Les cyber attaques ont un coût dévastateur pour les entreprises.
Parfois, l’impact se fait sentir immédiatement ; d’autres fois, il peut s’écouler des années avant que le cours des actions et la confiance des clients se détériorent.
Selon les dernières recherches, il faut en moyenne 69 jours pour qu’une cyber attaque soit neutralisée, une fois détectée. Cet écart entre la détection et la réponse signifie que les entreprises peinent à arrêter les attaques avant que les hackers n’atteignent leur objectif, ce qui s’avère pourtant crucial. Cet objectif peut être le chiffrement du serveur, l’exfiltration de données et le déploiement de ransomware.
Mettre en place des capacités de réponse exige du temps et des investissements. Ce travail de préparation doit impliquer le personnel, les processus et les technologies. Le présent article décrit les principes de base sur lesquels les entreprises peuvent s’appuyer pour se préparer efficacement et neutraliser les cyber attaques lorsqu’elles se présenteront.
Avant l’attaque
Identifiez quels postes de travail et serveurs vous sont absolument indispensables
Avant qu’une intrusion ne survienne, réfléchissez à ce qui, dans votre entreprise, pourrait intéresser les pirates informatiques : il peut s’agir de données confidentielles concernant vos clients ou employés, d’informations relatives à la propriété intellectuelle, de plans de croissance ou encore de renseignements sur d’éventuelles fusions-acquisitions. Identifiez également les postes de travail et serveurs essentiels au bon fonctionnement de votre entreprise. En prenant en compte ces différents aspects, vous parviendrez à cibler vos investissements en cyber sécurité de manière à protéger vos actifs les plus critiques. Il pourra s’agir d’investissements relatifs au monitoring des postes de travail ou à la sauvegarde de vos serveurs stratégiques.
Sécurisez vos postes de travail
La plupart des cyber attaques commencent par un poste de travail infecté. Le déploiement d’un agent de détection pour les postes de travail est donc essentiel. Ce type d’outil procure la visibilité et les données dont vous avez besoin pour déterminer comment le pirate informatique est entré, ce à quoi il a accédé et ce qu’il tente d’accomplir.
Entraînez votre équipe de primo intervenants
Nommez une équipe de « primo intervenants » chargés de réagir lorsqu’un incident est soupçonné. Cette équipe devra :
– connaître les mesures à prendre au moment d’enquêter sur un incident présumé ;
– savoir comment accéder aux données et mesures permettant de confirmer l’incident, afin de s’en remettre, si nécessaire, à la hiérarchie ;
– être capable de gérer l’incident pendant les 48 premières heures ;
– savoir quand faire appel aux équipes de réponse, qu’elles soient recrutées en interne ou externalisées.
Les « primo intervenants » ne doivent pas seulement être recrutés au sein de vos équipes chargées de la sécurité et de l’informatique. D’autres professionnels doivent être impliqués : assistants personnels, ressources humaines, gestionnaires de bureau, analystes, etc.
Veillez à ce que vos primo intervenants disposent de la visibilité dont ils ont besoin sur votre parc informatique. Une carte doit recenser tous vos postes de travail, équipements informatiques et logiciels, ainsi que les fonctions et responsabilités de chacun.
Pendant une cyber attaque
Que faire, une fois l’incident confirmé ?
N’éteignez pas l’appareil infecté
Lorsqu’un piratage est détecté, nombre d’entreprises commettent la même erreur : elles débranchent l’appareil infecté. Couper l’alimentation peut sembler utile point de vue du confinement de l’attaque mais un tel recours complique considérablement le travail des Incident Responders. Si le piratage repose sur une attaque in-memory, le fait de mettre l’hôte hors-tension risque d’éliminer des indices précieux : il deviendra alors extrêmement difficile de déterminer comment le hacker a accédé à l’appareil. Une telle mesure nuira également à la collecte d’informations sur les origines de l’attaque et sur les objectifs du pirate informatique. Informez l’ensemble de vos employés, afin qu’ils ne commettent pas cette erreur.
Identifiez les différents responsables à contacter/consulter en cas d’incident.
Il s’agit d’un point absolument crucial. En cas d’incident réel, les Incident Responders peuvent perdre un temps considérable à déterminer qui est propriétaire des systèmes, qui est chargé d’approuver les budgets ou encore à qui ils doivent rendre des comptes.
En cas d’attaque, il est souvent nécessaire de prendre des mesures défensives radicales, comme le démantèlement de composants-clés de l’infrastructure : ces décisions doivent être prises et validées le plus rapidement possible. Il est donc essentiel de savoir à qui s’en remettre.
Chasser immédiatement le pirate informatique n’est pas toujours la bonne solution
Bien qu’il soit compréhensible que vous souhaitiez expulser le hacker le plus rapidement possible, réfléchissez-y à deux fois, notamment en cas de cyber attaque sophistiquée : voyant qu’il a été détecté, le pirate informatique pourrait décider de déployer un ransomware… ou bien, à l’inverse, de déserter pour mieux revenir, en utilisant une méthode d’attaque plus furtive. Si vous menez une réponse mesurée et coordonnée, vous pourrez mieux protéger vos ressources, en ne laissant aucun recours à votre cyber adversaire.
Après une cyber attaque
Respirez
Les intrusions informatiques sont stressantes, et potentiellement dommageables. Elles peuvent toutefois s’avérer utiles : elles incitent les entreprises à renforcer leur sécurité, à mobiliser des ressources supplémentaires et à repenser chaque composante de l’entreprise au prisme de la cyber sécurité. Après une attaque, vous devez :
Suivre les recommandations
Nous fournissons des recommandations post-incident permettant de minimiser l’impact d’attaques futures. Par exemple, nos recherches relatives à la sécurisation d’Active Directory via l’architecture Red Forest peuvent réduire considérablement les dégâts que peut causer un hacker après avoir piraté un réseau. Le suivi post-attaque nécessite du temps et de l’argent mais il permet souvent d’apporter des améliorations à la cyber protection de l’entreprise ciblée. Il arrive malheureusement que certaines entreprises ne donnent pas suite à nos recommandations : elles reviennent, dans ce cas, au même profil de risque qu’avant l’attaque.
Procéder à des évaluations et à des améliorations continues
La cyber sécurité fonctionne selon une logique cyclique. Tirez les leçons de chaque cyber incident et suivez les recommandations post-attaques pour renforcer votre protection. Certaines contraintes (temps, budget) peuvent rendre difficile le suivi de chaque recommandation… mais une préparation de 10% sera toujours préférable à une absence totale de préparation. Ce travail ne se résume pas seulement à des investissements financiers : il renvoie également à des améliorations internes de vos processus et procédures.
Catégories