Répondre plus rapidement aux attaques : la clé pour réduire l’impact d’une cyber attaque
La détection des attaques a réalisé des progrès considérables au cours des dernières années. Et cette évolution se poursuit.
Cependant, il existe encore un écart important entre le moment où une attaque est détectée et celui où des mesures appropriées de réponse sont prises pour la contenir et la neutraliser.
Selon l’Institut Ponemon, il faut en moyenne 69 jours après la détection pour répondre à une attaque (la détection seule prend en moyenne 100 jours à partir du piratage initial). Le coût médian d’une réponse à une intrusion informatique s’élève à plus de 18 000€ par jour, sans compter les coûts associés aux conséquences de l’attaque : temps d’arrêt du système, récupération des données perdues ou piratées, restauration des fonctions critiques, paiement des amendes réglementaires, gestion des relations publiques, réponses aux inquiétudes des clients, etc.
Plus vite une atteinte à la protection des données est contenue, plus le coût et l’impact de l’attaque peuvent être maîtrisés.
Plusieurs raisons complexes expliquent le délai de réponse. La structure de l’organisation est souvent en cause. Il peut s’agir de la répartition des responsabilités, du montant des investissements consacrés à la réponse ou encore des ressources allouées aux professionnels de sécurité. Ces différentes raisons peuvent être catégorisées de la manière suivante :
Raison 1 : Les attaques sont détectées mais ne font pas l’objet d’une intervention appropriée.
La détection des attaques repose sur de nombreux outils. Dans certains cas, un antivirus alertera sur la présence d’un malware connu. Dans d’autres cas, un Threat hunters (chasseur de menaces) débusquera une activité malveillante cachée derrière une fonction Windows légitime.
Une fois les attaques détectées, un problème se pose : de nombreuses entreprises ne disposent d’aucune procédure prévoyant leur signalement, leur traitement et les éventuels recours à la hiérarchie. L’un de nos clients a récemment été victime d’une intrusion informatique dévastatrice qui a entraîné la paralysie de l’ensemble de son serveur. Son antivirus avait signalé des alertes, mais aucune ressource n’avait été mobilisée pour les traiter.
Raison 2 : Les attaques sont détectées mais l’organisation ne dispose pas de la technologie permettant d’y répondre.
Parfois, les attaques sont détectées alors qu’elles sont en cours mais, le plus souvent, elles ne sont découvertes qu’au moment où l’entreprise en subit déjà les conséquences. Toute réponse sera alors difficile à mettre en œuvre si l’entreprise visée n’a pas déjà mis en place les technologies requises. Il est notamment essentiel de disposer d’un agent de détection pour les postes de travail. Celui-ci doit couvrir autant d’actifs que possible. Il doit permettre de récolter de nombreuses informations forensiques et de multiples logs. L’agent doit être configuré de manière à conserver les données et logs, sans quoi ces preuves s’estomperont avec le temps. La bonne configuration de l’agent peut s’avérer d’un intérêt significatif pour les intrusions informatiques passées. Il faut également tenir compte du contexte, en évolution permanente : les environnements informatiques changent, les entreprises fusionnent ou sont rachetées… Ce mouvement constant peut engendrer des problèmes de visibilité sur l’infrastructure si la réponse n’intervient que plusieurs mois, voire plusieurs années après l’attaque.
Raison 3 : Des attaques sont détectées mais la pénurie de cyber spécialistes ne permet pas à l’entreprise de réagir efficacement
La détection et la réponse aux attaques exigent un haut niveau de compétences en cyber sécurité, lesquelles doivent être sans cesse actualisées. La moitié des entreprises expliquent faire face à un manque de compétences, qui peut concerner le personnel chargé de corriger les vulnérabilités, les équipes chargées de la maintenance du système, les chargés d’intervention en cas d’incident ou encore les « primo intervenants ». Ces primo intervenants, chargés de la réponse initiale, ont un rôle-clé dans l’élaboration de la réponse. Il leur appartient notamment de veiller à ce que des professionnels soient capables de gérer ce type de problématiques au sein du département informatique mais aussi au-delà, dans l’entreprise dans son ensemble.
Raison 4 : Les attaques ne sont pas du tout détectées
La plupart des organisations – qu’il s’agisse de PME ou d’entreprises de plus grande envergure – ne sont pas en mesure d’allouer les ressources nécessaires à leur personnel de sécurité. Résultat : les attaques ne sont tout simplement pas détectées. Dans certains cas, les entreprises sont informées du piratage lorsque les forces de l’ordre frappent à leur porte… ce qui se produit généralement des mois, voire des années après que les hackers aient atteint leur objectif.
Pourquoi le délai de réponse est-il problématique ?
Un certain nombre de raisons expliquent pourquoi l’écart entre la détection et la réponse doit être réduit, au vu des cyber menaces actuelles.
Les éléments de preuve – et les informations qui peuvent en être tirées – s’estompent avec le temps.
Plus une organisation met de temps à réagir, moins elle peut recueillir d’informations cruciales sur l’attaque dont elle est victime. Il lui devient plus difficile de savoir comment les pirates informatiques se sont introduits sur son réseau, d’identifier les actifs qu’ils ont ciblés ou encore de déterminer s’ils sont parvenus à leurs fins. Or, ces informations sont essentielles pour toute entreprise cherchant à minimiser l’impact d’une attaque d’envergure. Les indices forensiques et les preuves logarithmiques se délitent avec le temps, souvent parce que les politiques de conservation des données logarithmiques ne correspondent pas au profil de menaces de l’entreprise. Des technologies sont mises à jour, des employés vont et viennent, les entreprises sont revendues… Ces mouvements contribuent à effacer les preuves ou à les rendre obsolètes.
L’impact d’une attaque augmente avec le temps
Plus longtemps un hacker reste implanté au sein de votre environnement informatique, plus il acquiert de connaissances sur votre entreprise et mieux il peut identifier vos actifs de valeur. De nombreux pirates informatiques – en particulier les groupes parrainés par des États-nations – mènent des opérations s’échelonnant sur plusieurs années. Ils obtiennent ainsi un accès complet aux pratiques commerciales et aux plans stratégiques à long terme de l’entreprise visée.
Que peuvent faire les entreprises pour réduire le délai de réponse ?
Pour de nombreuses entreprises, la réduction de ce délai implique une refonte complète de leur stratégie de cyber sécurité. Toutefois, il existe certaines approches, fondées sur le bon sens, pouvant permettre de mieux réagir en cas d’attaque.
– La réponse doit obéir à une logique descendante (top down)
Une enquête menée par MWR InfoSecurity a révélé que seuls 12% des entreprises donnaient la priorité aux dépenses de réponse au moment de considérer les quatre volets de la cyber sécurité (prévision, prévention, détection et réponse), plutôt que d’accorder une importance égale à chacun de ces volets.
Les décisions relatives à ces investissements appartiennent à la hiérarchie : il revient au conseil d’administration et à la direction d’établir la liste des priorités et de communiquer efficacement le programme de sécurité de l’entreprise à l’ensemble des collaborateurs.
Cependant, l’expérience nous a montré que les instances dirigeantes ne parviennent pas toujours à une compréhension précise de ces enjeux si elles ne disposent pas des éclairages nécessaires. Une analyse de rentabilisation peut s’avérer utile, mais n’hésitez pas à faire appel à une société tierce expérimentée pour aider votre direction à mieux cibler les priorités d’investissement.
– Misez sur les outils déjà à votre disposition
Une réponse efficace repose en partie sur votre capacité à exploiter les indices en utilisant les outils adéquats. Nombre de ces outils sont probablement déjà présents au sein de votre infrastructure : par exemple, si un agent est déjà installé sur vos postes de travail, assurez-vous qu’il soit paramétré de manière à optimiser votre temps de réponse.
– Misez sur une préparation impliquant à la fois les professionnels, les processus et les technologies
Si nous devions vous recommander trois mesures d’intervention de base, elles seraient les suivantes :
Professionnels : qui fait quoi ?
Nous l’avons déjà mentionné : votre équipe de « primo intervenants » ne doit pas seulement être constituée de professionnels de votre service IT. Cette équipe doit mobiliser des professionnels appartenant à l’ensemble de votre entreprise. Les attaques se produisent souvent aux heures creuses ou lorsque les gens sont en vacances. Il est donc essentiel de désigner un ou des responsables, ainsi que des adjoints, chargés d’intervenir en cas de cyber incident. Vos « primo intervenants » doivent connaître avec précision votre politique de cyber sécurité. Si un poste de travail ou un serveur est potentiellement infecté, ils doivent savoir qu’il ne faut pas l’éteindre, car des indices sur l’attaque pourraient être perdus.
Bonus : Réfléchissez à la façon dont vous communiquerez en cas d’incident. Bien souvent, les cyber attaques compromettent l’infrastructure de communication d’une entreprise et le pirate informatique peut accéder en direct à toutes les communications. Il est donc essentiel de disposer, à l’avance, d’un moyen de communication alternatif.
Processus – développez votre playbook
Un playbook (ou cahier de réponses) peut servir de point de repère à l’ensemble des professionnels de votre entreprise. Dans notre livre blanc « Repenser la réponse aux cyber attaques », nous présentons un exemple de playbook, qui peut vous servir de point de départ. Le principal avantage d’un playbook de ce type est qu’il implique d’envisager tous les scénarios possibles. Vous saurez ainsi quoi faire si une attaque est suspectée : vous aurez déterminé à l’avance comment et quand faire appel à votre hiérarchie, à quel stade le cyber incident sera confirmé, qui devra être impliqué, et comment communiquer sur la situation.
Bonus : Si vous disposez déjà d’un playbook, révisez-le, testez-le et assurez-vous qu’il soit toujours adapté à vos objectifs.
Technologie – visibilité, rapidité et flexibilité
Dans ce même livre blanc, nous proposons aux entreprises un cadre destiné à guider les discussions internes sur ces questions. Votre entreprise doit d’abord cibler son profil de menaces, c’est-à-dire identifier les cyber risques auxquels elle fait face. Sur cette base, elle pourra ensuite mettre en place les technologies de réponse appropriées. Les fonctionnalités de base d’une réponse efficace sont les suivantes :
- Visibilité. Une couverture à 100 % est difficile mais les entreprises doivent se rapprocher au maximum de cet objectif.
- Vous devez disposer des bonnes données, être en mesure de les analyser et agir le plus rapidement possible. De nombreuses solutions donnent la priorité à la récupération des indices plutôt qu’à leur traitement, rallongeant de ce fait les délais d’exécution.
- Flexibilité. Vos outils doivent vous permettre de réaliser des actions destinées à ralentir ou à décourager le pirate informatique, sans pour autant qu’il réalise que vous l’avez détecté.
Bonus : Basez-vous sur votre profil de menaces et sur votre « goût du risque » pour déterminer la quantité de données à consigner sur vos actifs, pour les enquêteurs forensiques. Les journaux DNS, par exemple, sont essentiels, car de nombreuses familles de malware font encore appel au DNS pour justifier leur communication initiale. Le fait de ne pas pouvoir retracer les requêtes DNS depuis les logs de la passerelle jusqu’à l’hôte initial peut retarder votre réponse.
Par où commencer ?
Les entreprises victimes d’une cyber attaque subissent bien souvent des dommages à long terme.
Lorsque nous discutons de cyber sécurité et de réponse aux cyber attaques avec notre conseil d’administration, nous expliquons avant tout que des investissements ciblés peuvent faire économiser, non seulement de l’argent, mais aussi du temps, des efforts et du personnel… Car une réponse suffisamment rapide, menée en temps opportun, change radicalement la manière dont une entreprise se remet d’une attaque.
Si vous ne disposez pas de toutes les connaissances nécessaires à ce sujet, faites appel à des professionnels capables de vous représenter et d’informer votre conseil d’administration. Engagez ensuite un expert qui mettra en place une stratégie solide. En sensibilisant votre entreprise sur ces questions, puis en menant les actions adéquates, vous pourrez contrôler les cyber attaques, plutôt que d’être contrôlé par elles.
Catégories