Une fois qu’un attaquant a pénétré le réseau, il faut réagir vite pour le bloquer et l’empêcher de revenir aussitôt. Un problème fréquemment rencontré est la mauvaise préparation des équipes sur place, leur premier travail étant avant tout de s’assurer du fonctionnement normal de la production. Sans connaissances en réponse à incident, il est très facile, sans le faire exprès et en ayant de bonnes intentions, de détruire de précieuses preuves, d’indiquer à l’attaquant que l’on a détecté l’intrusion et donc le rendre d’avantage méfiant, voire pire, lui fournir des mots de passe d'administrateurs. C’est aussi lors des incidents que l’on se rend compte du manque de logs ou de leur non pertinence.

Il est donc crucial de former ses équipes à réagir à ce genre de situation pour être prêt le jour de l’incident. Le problème que cela pose est double. D’une part, les compétences à apprendre sont nouvelles et peu utiles au quotidien par rapport à des formations spécialisées dans le métier des équipes d’intervention d’urgence. D’autre part, grâce à une sécurité de mieux en mieux maîtrisée, les gros incidents de sécurité sont rares mais souvent ravageurs.

Dans ces conditions et pour répondre à ces problématiques, une structure de type CSIRT – Computer Security Incident Response Team, comme le CSIRT d’Excellium Services –, propose une offre de réponse à Incident appelée «Assurance Forensic». Cette assurance se découpe en deux parties. La première partie est la préparation. Elle consiste en une évaluation des capacités de réponse à incident de l’entreprise. Cela passe par une revue de la sécurité de l’infrastructure, de la gestion des logs, de la maîtrise du réseau par les équipes et ses capacités de communication. Cette étape permet de mettre en avant d’éventuels manquements susceptibles de ralentir la réponse et de proposer des recommandations pour améliorer la capacité de réponse. Cela permet aussi à l’équipe du CSIRT d’avoir, en avance, une connaissance des points de contact, des schémas réseaux, des types d’équipements utilisés. Cette préparation passe aussi par une série de courtes et simples procédures fournies aux équipes pour réagir rapidement en évitant les erreurs précédemment décrites.

Une fois la préparation réalisée, il est plus facile d’avoir une vue globale sur le système d’information et de répondre le plus efficacement possible. C’est là la seconde partie de cette «Assurance Forensic», la réponse en tant que telle. Une fois détecté, le CSIRT intervient pour aider à contenir l’incident et à revenir à un fonctionnement normal de l’activité. De plus, une analyse poussée de l’incident est réalisée pour clairement identifier le déroulement de l’attaque, incluant l’identification du point d’entrée et les méthodes de propagation et de persistance utilisées. Cette analyse se conclut par des recommandations pratiques à mettre en place pour éviter que l’incident ne se reproduise et augmenter l’efficacité des prochaines interventions.

Qu’importe le niveau de maturité de la sécurité mise en place, le risque zéro n’existe pas. Il faut garder à l’esprit que l’incident de sécurité arrivera tôt ou tard. L’important est de pouvoir réagir vite et d’utiliser cette expérience pour s’améliorer. Et pour ça, la meilleure des solutions reste une préparation efficace pour faire face à ces situations de crise.

L’enjeu est lié à la capacité des organisations d’être en mesure de répondre à l’incident dans une perspective de continuité des opérations. Être en mesure de survivre à un incident cyber impactant la production fait dorénavant partie de l’arsenal des contre-mesures de l’équipe sécurité. Gestion de crise, analyse de la malveillance et réponse à incident sont les thématiques de l’agenda des responsables sécurité.

Au travers d’une souscription directe à un fournisseur ou dans un contexte de cyber-assurance, disposer de capacités de réponse à incident devient un besoin voire une obligation dans le cadre des réglementations en place ou à venir, pour lesquelles la capacité de détecter et répondre à un incident devient un prérequis.

Si vous souhaitez approfondir ce sujet et écouter des retours d’expériences dans le domaine cyber, rejoignez-nous le 13 décembre lors de notre session Excellium University pour aborder ce sujet.

    

Retrouvez toute l’actualité Cybersecurity Corner.