Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Que faire en cas de cyberattaque ? Cinq conseils à suivre pour être prêt en cas de crise.

décembre 2022 par Quentin Mallet, consultant Sécurité Opérationnelle chez Synetis

Lorsqu’une entreprise subit une attaque informatique et qu’elle n’est pas préparée, la gestion d’une crise sera à coup sûr difficile, et ralentira tant la réponse à incident que le projet de reconstruction du Système d’Information (SI) victime. Découvrez cinq conseils à suivre pour être prêt en cas de crise.

Sanctuariser ses sauvegardes

Le butin rêvé d’un attaquant est la sauvegarde. Pourquoi ? Car si l’attaquant exfiltre vos données, les chiffre et, en plus, parvient à supprimer les sauvegardes, l’entreprise n’a plus d’autre choix que de payer la rançon ou de reconstruire son SI de zéro.
Pour se protéger à 100 % contre ce risque, la seule solution est de mettre en place des sauvegardes déconnectées hebdomadaires sur des disques durs externes ou des cartouches « Linear Tape Open » (LTO). Ces cartouches, ou bandes, offrent une capacité de sauvegarde et une fiabilité sans égale. Et, finalement, peu importe le périphérique de sauvegarde choisi, il est conseillé de le stocker dans un coffre avec un accès restreint.
Enfin, le serveur de sauvegarde doit être en groupe de travail (« WORKGROUP », c’est-à-dire sans aucune dépendance avec le domaine Active Directory (AD) de production) et placé sur un serveur physique dédié (pas de dépendance avec l’environnement de virtualisation). Cela supprimera la possibilité, pour l’attaquant, de compromettre l’annuaire AD ou l’environnement de virtualisation et de devenir, ainsi, administrateur du serveur de sauvegarde.

Connaître les étapes essentielles de la remédiation

Pour commencer, lors d’une réponse à incident, il est important de déterminer : l’origine de l’attaque (le patient 0), la séquence d’attaque et les indicateurs de compromission (la signature des exécutables malveillants). Cela permettra, par exemple, d’identifier les portes dérobées laissées par l’attaquant. Cette analyse poussée doit être menée par une équipe CERT.
Ensuite, connaître les différentes stratégies de reconstruction de SI est fondamental. Est-ce qu’une bascule entre zone grise et zone verte permettrait une reconstruction optimale  ? Ou plutôt une zone grise/zone intermédiaire  ? Il n’y a pas de bonne réponse, tout dépend de la situation. L’important est donc de connaître les différents scénarios - pour agir efficacement le moment venu.

Connaître son environnement pour mieux reconstruire son SI

Les équipes chargées de la remédiation ont la possibilité d’effectuer une restauration du SI dans les meilleurs délais si, et seulement si, elles ont une bonne connaissance de l’environnement informatique touché par l’attaque.
Combien de domaines sont concernés ? Comment les certificats sont-ils émis ? Comment est gérée la messagerie de votre entreprise  ? S’agit-il d’un domaine hybride ? Tant de questions sont à prendre en compte… Tous ces points doivent être maîtrisés afin de favoriser une reprise d’activité rapide et sans couture.
Ce travail de documentation est d’autant plus nécessaire si vous disposez d’un SI complexe (plusieurs sites, plusieurs domaines AD, plusieurs messageries d’entreprise, etc.).

Disposer d’une documentation testée et validée

Comme dit plus haut, pour offrir les pleines capacités à son entreprise de répondre à une crise efficacement, il est nécessaire de documenter l’ensemble des procédures réalisées - de l’installation, en passant par la migration et l’architecture du réseau, aux documentations de gestion.
En effet, pour accompagner ces documents techniques, des documents de gestion doivent être produits. Dresser un Plan de Reprise Informatique (PRI) ou un Plan de Reprise d’Activité (PRA) aide les équipes informatiques à effectuer la remédiation.
De plus, avoir de la documentation technique sous forme de Low-Level Design (LLD) et High-Level Design (HLD) est un atout majeur lorsqu’il s’agit de reconstruire des environnements ciblés par les acteurs malveillants. Et rien ne doit être oublié - tant la sauvegarde, la virtualisation, le réseau, que le pare-feu.
La création de documents techniques, et de gestion, est la première étape d’une bonne préparation - mais ce n’est pas encore suffisant. Tester ceux-ci est fortement conseillé  ! Et tout particulièrement le PRI/PRA pensé. Valider son bon fonctionnement, ainsi que de le mettre régulièrement à jour pour qu’il suive les changements du SI, est un must-have. Une application de la procédure tous les six mois est recommandée. Cela vous permettra de confirmer son efficacité, de connaître mieux votre SI, d’évaluer votre niveau de sécurité et, surtout, de vous entraîner à dérouler ce plan d’action.

Connaître les acteurs de confiance

En suivant ces cinq points, vous êtes prêts à réagir en cas de compromission  ! Cependant, il faut rester pragmatique et ne pas hésiter à solliciter des acteurs de cybersécurité spécialisés dans la réponse à incident et la reconstruction de SI. Les attaques peuvent faire de gros dégâts et la reconstruction d’un SI est un travail chronophage qui nécessite plusieurs experts, aux compétences variées. L’ANSSI, ou votre assureur, saura vous rediriger vers les bons interlocuteurs.
Aujourd’hui, toutes les entreprises et organisations sont susceptibles d’être victime d’une cyberattaque. La vraie question n’est plus qui, mais quand et comment  ? Être en conformité, d’un point de vue cybersécurité, est primordial pour éviter de devenir une cible trop évidente pour les hackers. Malgré tous les efforts défensifs mis en place, il est vrai que personne n’est à l’abri d’une faille « Zero Day »…

Ces cinq préconisations vous préparent au pire  ! Les mettre en place vous permettra d’amortir les pertes, grâce à une reprise plus rapide.


Voir les articles précédents

    

Voir les articles suivants