Cybersécurité : Comment faciliter la vie d’une équipe de réponse à incident

Cybersécurité : Comment faciliter la vie d’une équipe de réponse à incident

On ne vous le souhaite pas, mais tôt ou tard vous pourriez avoir besoin des services d’une société de réponse à incident. Ces entreprises se spécialisent dans l’accompagnement des entreprises victimes d’attaques informatiques – qu’il s’agisse de vol de données, d’espionnage industriel ou, comme c’est à la mode ces dernières années, d’une attaque au rançongiciel.

Le rôle de l’équipe de réponse à incident est de vous aider à analyser l’attaque, comprendre comment l’attaquant est parvenu à infiltrer le système d’information et ses objectifs, ainsi que les mesures à mettre en place pour que ça ne se reproduise plus.

publicité

Collaboration nécessaire

Il ne suffit néanmoins pas d’appeler à l’aide et ensuite de les laisser travailler dans leur coin, en espérant que la vague passe et que toute cette fâcheuse affaire ne soit bientôt qu’un mauvais souvenir. Une équipe de réponse à incident aura besoin de beaucoup d’informations et de l’oreille de la direction de l’entreprise pour faire son travail correctement. Mais aussi parce que répondre à une attaque informatique demandera de prendre des décisions, parfois dans l’urgence.

Et mieux vaut s’être préparé à cette éventualité au préalable. L’Anssi a notamment publié sur son site un guide sur l’organisation d’un exercice de crise cyber pour les entreprises qui souhaiteraient profiter de quelques répétitions.

Nous avons également demandé aux analystes de Digital.Security ce qu’ils aimaient voir dans une entreprise lorsqu’ils interviennent pour une réponse à incident. Autant de pistes qui peuvent nourrir la réflexion d’une entreprise qui souhaiterait améliorer sa posture en matière de sécurité.

1 : Des logs, de préférence externalisés

Pour remonter à l’origine d’une attaque, les analystes s’appuient largement sur les logs, aussi connus sous le nom d’historique des événements ou de journalisation. Ces fichiers enregistrent tous les événements affectant un appareil, une application ou un système, en les classant par ordre chronologique. Ils sont une source d’information précieuse pour comprendre l’origine d’un problème, qu’il s’agisse d’une attaque informatique ou d’un simple bug.

Leur durée de conservation, leur disponibilité et leur stockage sont donc des questions qu’il vaut mieux se poser en amont. « Une durée de conservation de 30 jours c’est bien, mais si on peut avoir plus c’est mieux. Et de préférence, sur un hébergement externalisé » pour éviter de perdre les logs en cas de défaillance, résument les analystes de Digital.Security. On peut opter pour la mise en place d’un outil de type SIEM (Security information and event management, console de gestion de l’information et des événements de sécurité) qui permet d’obtenir une visibilité sur ces informations.

2 : Des sauvegardes « pour remonter le temps »

La « priorité n°1 », selon les analystes de Digital.Security, ce sont les sauvegardes. Elles ont évidemment pour fonction première de vous sauver la vie en vous permettant de faire repartir le système à un état antérieur, avant que l’incident ne vienne perturber le fonctionnement. On l’a souvent répété, et les attaques de ransomware ont rendu la maxime encore plus vraie, mais les sauvegardes sont une solution à de nombreux problèmes. Là aussi, la question de leur hébergement, de la fréquence et du test des sauvegardes à intervalles réguliers mérite d’être posée en amont.

Outre ces fonctions, les sauvegardes ont un intérêt particulier pour les analystes de réponse à incident : elles permettent de « remonter dans le temps » en observant les systèmes avant l’incident, en s’appuyant sur ces sauvegardes. Celles-ci présentent donc un double intérêt et méritent d’autant plus votre attention.

3 : Des inventaires des équipements, des cartographies réseau et des schémas d’interconnexion

L’une des premières choses qu’une équipe de réponse à incident risque de vous demander, c’est un inventaire complet des équipements et des solutions déployées sur le système. Des schémas d’interconnexions décrivant le réseau informatique et les différentes interconnexions avec d’éventuels fournisseurs ou partenaires peuvent également être une excellente idée.

Avoir pris de l’avance et disposer d’une cartographie complète du réseau peut permettre de gagner du temps, et soulager considérablement les équipes IT en place : « c’est un vrai gain de temps pour nous. Si on se retrouve dans un cas où une seule personne connaît l’infrastructure et l’inventaire des équipements, on risque de la solliciter en permanence. Disposer d’une cartographie, d’inventaires ou de schémas d’architectures réalisés en amont, ça nous évite de trop dépendre des équipes informatiques sur ces sujets ».

4 : Un EDR, c’est de l’or ; des antivirus, c’est déjà ça

Pour une meilleure visibilité sur le système d’information, le déploiement d’un EDR (Endpoint Detection and Response, détection et réponse sur les terminaux) est de plus en plus conseillé. Ces outils permettent d’identifier les opérations “suspectes” détectées sur le système d’information, en repérant par exemple les opérations suspectes, les processus de chiffrement, les déplacements de fichiers, etc. Mais ils permettent aussi de détecter certains indicateurs de compromission (adresse IP, noms de domaines et autres éléments associés à des groupes d’attaquants connus) sur le système. « C’est un outil qui change la donne pour la réponse à incident, cela permet d’avoir une visibilité globale au jour le jour sur ce qu’il se passe dans le système et d’avoir un inventaire des systèmes. »

En l’absence d’EDR, les antivirus plus traditionnels ne sont pas non plus à négliger. « Les logs d’antivirus sont souvent une mine d’or pour les analystes, tout particulièrement sur les serveurs. Cela peut nous permettre de réunir de nombreuses informations sur l’attaquant », rappellent les analystes de Digital.Security.

5 : Les précédents rapports d’incidents

Une fois leur mission terminée, les équipes de réponse à incident produisent un rapport contenant une synthèse complète de l’ensemble des investigations et retraçant les éléments découverts lors de leur enquête.

Si ces documents contiennent souvent des informations sensibles pour les organisations, qui les considèrent souvent comme confidentiels, elles sont également une mine d’or pour les équipes de réponse à incident. « Il nous arrive parfois d’intervenir plusieurs mois après un premier incident, qui a pu ouvrir la porte à d’autres attaques. C’est quelque chose que les organisations conservent souvent de manière confidentielle, et c’est dommage parce que c’est une vraie source d’information pour nous », expliquent les analystes de Digital.Security.

Leave a Reply

Your email address will not be published. Required fields are marked *