Réponse à incident

System Control Room Dispatcher Talks into Headset. He Controls Correct Work of the Facility. In the Background Multiple Monitors Show Technical Data.

 

L’année 2020 a été marquée par de nombreuses campagnes de phishing, la découverte de vulnérabilités critiques dans des produits très répandues (Microsoft Exchange, SolarWinds, Pulse Connect…). Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI), a révélé que l’ANSSI était intervenue près de quatre fois plus pour des cas de ransomware (chiffrement des données d’une entité pour obtenir une rançon) qu’en 2019. Le rapport cyber de Hiscox permet de bien comprendre la menace en France et notamment les risques financiers associés :

 

  • Environ 34 % des entreprises ont été la cible d’une ou plusieurs cyberattaques ;
  • Le coût moyen des cyberattaques passe de 9 000 € en 2019 à 35 000 €, soit une augmentation de 290% ;
  • La moyenne des pertes des grandes entreprises (+1000 employés) dépasse les 450 000 € ;
  • Le nombre d’attaques ciblant des petites entreprises est en constante hausse.

La menace cyber est en perpétuelle augmentation. Il convient donc d’en anticiper les risques et de se préparer à devoir répondre à une cyber attaque. Cet article est le premier d’une série portant les mesures à prendre afin de pouvoir anticiper, détecter et répondre à un incident de sécurité.

Ce premier papier revient sur la définition d’un incident de sécurité et la présentation de premières mesures à appliquer. Le second présentera une approche plus formelle : le plan de réponse à incidents, pour finir sur les exercices de gestion de crise afin de préparer au mieux vos équipes.

Tout d’abord, qu’est-ce qu’un incident ?

L’ISO 27 035 définit un incident de sécurité comme étant « un ou plusieurs événements liés à la sécurité de l’information indésirables ou inattendus présentant une forte probabilité de compromettre les activités de l’organisation et de menacer la sécurité de l’information. » En d’autres termes, il s’agit d’un évènement pouvant impacter la production de l’entreprise, la confidentialité, l’authenticité et l’intégrité de ses données. Les vecteurs d’attaques sont divers :

  • Exploitation d’une faille sur un serveur exposé publiquement ;
  • Faille humaine (ouverture d’une pièce jointe malveillante, insertion d’un clé USB…) ;
  • Faille web ;
  • Visite d’un site contenant du code malveillants ;
  • Etc.

La définition d’un incident et de ses conséquences est propre à une entreprise et dépend de ses valeurs métiers. Un évènement n’a pas le même impact pour deux entités avec des valeurs métiers différentes.

Avant de partir sur un plan de réponse à incidents (IR plan) allant planifier de manière précise comment vous allez répondre à un incident, certaines mesures doivent être mises en place. Un IR plan demande une certaine maturité en termes de SSI pour être efficace et pleinement exploitable.

Tout d’abord, une entreprise doit avoir une bonne connaissance de son SI et de ses risques associés afin de déterminer qu’elles sont les données et les composants les plus sensibles, ainsi que les données essentielles à la poursuite d’activité de l’entreprise. Cela se fait par le biais d’une analyse de risque formelle. L’ANSSI a créé une méthode appelée EBIOS Risk Manager (EBIOS RM) très complète pouvant être utilisée pour cette analyse.

Cette analyse devrait, en autres, établir une cartographie des données et des composants sensibles et essentiels à la poursuite d’activité de l’entreprise, notamment en termes de disponibilité. La perte d’activité peut être énorme en cas de perte de disponibilité pour un site de e-commerce. Ce cas doit donc être imaginé et les mesures exceptionnelles doivent être prévues en amont (basculement sur un serveur dans un autre SI, par exemple).

Cette cartographie est notamment utilisée pour définir une politique de sauvegarde et permet de déterminer les premiers éléments à surveiller.

La sauvegarde :

Une politique de sauvegardes des actifs doit être développée afin de préserver la disponibilité et la « non perte » des données de l’entreprise en cas de chiffrage de ces dernières, par exemple.

Cela commence par la mise en place de deux moyens de sauvegardes géographiquement séparés. Il existe différentes solutions :

  • Un ou plusieurs NAS en interne (petites à moyennes entreprises) et un backup en cloud ;
  • Un serveur dédié servant de source de sauvegarde principale. Cette dernière est redondée sur un autre cloud / serveur dédié. On peut par exemple avoir un service de partage de fichiers tel quel Nextcloud et un backup sur un serveur géographiquement séparé.

Une fois ces moyens déterminés, il faut définir une politique de sauvegarde des données de l’entreprise comprenant, en autres, l’occurrence des sauvegardes, la gestion de l’accès à ces sauvegardes, la durée maximale d’enregistrement des données qu’il est acceptable de perdre (RPO), la durée maximale d’interruption des sauvegardes (RTO).

Il ne faut pas oublier de tester ces sauvegardes au moins une fois par an. En effet, on dénombre de multiples cas où les sauvegardes qui devaient permettre de récupérer les données de l’entreprise n’étaient pas fonctionnelles.

 Détection / monitoring :

Au-delà de la sauvegarde des données, il est important de mettre en place des moyens de détection. En effet, comme dirait l’ancien CEO de Cisco, John Chambers : “There are only two types of companies: those that have been hacked and those that don’t know they have been hacked.” Une entreprise ne peut pas répondre à un incident si elle n’est pas en capacité de le détecter.

Les composants critiques et ceux hébergeant les données critiques préalablement identifiées doivent être surveillées. C’est-à-dire que les journaux de ces derniers doivent être activités et constamment surveillés. En plus de ces logs, un N-IDS/N-IPS (Network-based Intrusion Detection System/Network-based Intrusion Prevention System) peut être ajouter pour la partie réseau. Le mieux est d’avoir une gestion des logs centralisée via un SIEM, par exemple.  Cela demande certes des connaissances techniques mais peut rester relativement abordable du point de vue financier. Certaines solutions, à l’instar de la stack ELK, sont open source et peuvent être déployées on-premise.

Ainsi tous les évènements de sécurité, tous les journaux des composants essentiels vont remonter (via le protocole syslog, par exemple) et seront consultables sur une même plateforme. Cela permettra de détecter une grande partie des attaques et d’avoir des logs pour une éventuelle investigation numérique.

Le dernier point que nous voulions aborder est l’aspect humain de la réponse à incidents. Au-delà des moyens techniques mis en place, la sécurité informatique repose sur des moyens humains. Vous avez beau avoir le meilleur SIEM, si personne ne suit l’activité de ce dernier, une intrusion restera inaperçue.

C’est la même chose pour une réponse à incidents, vous avez besoin d’équipes formées pour piloter les opérations en cas de crise. Deux cellules de crises sont en général mises en place :

  • La cellule de crise opérationnelle (CCO), en charge de la réponse technique, des opérations validées par la CCD ;
  • La cellule de crise décisionnelle (CCD), responsable des décisions, valide les opérations du CCO et planifie la réponse à incidents.

Ces cellules regroupent différents corps de métiers, on retrouve typiquement un coordinateur de la CCO, un coodinateur de la CCD, un responsable HR, un responsable juridique, des membres du Codir, CTO, RSSI, sysadmin, chargé relation publique, architecte réseau, risk manager et bien d’autres. La composition de ces deux groupes dépend de chaque entreprise et est à étudier en amont d’une éventuelle crise.

Il ne faut pas oublier les collaborateurs de l’entreprise qui sont souvent les premiers à détecter une intrusion. Il faut donc mettre en place des procédures pour permettre à ces derniers de remonter de l’information sur des comportements suspicieux. Il faut donc :

  1. Définir un référent en charge de gérer les incidents de sécurité, ce dernier n’est pas nécessairement le RSSI ;
  2. Faire connaître cette personne après de vos collaborateurs et mettre en place des protocoles de communication ;
  3. Former vos collaborateurs aux risques d’hygiène informatique et aux actions à prendre lors de suspicions (prévenir le référent gestion de crise, déconnecter leurs ordinateurs du réseau).

Conclusion :

La question aujourd’hui n’est plus de savoir si une cyberattaque va arriver mais bien quand elle va arriver. Ce n’est pas le jour J qu’il faut s’organiser et décider de « qui fait quoi », il faut bien évidemment le prévoir en amont.

La cartographie des données et composants essentiels, la sauvegarde de vos données, la détection des incidents de sécurité et l’anticipation de la composition des cellules de crise sont des mesures à mettre en place si votre entreprise veut commencer à se préparer en cas de cyberattaque et ainsi améliorer la résilience de son entreprise.

Une fois ces premiers éléments appréhendés, il convient de mettre un réel plan de réponse à incidents que j’ai nommé plan de réponse à incidents ou IR plan, en anglais. C’est d’ailleurs le sujet de notre prochain article.

 

Si vous souhaitez une prestation contactez-nous à l’adresse suivante : Contact

 

Sources

Partager sur facebook
Facebook
Partager sur google
Google+
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Partager sur pinterest
Pinterest