En quelques années, le nombre et la complexité des cyber-attaques n’a cessé d’augmenter. Malgré de gros efforts mis en place pour se protéger, il est illusoire de se sentir intouchable. Une solide sécurité périmétrique peut-être facilement déjouée par des attaques tel que le phishing ouvrant le réseau interne à l’attaquant.

 

Une fois qu’un attaquant a pénétré le réseau, il faut réagir vite pour le bloquer et l’empêcher de revenir aussitôt. Un problème fréquemment rencontré est la mauvaise préparation des équipes sur place, leur premier travail étant avant tout de s’assurer du fonctionnement normal de la production. Sans connaissances en réponse à incident, il est très facile, sans le faire exprès et en ayant de bonnes intentions, de détruire de précieuses preuves, d’indiquer à l’attaquant que l’on a détecté l’intrusion et donc le rendre d’avantage méfiant voir pire lui fournir des mots de passe d’administrateur. C’est aussi lors des incident que l’on se rends compte du manque de logs ou de leur non pertinence.

Il est donc crucial de former ses équipes à réagir à ce genre de situation pour être prêt le jour de l’incident. Le problème que cela pose est double. D’une part, les compétences à apprendre sont nouvelles et peu utiles au quotidien par rapport à des formations spécialisées dans le métier des équipes d’intervention d’urgence. D’autre part, grâce à une sécurité de mieux en mieux maitrisée, les gros incidents de sécurité sont rares mais souvent ravageur.

Dans ces conditions et pour répondre à ces problématiques, une structure de type CSIRT – Computer Security Incident Response Team, comme le CSIRT d’Excellium Services, propose une offre de réponse à Incident appelée « Assurance Forensic ». Cette assurance se découpe en deux parties. La première partie est la préparation. Elle consiste en une évaluation des capacités de réponse à incidents de l’entreprise. Cela passe par une revue de la sécurité de l’infrastructure, de la gestion des logs, de la maitrise du réseau par les équipes et ses capacités de communication. Cette étape permet de mettre en avant d’éventuels manquements susceptibles de ralentir la réponse et de proposer des recommandations pour améliorer la capacité de réponse. Cela permet aussi à l’équipe du CSIRT d’avoir, en avance, une connaissance des points de contacts, des schémas réseau, les types d’équipement utilisés. Cette préparation passe aussi par une série de courtes et simples procédures fournie aux équipes pour réagir rapidement en évitant les erreurs précédemment décrites.

Une fois la préparation réalisée, il est plus facile d’avoir une vue globale sur le système d’information et de répondre le plus efficacement possible. C’est là la seconde partie de cette « Assurance Forensic », la réponse en tant que telle. Une fois détecté, le CSIRT intervient pour aider à contenir l’incident et à revenir à un fonctionnement normal de l’activité. De plus une analyse poussée de l’incident est réalisée pour clairement identifier le déroulement de l’attaque incluant l’identification du point d’entrée, les méthodes de propagation et de persistance utilisées. Cette analyse se conclue par des recommandations pratiques à mettre en place pour éviter que l’incident ne se reproduise et augmenter l’efficacité des prochaines interventions.

Qu’importe le niveau de maturité de la sécurité mise en place, le risque zéro n’existe pas. Il faut garder à l’esprit que l’incident de sécurité arrivera tôt ou tard. L’important est de pouvoir réagir vite et d’utiliser cette expérience pour s’améliorer. Et pour ça, la meilleure des solutions reste une préparation efficace pour faire face à ces situations de crise.

L’enjeu est lié au à la capacité des organisations d’être en mesure de répondre à l’incident dans une perspective de continuité des opérations. Etre en mesure de survivre à un incident cyber impactant la production fait dorénavant partie de l’arsenal des contre-mesures de l’équipe sécurité. Gestion de crise, analyse de la malveillance et réponse à incident sont les thématiques à l’agenda des responsables sécurité.

Au travers d’une souscription directe à un fournisseur ou dans un contexte de cyber-assurance, disposer de capacités de réponse à incident devient un besoin voir une obligation dans le cadre des réglementations en place ou à venir ou la capacité de détecter et répondre à un incident devient un pré-requis.

Si vous souhaitez approfondir ce sujet et écouter des retours d’expériences dans le domaine cyber – rejoignez nous le 13 décembre lors de notre session Excellium University pour aborder ce sujet.