La résilience est la capacité à revenir dans un état initial après altération, expliquent-ils. Elle se trouve au cœur de la continuité d’activité. Mais l’évolution de la menace fait que l’on doit repenser cette résilience au sein des entreprises.
Les cyberattaques ont trois principaux objectifs aujourd’hui :
– La destruction : de données, de postes de travail, de serveurs ;
– L’atteinte à l’image : via l’utilisation de différents canaux de communication par exemple ;
– Le gain financier et stratégique : à travers le vol ou la modification de données, la fraude…

Les PCI (Plans de Continuité Informatique) sont souvent pensés actuellement pour la haute disponibilité et/ou avec un partage des infrastructures, mais ces systèmes s’avèrent généralement vulnérables aux nouvelles menaces. Les scénarios de fraudes ou de gestion des risques sont, quant à eux, généralement pris en compte, néanmoins ils n’intègrent pas la perte de confiance inhérente aux attaques cyber. Il faut donc repenser cette continuité d’activité.

Dans le domaine cyber, nous sommes face à une intelligence humaine. En effet, l’attaquant va s’adapter à la défense. De plus, lorsque l’on se défend, le risque d’impacter sa propre entreprise est lui-même également bien réel, car souvent on sera obligé d’interrompre un service ou autre. C’est une véritable partie d’échecs qui s’opère entre l’entreprise et l’attaquant, avec l’obligation parfois de sacrifier un pion.

Pour illustrer cette présentation et les limites de la cyber-résilience, Gérôme Billois et Frédéric Chollet se sont appuyés sur un retour d’expérience concret de gestion de crise menée par le CERT-Solucom cette année au sein d’une grande entreprise. Trois phases ont ponctué cette intervention : la mobilisation, le traitement et la surveillance.

Tout a commencé un jeudi, lorsqu’un RSSI a trouvé un malware sur des serveurs métiers sensibles. Il a alors fait appel au CERT-Solucom, qui après une première analyse le lendemain a déterminé que ce malware visait spécifiquement des données métiers communiquant avec différents pans de l’infrastructure. L’équipe d’intervention a ainsi découvert un vol massif de données et mis sur pied la cellule de crise DG le samedi. L’entreprise a également procédé au basculement sur un système de messagerie externe, afin de s’assurer que l’attaquant n’écoute pas, et ne soit pas informé des opérations en cours.
Le dimanche, l’attaquant s’est à nouveau connecté sur le système, ce qui a donner l’occasion de remonter l’attaque et de savoir d’où il venait, mais aussi de déterminer son camp de base établi, à savoir un serveur de fichiers. Cette étape a également permis de se rendre compte que l’attaquant disposait d’un bon niveau technique et était présent dans le système depuis plusieurs mois déjà. Une équipe d’intervention a alors été structurée et isolée. Les équipes étaient très investies dans la crise. Le mardi, l’équipe a opté pour la construction d’un SIEM, avant de passer le mercredi à l’exécution d’un premier plan de défense en urgence. En effet, il a été décidé de couper toutes les portes d’entrée utilisées par l’attaquant, et donc par là même de lui montrer le « jeu » de la défense. Un dépôt de plainte a été initié dans la foulée. Le jeudi, soit une semaine après la découverte du malware, a été principalement consacré aux forces de l’ordre et aux différentes dépositions. Le jeudi soir, l’attaquant a essayé de se reconnecter ; l’équipe d’intervention a ainsi pu déterminer les mots de passe utilisés et la finalité de l’attaque, mais l’attaquant n’a pas pu aller plus loin. Le vendredi, un deuxième plan de défense a été déployé. Le samedi, le plan de surveillance 24/7 a été maintenu, mains aucune autre action n’a été menée, car l’impact aurait été trop fort pour les métiers. Pendant les jours suivants, le déroulement des plans de défense et la surveillance se sont poursuivis.

Cette crise a mis en exergue à la fois des aspects positifs dans sa gestion, des points plus négatifs, mais aussi de sérieux écueils. Parmi les points forts, on retrouve notamment une bonne compréhension et mobilisation de la direction générale et des métiers, et une organisation de la cellule de crise plutôt bien rodée, bien que neuve sur le sujet cyber. Toutefois, une perte d’efficacité a également été constatée pendant la crise, avec entre autres l’absence de traces, de capacités d’investigation et d’outillage de la gestion de crise, ou encore la difficulté de faire tourner les équipes. Du côté des écueils plus graves, ces dernières se sont retrouvées confrontées à l’impossibilité d’isoler les applications métiers critiques et à l’incapacité à utiliser les systèmes de secours.

Comment apprendre et renforcer la cyber-résilience ?

– Faire évoluer sa gestion de crise

Il reste parfois difficile de savoir si on doit ou pas se mettre en posture de gestion de crise : il convient donc d’être en mesure d’identifier et de qualifier une crise cyber. Pour cela, Solucom recommande de se doter d’une matrice de qualification des incidents, qui met en évidence les différents éléments accélérant le processus de gestion de crise. Il faut, de plus, adopter un processus spécifique pour la gestion de crise cyber et disposer d’équipes dédiées.

L’organisation de la cellule de gestion de crise est essentielle, et doit aussi tenir compte des interactions externes : par exemple concernant l’obligation de notification ou d’information aux autorités, voire aux clients (OIV, télécoms, ILL, ANSSI…). Il est également important de savoir communiquer en interne avec ses collaborateurs et en externe, de partager les marqueurs d’attaques avec les CERTs, mais aussi dans son secteur. Sans oublier qu’une attaque ne vient souvent jamais seule !

Il faut, de plus, compléter ce dispositif de crise par d’autres éléments, de manière à pouvoir communiquer de manière sereine en cas de problème. Pour cela, l’entreprise doit disposer d’outils et de moyens adaptés, comme par exemple de postes de travail et de moyens de communication de crise sains. Les compétences forensics et les méthodes de réponse techniques sont, en outre, essentielles.

Un plan de défense doit aussi être construit, à partir d’une méthodologie. Une entreprise peut, par exemple, se baser sur le modèle « cyber skill chain », qui permet déjà entre autres d’éradiquer les modes opératoires connus, d’éviter les résurgences…

– Réinventer les dispositifs de continuité et faire évoluer les dispositifs déjà en place, avec les métiers

Il s’agit ici, en premier lieu, d’évaluer la vulnérabilité effective de vos dispositifs de secours face à la menace cyber, et de définir de nouvelles mesures palliatives. Plusieurs mesures doivent également être intégrées dans les stratégies de continuité, comme par exemple : repenser son plan de repli utilisateur, construire un système alternatif utilisable sur une clé USB, disposer de matériels disponibles chez les fournisseurs/constructeurs, disposer de bancs de remasterisation rapide, c’est-à-dire de reconstruction rapide de vos équipements, virtualiser les environnements de travail… Ces différentes mesures ne sont pas simples à mettre en place, mais indispensables.

L’entreprise doit revoir son PCI dans son ensemble, mais aussi repenser les sauvegardes. En effet, il est fondamental de disposer de sauvegardes de recours intègres (golden point), n’ayant pas été altérées par l’attaquant. Ces sauvegardes doivent être fréquentes pour être fidèles aux activités métiers. La mise en place de contrôles fonctionnels d’intégrité multi-niveaux, d’une isolation des systèmes sensibles du reste du SI, ou encore de chaînes applicatives alternatives est également nécessaire.

Enfin, deux cerveaux valent mieux qu’un, concluent-ils. Si vous voulez gagner aux échecs, mieux vaut mieux être deux contre un qu’un contre un. La cyber-résilience s’appuie sur les bases de la cybersécurité : la gestion de crise, la protection des systèmes, un dispositif de continuité d’activité et la détection des attaques. Il faut, en outre, opérer un rapprochement entre les filières traditionnelles (RSSI & RPCA), concevoir une stratégie commune et mutualiser les moyens, sans oublier bien sûr la mise sur pied régulière d’audits et d’exercices de crise.