Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

N’attendez pas d’être frappé pour structurer votre stratégie de cyber-résilience !

octobre 2019 par Emmanuelle Lamandé

La France a connu une vague d’attaques cyber sans précédent en 2019, démontrant à la fois les faiblesses des systèmes en place, mais aussi l’importance de la cyber-résilience. Les entreprises les plus matures sur ces sujets à l’heure actuelle sont souvent celles ayant déjà été victimes. Mais doit-on attendre d’être frappé pour commencer à apprendre à se défendre ? Bien évidemment, non ! A l’occasion des Assises de la Sécurité, Matthieu Garin, Senior Manager, et Gérôme Billois, Partner, WAVESTONE, nous expliquent comment initier et structurer une démarche efficace de cyber-résilience.

Sur la base des différentes attaques gérées par le CERT-W entre septembre 2018 et août 2019, Wavestone a analysé les 40 incidents de sécurité majeurs ayant mené à l’interruption d’activités métiers ou à une compromission avancée du SI. Matthieu Garin et Gérôme Billois nous livrent les principaux résultats de ce benchmark dédié aux incidents en matière de cybersécurité, mais aussi les clés pour une meilleure anticipation et gestion des risques. Pour eux, initier et structurer une démarche de cyber-résilience s’apparente en de nombreux points à un véritable combat de boxe !

Connaître son ennemi et savoir à qui on a affaire

En matière de cyber-résilience, les objectifs sont multiples : maintenir l’activité et le chiffre d’affaires de l’entreprise, éviter d’être une cible d’attaques et assurer la remédiation en cas d’incident. Toutefois, pour lutter contre son ennemi, quel qu’il soit, faut-il déjà le connaître et savoir à qui on a affaire. Parmi les cas observés par Wavestone, plus de 50% des attaquants ne disposent pas de compétences techniques avancées. La majorité d’entre eux sont opportunistes (65%), ils ne relèvent pas d’un haut niveau de technicité ou ne visent pas une organisation en particulier. Ils cherchent et abusent des systèmes peu protégés et facilement attaquables. Ces attaques pourraient donc être évitées si les mesures de sécurité basiques étaient mises en place. 30% des attaques gérées ciblent spécifiquement une organisation. Elles visent des informations sensibles et précises au sein de l’organisation. Les attaquants sont mandatés avec un objectif clair et mettent ainsi tous les moyens à disposition pour arriver à leurs fins. Enfin, 5% des attaques sont considérées comme « diffuses » : celles-ci correspondent aux habituelles infections virales ou encore au spam. Elles ne visent pas une organisation particulière et ont un effet limité sur le SI (de type déni de service, perte de données utilisateurs, etc.).

21% des attaques seraient l’objet de groupes mafieux, bénéficiant d’une organisation bien rodée et développant leurs propres outils ; 26% de cybercriminels achetant, de manière isolée, des services de piratage sur étagère ; 26% de groupes de pirates ; 17% de Script Kiddies et 8% de collaborateurs internes. Quant aux motivations des attaquants, l’appât du gain financier reste largement en tête, avec 43% ; suivi par le vol de données (34%), mais avec souvent aussi leur revente comme objectif final. L’intérêt financier n’est donc jamais très loin…

Pour pénétrer les SI de leurs cibles, les attaquants restent assez classiques et utilisent régulièrement les mêmes portes d’entrée. Dans 1/3 des cas, l’attaquant a exploité une application Web vulnérable. Dans 1 cas sur 10, l’attaquant s’est infiltré dans le Système d’Information en exploitant un service RDP exposé sur Internet. Enfin, pour 1 cas sur 10, l’attaquant s’est infiltré dans le SI en recourant au spear-phishing.

En cas de crise avérée, au moins 6 semaines sont nécessaires pour une reconstruction saine. Le temps nécessaire pour revenir à une situation technique normale dépend de la taille de l’entreprise, de son niveau de maturité en matière de cyber-résilience, mais également et fortement du type d’attaque auquel elle est confrontée. En moyenne, Wavestone estime à :
- 1 semaine la durée de retour à la normale pour un ransomware dit « simple » ;
- 3,5 semaines la durée de retour à une situation correcte pour une attaque ou un ransomware ayant détruit une partie importante du SI ;
- 6 semaines pour une reconstruction saine du SI. Cela induit la reconstruction du cœur de confiance du Système d’Information pour bascule vers un nouvel environnement sain, mais également le nettoyage et la réimportation des données métiers créées pendant la crise. Ces semaines de reconstruction ont, dans la plupart des cas, un impact fort sur l’activité de l’entreprise.

Apprendre à travailler en mode dégradé et « No IT »

Face à ce constat, et au risque d’être un jour ou l’autre victime d’un incident de sécurité, il faut donc dès à présent s’y préparer, si ce n’est déjà fait. Il est nécessaire de renforcer l’agilité de sa structure, et ce peu importe le type d’incident auquel elle devra faire face. L’objectif est justement d’être en mesure de pallier à toute situation, et d’arriver à maintenir son activité, même si ses systèmes sont hors d’usage. Bien évidemment, pour y parvenir, cela nécessite tout un travail de préparation en amont et la définition de différents types de scénarios.

Il est essentiel d’apprendre à travailler sur la base de scénarios « No IT » et de se préparer à faire face à des situations de crise où plus rien ne fonctionne ou presque. Un ransomware, par exemple, peut très bien paralyser l’activité d’une entreprise pendant une, voire plusieurs semaines. Il est important de mettre en situation tous les différents types de cas de figure : scénario où 80% du SI Cœur sera indisponible pendant 3 semaines ; scénario où plus rien ne fonctionnera du tout… Quelle que soit la situation, il est primordial que les équipes sécurité et IT travaillent de concert avec les métiers, afin de définir les chaînes métiers les plus critiques, et savoir ce qu’il faudra sauver en premier. Cette collaboration est essentielle, d’autant que les métiers ne manquent souvent pas d’idées pour faire face à telle ou telle situation.

Un dispositif de gestion de crise doit, de plus, être mis sur pied, et régulièrement mis à jour : équipe de gestion de crise, matériel IT et moyens de communications dédiés… Un certain nombre de systèmes D doivent également être pensés en amont, afin de déterminer ce qui sera acceptable ou non dans telle ou telle situation : autoriser les collaborateurs à utiliser le Cloud ou leurs outils personnels (téléphones, ordinateurs, tablettes, messageries…), les autoriser à travailler de chez eux ou chez des tiers (clients, partenaires…), etc. D’autres questions doivent se poser, comme par exemple : comment arrêter proprement ses activités ? Y a-t-il certaines données qui pourront être récupérées chez des tiers ? La cellule de crise peut-elle être opérationnelle en 24/7 ? L’entreprise peut-elle accepter de travailler dans un environnement infecté ? Etc.

La question « Qui a fait ça ? » est également importante, mais n’est pas forcément la première à se poser. La priorité est de savoir comment faire face à l’incident et de quelle manière reprendre l’activité au plus vite. Une seconde cellule de crise cyber pourra être mobilisée sur cet aspect, en vue d’investiguer, de construire un plan de défense, de l’activer et de le monitorer, et surtout de s’assurer que l’attaquant ne pourra pas revenir. Il faut aussi s’imaginer le pire et déterminer quelles pourraient être les suites de l’attaque. La cellule « anticipation » doit réfléchir à toutes ces problématiques.

De plus, il est essentiel d’ajuster son plan d’actions à son ennemi. Afin d’accompagner les entreprises dans cette démarche, Wavestone a modélisé les techniques d’attaques de certains groupes d’attaquants (FIN6, Cobalt Group…) sur un Framework MITRE. Pour se propager, les attaquants vont souvent utiliser des manquements de sécurité basiques (problèmes de mises à jour…), d’où l’importance d’appliquer les fondamentaux de sécurité.
Connaître son adversaire permet aussi d’être beaucoup plus affûté en matière de détection des attaques. Il est également essentiel de s’entraîner le plus régulièrement possible (Cyber Range, exercices Red Team/Blue Team, organisation de CTF en interne…).

Restaurer ou reconstruire : telle est la question…

Autre question qui se pose : est-ce que je reconstruis mon infrastructure ou est-ce que je la restaure ? En effet, parfois restaurer un système ne sert à rien, car cela ne résout pas le cœur du problème et l’incident a de fortes chances de survenir à nouveau (par exemple si l’attaquant est toujours présent). Autre alternative que certaines entreprises privilégient dans certains cas : réparer le plus vite possible, et reconstruire ultérieurement.

Bon nombre d’entreprises comptent sur leurs sauvegardes pour assurer une remédiation rapide de leurs systèmes, mais encore faut-il qu’elles soient viables… En effet, les sauvegardes représentent un écueil récurrent en matière de gestion de crise. Récupérer ses données, même si elles ont été sauvegardées, n’est pas toujours aussi simple que cela, par exemple si le serveur de sauvegarde a été chiffré (celui-ci n’est jamais sauvegardé…). La question de l’intégrité des sauvegardes peut également se poser si l’attaquant était présent dans le système depuis longtemps. Ces aspects doivent donc faire l’objet d’une vigilance toute particulière, à la fois en amont, mais aussi pendant le processus de gestion de crise.

Dans la plupart des cas, les équipes vont plutôt reconstruire l’infrastructure et restaurer les applications, expliquent-ils. Elles vont, de plus, s’appuyer sur les métiers pour remédier de façon fonctionnelle et opérationnelle. En outre, la résilience doit faire partie intégrante de l’architecture et de la stratégie de l’entreprise

En conclusion, voici le TOP 5 des actions qui vous permettront, selon Matthieu Garin et Gérôme Billois, de vous préparer à faire face à une attaque :
- Protéger les actifs les plus critiques en adoptant les bonnes pratiques de sécurité (correctifs, gestion des droits…) ;
- Renforcer la détection des attaques avec un service spécialisé (surveillance 24/7…) ;
- Savoir gérer une crise majeure (équipe 24/7, moyens de communication spécifiques…) et reconstruire en urgence (procédures, matériel dédié…) ;
- S’entraîner régulièrement au travers d’exercices de gestion de crise : répéter les efforts dans différents cas de figure pour favoriser le développement de réflexes ;
- Souscrire une cyber-assurance et un contrat auprès d’une équipe spécialisée (s’entourer d’experts pouvant accélérer la résolution de l’incident).

Enfin, comme dans un combat de boxe, pour être cyber-résilient, il faut bien connaître son ennemi, être bien préparé, éviter d’être touché, savoir encaisser les coups, mais aussi en donner, et surtout faire preuve d’une grande agilité !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants