Incidents cybernétiques : Conseils pour bien réagir
Les entreprises et les organisations sont soumises à une pression énorme en cas de cyberattaque, car réagir correctement aux cyberincidents prend du temps, mais exige en même temps une action rapide. Quatre points sont particulièrement importants à cet égard.
Selon les médias, une PME suisse bien connue a récemment subi une nouvelle cyberattaque : l'entreprise de stores Griesser a été attaquée par un ransomware et a mis tout en œuvre pour limiter les dégâts. Comme le fait savoir l'entreprise, une taskforce informatique et une cellule de crise sont en train de remettre les systèmes en état afin de pouvoir revenir progressivement à une exploitation normale.
Les cyberincidents peuvent désormais se produire partout
Les cyberincidents peuvent toucher toutes les entreprises. Les dangers sont désormais partout et les cybercriminels sont de plus en plus perfides dans leurs méthodes. Il suffit d'un clic de trop pour que le mal s'installe. Que faut-il alors faire ? Les experts en réponse aux incidents du fournisseur de services de sécurité informatique Sophos ont donc développé un guide qui devrait aider les entreprises à surmonter cette tâche difficile. Les quatre conseils suivants sont basés sur l'expérience pratique des équipes de réponse gérée aux menaces et de réponse rapide qui, ensemble, ont déjà répondu à des milliers d'incidents de cybersécurité.
Conseil n° 1 : réagir le plus rapidement possible
Lorsque les entreprises sont attaquées, chaque seconde compte. Or, les équipes de sécurité internes mettent souvent trop de temps à réagir de manière adéquate et rapide. La raison la plus fréquente est qu'elles ne reconnaissent pas à temps la gravité de la situation et l'urgence. De plus, de nombreux cyberincidents se produisent les jours fériés, les week-ends et la nuit. Comme la plupart des équipes informatiques et de sécurité sont nettement sous-équipées, la réaction à une attaque à ces moments-là est souvent trop tardive pour pouvoir limiter à temps les effets de l'attaque.
De plus, une certaine lassitude face aux alarmes réduit la rapidité d'action. Et même si la réaction est correcte et opportune, les équipes de sécurité n'ont souvent pas l'expérience nécessaire pour prendre les mesures adéquates. C'est pourquoi il convient de planifier à l'avance et en détail les incidents possibles et la réaction à ceux-ci. Les dix étapes les plus importantes d'un tel plan de cybercrise ont été décrites par Sophos dans son guide de réponse aux incidents à l'adresse suivante https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/incident-response-guide.aspx est répertoriée.
Conseil 2 : ne pas déclarer trop vite les actions comme "mission accomplie
En cas de cyberincident, il ne suffit pas de traiter les symptômes. Il faut également en rechercher les causes. Par exemple, la suppression réussie d'un logiciel malveillant et l'effacement d'une alarme ne signifient pas que l'attaquant a été chassé de l'environnement. En effet, il pourrait simplement s'agir d'un test de l'attaquant pour déterminer les mesures de défense auxquelles il est confronté. Si l'attaquant a toujours accès à l'infrastructure, il est probable qu'il frappera à nouveau, mais avec une plus grande force destructrice. L'attaquant a-t-il toujours un pied dans l'environnement ? Prévoit-il de lancer une deuxième vague ? Les personnes expérimentées en matière de réponse aux incidents savent quand et où elles doivent enquêter plus précisément. Ils recherchent tout ce que les agresseurs font, ont fait ou prévoient éventuellement de faire sur le réseau et neutralisent également ces activités.
Conseil n° 3 : une visibilité totale est décisive
En cas d'attaque, il est important d'avoir accès à des données correctes et de qualité. Seules ces informations permettent d'identifier avec précision les indicateurs potentiels d'une attaque et d'en déterminer la cause. Des équipes spécialisées collectent des données pertinentes pour détecter les signaux et elles savent comment les classer par ordre de priorité. Ce faisant, elles tiennent compte des points suivants :
- Collecte de signaux : Une visibilité limitée d'un environnement est un moyen sûr de manquer des attaques. Les outils de big data permettent de remédier à cette situation. Ceux-ci collectent suffisamment de données pour fournir des informations pertinentes pour l'étude et la réaction aux attaques. La collecte de données appropriées et de qualité à partir d'une multitude de sources garantit une vision complète des outils, tactiques et procédures d'un attaquant.
- Réduire le bruit de fond : Par crainte de ne pas disposer des données qui pourraient donner une image complète d'une attaque, certaines entreprises et certains outils de sécurité collectent généralement toutes les informations disponibles. Cette approche rend toutefois la recherche des attaques plus difficile et génère plus de données qu'il n'en faudrait. Non seulement cela augmente les coûts de collecte et de stockage des données, mais cela génère également un bruit de fond élevé d'incidents potentiels, ce qui entraîne une lassitude vis-à-vis des alarmes et une perte de temps dans la chasse aux vraies fausses alertes.
- Appliquer le contexte : Pour pouvoir mener un programme de réponse aux incidents efficace, il faut non seulement disposer du contenu (données), mais aussi du contexte. En appliquant des métadonnées significatives associées aux signaux, les analystes en sécurité peuvent déterminer si ces signaux sont malveillants ou bénins. L'une des composantes les plus importantes d'une détection et d'une réponse efficaces aux menaces est la hiérarchisation des signaux. La meilleure façon d'identifier les alertes les plus importantes est de combiner le contexte fourni par les outils de sécurité (c'est-à-dire les solutions de détection et de réponse aux points d'accès), l'intelligence artificielle, le renseignement sur les menaces et la base de connaissances de l'opérateur humain. Le contexte aide à déterminer l'origine d'un signal, le stade actuel de l'attaque, les événements associés et l'impact potentiel sur l'entreprise.
Conseil n° 4 : c'est normal de demander de l'aide
Le manque de ressources qualifiées pour enquêter sur les incidents et y répondre est l'un des principaux problèmes auxquels le secteur de la cybersécurité est confronté aujourd'hui. De nombreuses équipes informatiques et de sécurité, soumises à une forte pression lors de cyber-attaques, se retrouvent dans des situations pour lesquelles elles n'ont pas l'expérience et les compétences nécessaires. Ce dilemme a laissé place à une alternative : les services de sécurité gérés. Plus précisément, les services de détection et de réponse gérés (MDR). Les services MDR sont des opérations de sécurité externalisées, fournies par une équipe de spécialistes, et constituent une extension de l'équipe de sécurité interne de l'entreprise. Ces services combinent des enquêtes dirigées par des personnes, une surveillance en temps réel et une réponse aux incidents avec des technologies de collecte et d'analyse des informations.
Pour les entreprises qui n'ont pas encore fait appel à un service MDR et qui doivent réagir à une attaque active, les services spécialisés de réponse aux incidents sont une bonne option. On fait appel à des répondeurs d'incident lorsque l'équipe de sécurité est débordée et que des experts externes sont nécessaires pour évaluer l'attaque et s'assurer que l'attaquant est neutralisé. Les entreprises qui disposent d'une équipe d'analystes de sécurité qualifiés peuvent également tirer profit de la collaboration avec un service de réponse aux incidents. Cela permet par exemple de combler les lacunes en matière de couverture (par exemple la nuit, les week-ends et les jours fériés) ou d'attribuer des tâches spécialisées nécessaires à la réponse aux cyberincidents.
Source : Sophos
