Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réponse à incident : comment se préparer pour limiter les impacts d’une cyberattaque ?

juin 2023 par Samir Badouh, analyste CERT chez Synetis

De nos jours, les risques liés à une cyberattaque font partie du quotidien des entreprises. Dans ce contexte, il est nécessaire de se concentrer, non pas sur la probabilité d’occurrence, mais plutôt sur l’échéance à laquelle une cyberattaque se produira.

Un incident majeur de cybersécurité constitue une véritable crise pour n’importe quelle entreprise, pouvant engendrer des conséquences économiques et juridiques importantes. Afin de gérer au mieux un incident, la définition d’un plan de réponse est nécessaire. Ce plan, défini en amont, permet d’identifier clairement les actions attendues par les équipes et, ainsi, de limiter des erreurs de manipulation pouvant entraîner des conséquences bloquantes pour la suite. Par exemple, l’effacement d’une machine compromise avant la réalisation d’une copie intégrale limite les investigations forensiques et peut empêcher de déterminer précisément les causes de l’incident, ainsi que les mesures à mettre en place afin d’éviter une nouvelle infection.

Un plan de réponse à incident correctement exécuté peut minimiser l’impact de la cyberattaque, réduire les coûts engendrés, garantir une image de marque maîtrisée et aider à reprendre les activités métier de l’entreprise bien plus rapidement.
La marche à suivre idéale en cas d’incident de sécurité est généralement décomposée en six étapes : Préparation, Identification, Confinement, Éradication, Rétablissement et Retour d’expérience.

Anticipation d’une cyberattaque
La préparation est souvent une phase demandant un effort important dans la planification de la réponse aux incidents, mais elle est nécessaire pour accélérer la réactivité de l’entreprise. Cette phase comprend les étapes suivantes :
• Veiller à ce que les collaborateurs reçoivent une formation adéquate concernant leurs rôles et responsabilités en matière de réponse aux incidents ;
• Définir clairement le processus et la méthodologie de réponse aux incidents ;
• Élaborer et organiser régulièrement des exercices de simulation (des scénarios d’exercices de réponse aux incidents) afin d’évaluer et d’améliorer le plan de réponse aux incidents mis en place.

L’identification d’événements suspects
L’identification (ou la détection) est le processus permettant de déterminer des écarts par rapport aux opérations, et activités normales, pouvant aboutir à la détection d’un incident.
Aujourd’hui, une entreprise doit être en mesure de détecter un incident de sécurité à la fois au sein de son Système d’Information (SI), mais aussi hors de son périmètre. En interne, une attention particulière doit être portée sur deux éléments principaux, à savoir le réseau et les équipements.
Concernant la surveillance du réseau, la mise en place d’un pare-feu, puis l’ajout progressif de sondes et logiciels avancés (comme un XDR) permettront de suivre l’activité réseau des machines et utilisateurs du SI.

En complément, le déploiement d’une solution antivirus de type EDR (solutions comportementales antivirus) permet de surveiller et diminuer le risque d’exécution de fichiers malveillants.
Tandis qu’en externe, il est important de mettre un place une surveillance des données et informations de l’entreprise disponibles en accès libre, et susceptible de provenir de fuites de données ou de vols passés.

Le confinement du périmètre attaqué
Lors de la détection d’un incident de sécurité, il peut sembler normal de vouloir y remédier immédiatement. Toutefois, sans mesures appropriées ni implication des bonnes ressources, le risque de destruction de données d’importance, pour une investigation forensique, est élevé. Les analystes cyber utilisent ces données afin de, non seulement, déterminer le mode opératoire et la chaîne de compromission, mais aussi pour élaborer un plan visant à empêcher des attaques similaires à l’avenir.
Lorsqu’un incident de sécurité est découvert, les premiers réflexes conseillés sont :
• Établir rapidement le périmètre impacté ;
• Confiner le périmètre de manière logique et physique sans l’éteindre ;
• Ne pas effacer ou réinstaller les systèmes compromis avant analyse.

L’éradication des vulnérabilités utilisées
Après avoir maîtrisé l’incident et récupéré les preuves pour l’analyse, il est nécessaire de déterminer les éléments qui ont pu être exploités par l’attaquant. Cela signifie généralement que tous les logiciels malveillants identifiés doivent être supprimés, que les systèmes doivent être renforcés et corrigés, et que des mises à jour doivent être appliquées.
Que ce soit effectué par des équipes de sécurité internes ou via un prestataire externe, il est essentiel d’être rigoureux. S’il reste des traces de logiciels malveillants ou des failles de sécurité connues dans les systèmes, le risque d’une nouvelle compromission est important.
Le retour en conditions opérationnelles et le retour d’expérience
Après une cyberattaque, le retour en conditions opérationnelles est le processus de restauration et de réintégration des systèmes et appareils compromis dans l’environnement.
En effet, une fois la cause de l’attaque identifiée et éradiquée, il est important de s’assurer que tous les systèmes précédemment compromis ont été renforcés, corrigés ou remplacés, et testés avant d’envisager de les réintroduire dans l’environnement de production. Une surveillance accrue de ces systèmes pendant et après la réhabilitation est fortement recommandée.
Finalement, après l’incident et sa résolution, une revue des événements - permettant de lister les axes d’améliorations à travailler - est importante. L’objectif est d’optimiser le processus de réponse à incident de manière continue, pour être toujours prêt à répondre aux menaces actuelles et futures.
Subir un incident de sécurité, sans y être préparé, peut très fortement nuire à une entreprise - allant jusqu’à provoquer des dommages irréversibles. Cependant, grâce à l’établissement d’un plan de réponse à incident approprié, il est possible de réagir efficacement et de reprendre les activités métiers rapidement. Une compréhension fine du mode opératoire des attaquants, ainsi que des vulnérabilités utilisées, est nécessaire afin d’assurer un retour à la normale dans des conditions de sécurité optimales. Anticiper permet, à minima, de réduire l’impact d’une cyberattaque et, dans le pire des cas, d’éviter la fermeture d’une organisation !


Voir les articles précédents

    

Voir les articles suivants