A travers trois guides, l’Anssi plaide pour des remédiations plus structurantes
Quitte à reconstruire son réseau, autant le faire sur des bases saines. C’est en substance le message de l’Anssi, qui vient de dévoiler ce mardi 16 janvier trois nouveaux guides, destinés à partager sa doctrine et les bonnes pratiques, consacrés à la remédiation après une attaque informatique.
Ce terme désigne les opérations destinées à bouter l’attaquant de son système d’information, reprendre le contrôle de son réseau et reconstruire son informatique sur des bases saines.
Comme le rappelle le cyber-pompier de l’Etat, ces opérations sont très structurantes. Elles peuvent être rapides, pour privilégier un retour à la normale au plus vite, se soldant alors par un niveau de sécurité faible qui sera ensuite à “consolider dans la durée”. “Une seconde alternative, plus longue, consiste en une reprise totale du contrôle du système d’information”, signale l’agence, ”plus efficace dans le temps”, permettant de viser “un niveau de sécurité plus élevé”.
Investissement “très rentable”
Sans surprise, l’Anssi milite pour la deuxième option. Comme elle le rappelle dans le premier guide de douze pages, destiné aux dirigeants, une remédiation profonde accompagnée d’une transformation de la posture de sécurité coûte certes plus cher au départ. Mais à terme, cet investissement sera “très rentable”, estime l’Anssi, avec une maîtrise durable de sa sécurité informatique.
Au contraire, une remédiation trop rapide est synonyme de risques de résurgence élevés, ce qui peut générer un coût total “très élevé pour l’organisation”. “Les dégâts d’une attaque informatique peuvent se chiffrer en millions, voire en dizaines de millions d’euros, rappelle l’Anssi. C’est pourquoi les orientations et les moyens donnés au pilotage de la remédiation sont déterminants pour l’avenir d’une organisation touchée.”
Dans son communiqué, l’agence cite l’exemple d’une organisation, à l’identité non précisée, pour illustrer les enjeux. Après une première attaque informatique, cette organisation effectue une remédiation incomplète, qui lui permet néanmoins “d’augmenter son niveau de détection”. Elle est ensuite victime d’une seconde attaque informatique, détectée aussitôt, suivie d’une réorganisation du système d’information. Assistée de l’Anssi, l’organisation victime a pu par contre faire face seule à la troisième attaque, contenue grâce aux efforts réalisés.
publicité
Active directory
Les deux autres guides publiés par l’Anssi s’adressent aux pilotes de la remédiation et aux équipes techniques. Leur publication avait été annoncée au printemps dernier, l’Anssi ayant alors publié un appel à commentaires auprès des directions informatiques. Le deuxième guide, “Piloter la remédiation”, traite ainsi en 96 pages de l’élaboration et de l’exécution du plan de remédiation. Une partie de ce document est consacrée aux relations avec les prestataires. De même, des plans types sont également suggérés aux lecteurs.
Quant au troisième guide, “La remédiation du Tier 0 Active directory”, il est consacré, comme son intitulé l’indique, au cœur de confiance de l’Active directory. Ce service d’annuaire permet de centraliser l’identification et l’authentification sur un réseau d’appareils fonctionnant sous Windows, ce qui en fait une cible de premier choix pour les pirates informatiques.
