I- Introduction
Cet article est le deuxième d’une série consacrée à la gestion des incidents cyber. Le premier revenait sur les moyens à mettre en place afin d’anticiper et de se préparer à une cyberattaque. Celui-ci se concentra sur une approche formelle à la gestion des incidents cyber qu’est le plan de réponse à incidents ou Incident Response Plan en anglais.
Vous avez dit IR Plan ?
Un IR plan est un ensemble de procédures à suivre en cas d’incidents numériques tels qu’une intrusion dans un système d’information ou encore un ransomware (chiffrement des données d’une entité pour obtenir une rançon). Il permet de coordonner la réponse à un incident et de définir les rôles clés. Il vise à éviter les situations où les collaborateurs d’une entreprise ne savent pas comment appréhender le problème ; ce qui entraine nécessairement une panique et une perte d’efficacité.
Un plan de réponse à incidents vise à réduire les impacts d’une cyberattaque, notamment le temps de « remise en marche » d’un SI et donc l’impact financier. Concrètement, il est composé de six étapes allant de la préparation de la réponse à un incident jusqu’à sa résolution.
II- Phase de préparation :
Le phase de préparation, comme son nom l’indique, est le moment où l’entreprise prépare son plan de réponses à incidents, définit le rôle de chacun et se prépare également sur le plan opérationnel : mesures de détections des menaces, anticipation de la communication de crise, etc.
Je vous invite à lire le première article de cette série qui détaille les mesures à prendre pour anticiper et se préparer à répondre à un incident numérique.
III- Phase d’identification :
Lors de cet phase, l’équipe ou la personne en charge de la surveillance du parc informatique analyse le système d’information afin de déterminer si l’entité est victime ou non d’une intrusion.
Si l’intrusion est avérée, l’équipe essaye de caractériser l’incident et de répondre à quelques questions :
- Quels sont les postes touchés (scope) ?
- Quand l’incident a-t-il commencé ?
- Comment est-ce que la menace se répand sur le réseau ?
- Quel est le type de menace ?
- Quelle est sa sévérité ?
Une fois l’origine de l’incident identifiée et caractérisée, il faut mener une investigation pour répondre aux questions :
- Qui ?
- Quoi ?
- Quand ?
- Comment ?
- Où ?
Les équipes doivent être en capacité de retracer la propagation de la cyberattaque sur leur SI, de son entrée à sa propagation.
Il est primordiale de documenter tout ce qui est fait lors de cette phase et de suivre des procédures respectant les principes de l’analyse forensique (conservation de la chain of custody, non modification des preuves numériques…).
IV- Phase de confinement :
Le confinement est la phase où les équipes opérationnelles essayent d’arrêter la propagation d’une menace sur leur parc informatique. Les équipes cherchent à remonter à la première machine ayant été infectée, au R0.
Il y a deux niveaux de confinement : à moyen et à long terme.
- Le moyen terme consiste à isoler chaque machine ayant été reconnue comme infectée. En effet, si l’on veut éviter la propagation d’un malware sur l’ensemble d’un parc informatique, le meilleur moyen est de sortir la machine du réseau. Attention par contre, il ne faut pas éteindre les endpoints infectés mais plutôt les mettre en veille. L’arrêt de la machine peut conduire à la destruction des evidences et artefacts forensiques (preuves forensiques).
- Le long terme vise à remettre en ligne rapidement les services essentiels ayant besoin d’un haut niveau de niveau disponibilité, voire une disponibilité constante. Cela peut être un site de e-commerce mais également un serveur de messagerie électronique.
V- Phase d’Eradication :
Cette phase, comme son nom l’indique, vise à trouver la ou les machines responsables de la propagation de l’incident sur le parc informatique afin de l’éradiquer. Si le problème n’est pas réglé à la racine, il pourra se repropager sur les machines « patchées ».
Après avoir vérifié que le(s) point(s) d’entrée(s) ont été éradiqué, l’ensemble des machines infectées doivent être nettoyées de la même manière.
Avant de passer à la remise en marche du système, il faut appliquer les patchs de sécurité nécessaires afin d’éviter l’exploitation d’une même faille, par exemple.
VI- Phase de remise en marche :
Lors de cette phase, les machines qui ont été isolées du réseau sont remises petit à petit en ligne. Il peut également y avoir une restauration des systèmes à partir de versions précédents l’intrusion. Il faut faire attention à ce qu’il ne reste pas de comportements malveillants sur ces machines ayant été remises en ligne.
Il faut maintenant vérifier que tout le parc informatique est de retour à la « normale ».
Il est également nécessaire de surveiller le système pendant une période plus ou moins longue en fonction de la gravité de l’incident afin de détecter tout potentiel reste d’infection.
Retour d’expérience et améliorations :
Cette dernière phase est un bilan de la crise qui vient de se passer. Il est primordial d’analyser les points positifs et négatifs de la réponse à incidents afin d’identifier des points d’améliorations. Plus le plan de réponse à incidents sera revisité et enrichi des expériences vécues, plus il sera efficace et adapté à l’entité le mettant en œuvre.
VII- Conclusion :
Ce n’est pas le jour J que vos équipes vont devoir se former pour pouvoir répondre à un incident. Cela prendrait beaucoup de temps et entrainerait de grosses pertes.
Un plan de réponse à incidents permet de prévoir les procédures et processus à suivre lorsqu’un incident de sécurité arrivera, et il arrivera…
Ce document ne suffit pas en lui-même. Il doit être connu de toutes les personnes ayant été identifiées comme pouvait jouer un rôle dans la gestion de crise. Ces dernières doivent être formées pour ce genre de situation et avoir des piqûres de rappels régulières. Le meilleur moyen d’assurer que les équipes responsables de la gestion des incidents de sécurité sont opérationnels est de les entraîner sur un cas se rapprochant de la réalité et cela au moins une fois par an.
