Mais, tout d’abord, quelques rappels sur les cybermenaces passées et présentes.
Quiconque possède quoi que ce soit est une cible potentielle de vol
Le mois dernier, j’ai discuté avec un responsable de PME. Il doutait que sa société puisse un jour être victime d’une cyberattaque. Selon lui, son entreprise de haute technologie implantée dans la baie de San Francisco ne possédait rien qui vaille la peine d’être volé. Il jugeait par conséquent plus judicieux d’investir dans les ventes et le marketing.

C’est un tort. Quiconque possède quoi que ce soit est une cible potentielle de vol ou, dans le cas d’une infrastructure critique, de préjudices.

Aujourd’hui, la multitude de données en ligne constitue une nouvelle manne d’informations très convoitée. Le vol ne se limite plus aux numéros de cartes bancaires. Les données à caractère personnel se vendent nettement plus cher que les numéros de cartes bancaires sur le marché noir. Il est facile d’imaginer ce qui fait des données d’entreprise confidentielles une cible privilégiée des organisations prêtes à tout, y compris à voler, pour supplanter leurs concurrents.
Toutes les avancées technologiques qui simplifient nos vies personnelle et professionnelle profitent également aux cybercriminels. Le VPN conçu pour le travail à distance leur fournit un moyen d’accès. Les smartphones, qui nous permettent d’être plus productifs en tout lieu, leur servent à voler des mots de passe. Et ils utilisent les médias sociaux, via lesquels nous partageons du contenu avec nos amis, comme tremplin pour lancer leurs attaques d’hameçonnage.

Cybercriminel, profession en vogue

Il existe différentes catégories de personnes malveillantes, depuis les cybercriminels motivés par le gain, les pirates sponsorisés par des États-nations et les activistes agissant au nom d’une idéologie (« hacktivistes ») jusqu’aux ex-employés nourrissant de la rancœur envers leur ancienne entreprise.
L’idée que l’on se fait du cybercriminel ne correspond pas toujours à la réalité. On imagine généralement un homme vêtu d’un sweat à capuche, qui pianote sur un clavier d’ordinateur dans une pièce sombre. Rien n’est plus éloigné de la réalité d’aujourd’hui.

Les cybercriminels actuels sont des professionnels organisés bénéficiant de moyens financiers. Il est plus probable qu’ils portent un costume pour travailler. Oui, j’ai bien dit « travailler ». Car le cybercrime est leur profession.

Objectifs du directeur de la sécurité informatique : Prévenir | Détecter | Analyser | Résoudre

Mais pourquoi écrire un article sur la réponse aux incidents ? Planifier la réponse aux cyberattaques ne revient-il pas à admettre son échec ?
Non.

Dans le monde d’aujourd’hui, les pirates utilisent une grande diversité d’outils et de techniques pour parvenir à leurs fins. Lorsqu’ils rencontrent un obstacle, ils n’abandonnent pas. Ils tentent juste de trouver un autre moyen. Puis un autre. Et encore un autre.

Rafal Los, membre de l’équipe Office of the CISO d’Accuvant, décrit en ces termes les pirates actuels : « Ils convoitent l’un de vos biens et mettent tout en œuvre pour s’en emparer ».

Aujourd’hui, le rôle du directeur de la sécurité informatique ne s’arrête pas à la prévention. Certaines intrusions déjoueront fatalement vos défenses. La question n’est plus de savoir si, mais quand vous serez piraté. C’est la nouvelle réalité à laquelle sont confrontées les entreprises. En prendre conscience constitue une étape importante pour être prêt à réagir.

De l’efficacité de votre réponse à un incident dépend la vitesse à laquelle vous pourrez neutraliser l’attaque, fermer les points d’entrée de l’attaquant et identifier les données qui ont été dérobées.

La façon dont vous gérez les communications avec vos clients, partenaires et employés en cas de cyberattaque a par ailleurs une incidence sur votre marque et votre réputation.

Planifier la réponse aux incidents avant de subir une intrusion est une simple question de bon sens.

Venons-en à présent aux sept questions sur la réponse aux incidents auxquelles tout directeur de la sécurité informatique doit être capable de répondre.

1. Comment pirateriez-vous une entreprise ?
L’université de Stanford a récemment accueilli le sommet de la Maison-Blanche sur la cybersécurité et la protection du consommateur. Étaient présents des chefs d’entreprises de haute technologie, du gouvernement et des forces de l’ordre, des défenseurs de la vie privée et des droits des consommateurs, des professeurs de droit, ainsi que des étudiants. Lors des discussions sur l’application du droit international, Kevin Mandia, fondateur de Mandiant et président de la société de cybersécurité FireEye, a été interrogé sur les questions à poser à un directeur de la sécurité informatique pour évaluer ses compétences. Selon Kevin Mandia, la première question qu’un chef d’entreprise doit poser à son directeur de la sécurité informatique est : « Comment pirateriez-vous une entreprise ? ».
A priori, la question comment pirateriez-vous une entreprise semble peu en rapport avec la réponse aux incidents.
Rien n’est pourtant moins sûr. Car la réponse du directeur de la sécurité informatique indiquera s’il a déjà tenté de se mettre à la place de l’attaquant. Elle déterminera s’il pense qu’un pirate peut violer la sécurité de son entreprise. Il s’agit d’une première étape cruciale pour prendre conscience de la nécessité d’un plan de réponse aux incidents.

2. Seriez-vous capable de détecter une intrusion ?
La deuxième question peut aider un PDG ou un membre du conseil d’administration à déterminer si un directeur de la sécurité informatique réalise la nécessité d’investir dans la détection et la prévention.
Le récent rapport sur les menaces M-Trends de Mandiant indique qu’en 2014, 69 % des entreprises ont appris par une entité extérieure, telle que les forces de l’ordre, qu’elles avaient été victimes d’une intrusion. La détection, c’est-à-dire la détection précoce par l’entreprise elle-même, est un domaine qui mérite clairement d’être amélioré.

3. Quand avez-vous testé votre plan de réponse aux incidents pour la dernière fois ?
Après avoir admis l’inéluctabilité des intrusions, la prochaine étape consiste à réfléchir à la façon de s’y préparer.
Vous avez bien entendu besoin d’un plan. Un plan de réponse aux incidents.
Une fois le plan défini, comment savoir s’il est complet ? S’il tient compte de toutes les éventualités ?
De plus en plus d’entreprises s’adonnent à des simulations de cyberattaques pour identifier les lacunes dans leurs plans de réponse aux incidents et ainsi voir ce qui fonctionne bien, à peu près, pas du tout ou a été occulté du plan.
Alors, quand avez-vous testé votre plan de réponse aux incidents pour la dernière fois ?
Vous ne souhaitez certainement pas attendre d’être attaqué pour le tester.
Les rapports les plus récents indiquent que de nombreuses cyberintrusions sont présentes sur le réseau de la victime plusieurs semaines ou mois avant d’être détectées. Selon le rapport sur les menaces M-Trends 2015 de Mandiant, le délai moyen entre le premier signe de compromission et la détection est de 205 jours. Et d’après l’édition 2014 du rapport d’enquête de Verizon sur les compromissions de données, plusieurs mois s’écoulent entre l’intrusion et la découverte dans 41 % des attaques ciblant les applications Web et dans 62 % des incidents de cyberespionage.
Cela signifie que les attaques qui franchissent vos défenses ont souvent eu plus de temps pour causer davantage de préjudices, ce qui complique l’enquête. Et chaque jour de cyberenquête coûte cher.
D’où l’importance des simulations de cyberattaques pour identifier et combler les lacunes de votre plan de réponse aux incidents en prévision d’une attaque.

4. Votre plan de réponse aux incidents comprend-il une investigation réseau ?
Lorsque vous évaluez le plan de réponse aux incidents de votre entreprise, vous pouvez également vous demander si vous collectez les données télémétriques nécessaires aux investigations. Les données du trafic réseau sont les plus utiles pour comprendre ce qui s’est passé. Elles indiquent quels systèmes ont communiqué, quand et quelles données ils ont échangées.
L’investigation réseau, parfois appelée « capture de paquets », consiste à capturer, stocker et analyser les données du trafic réseau. Chaque plan de réponse aux incidents doit inclure une stratégie d’investigation réseau de sorte que vous disposiez des données requises pour mener l’enquête. Vous pouvez ainsi « remonter dans le temps » pour comprendre ce qui s’est passé.
À défaut de données vous permettant d’identifier le trafic entrant et sortant qui a transité sur votre réseau et via quelles adresses IP, vous aurez du mal à savoir comment l’attaquant a pu s’infiltrer et se maintenir en place, et à identifier les données dérobées.
Sans données sur lesquelles vous appuyer pour mener l’enquête, vous risquez de ne jamais obtenir de réponses à vos questions.

5. Pouvez-vous analyser rapidement les données du trafic réseau ?
À supposer que vous ayez collecté et stocké les données du trafic réseau, les questions suivantes sont : pouvez-vous les analyser rapidement ? Combien de temps faut-il pour exécuter une requête ? Quelle est la durée des requêtes exécutées en même temps que la capture continue du trafic réseau ?
Certaines solutions d’investigation réseau peinent à capturer le trafic et à répondre simultanément aux requêtes. Elles perdent des paquets. Pire encore, certaines perdent des paquets sans le signaler. La perte de paquets signifie que vous risquez de ne pas disposer des données dont vous avez besoin pour mener l’enquête.
Raison de plus pour procéder à des simulations de cyberattaques. C’est un excellent moyen de mesurer la durée d’exécution des requêtes et de déterminer si votre solution d’investigation réseau actuelle répond à vos besoins.

6. Jusqu’où pouvez-vous remonter dans le temps pour conduire vos investigations ?
Bien entendu, les données du trafic réseau ne sont utiles que si elles sont disponibles au moment où vous menez votre enquête. Autrement dit, si vous les avez capturées avant l’attaque. Et à condition que vous ne vous en soyez pas débarrassé.
Comme expliqué précédemment, nombre d’attaques qui franchissent les défenses de l’entreprise sont présentes sur le réseau plusieurs semaines ou mois avant d’être détectées. La banque américaine JPMorgan Chase a avoué qu’il lui avait fallu deux mois pour s’apercevoir que des pirates s’étaient introduits dans ses systèmes.
Combien de jours de trafic réseau capturez ou stockez-vous en prévision d’analyses criminalistiques ultérieures ?

7. Jusqu’où devez-vous remonter dans le temps pour conduire vos investigations ?
Les équipes chargées de la sécurité cherchent à conserver un plus grand volume de données de trafic réseau.
Ceci est probablement dû à une prise de conscience croissante du délai qui sépare l’intrusion et sa détection. Les entreprises veulent pouvoir remonter beaucoup plus loin dans le temps afin de comprendre ce qui s’est passé.
S’il vous faut deux mois pour réaliser que vous avez fait l’objet d’une intrusion, disposerez-vous des données nécessaires pour mener l’enquête ?
Vos réponses aux questions sur la réponse aux incidents sont-elles concluantes ?
Les directeurs de la sécurité informatique jouent un rôle majeur, et le paysage actuel des cybermenaces rend leur mission d’autant plus difficile. Je n’ai pas la prétention de leur dire comment faire leur travail. Ce sont eux les experts en sécurité. Mais il me semble important de souligner la nécessité d’un plan efficace de réponse aux incidents. Ainsi, lorsque (et non pas si) votre entreprise est victime d’une intrusion, elle est parfaitement préparée à enquêter et à neutraliser l’attaque.