doit inclure des recherches approfondies sur la cible débouchant sur un rapport CTI. Chaque régulateur peut adopter son référentiel national, TIBER-EU étant le référentiel « chapeau ».