Huit étapes pour faire face à une première cyberattaque

Garder son calme est certainement plus facile à dire qu’à faire lorsque vous avez l’impression que votre entreprise a été piratée. En effet, il ne s’agit pas seulement du piratage en lui-même, mais de l’impact qu’il pourrait avoir sur votre entreprise.

Il est alors important de rester calme et d’éviter de compliquer la tâche de la défense, par exemple en supprimant des données précieuses, en réinitialisant les mots de passe, en désactivant les comptes, en prenant contact avec l’acteur de la menace, ou encore en tentant de résoudre le problème ou d’appliquer des correctifs à un système sans concertation préalable.

La réaction face à une première attaque sera toujours plus adaptée dès lors qu’une analyse initiale de l’incident dans son ensemble aura été effectuée.

Pour ce faire, il est nécessaire de se poser les questions suivantes :

• ai-je identifié ce qui a été compromis ?
• Comment est-ce que cela a pu se produire ?
• Quand, et sur quelle période ?
• Quelles sont les actions qui ont été effectuées par l’acteur de la menace ?

Les réponses à ces questions pourront aider les intervenants de la défense à décider de la meilleure façon de procéder pour contenir et éradiquer l’attaque.

Le temps est un facteur vital quand on fait face à une cyberattaque. Il est nécessaire d’agir rapidement, et de respecter un processus préétabli.

Les informations obtenues sur l’incident doivent suffire à aider à planifier les premières actions. Ce plan n’a pas vocation à être exhaustif, mais il doit simplement comporter une procédure clairement défini, étape par étape, notamment en ce qui concerne les phases préliminaires de l’intervention.

La préparation de réponse à l’incident est capitale. La planification doit être élaborée en amont de la violation. En tant que responsable de la sécurité, il est fondamental d’organiser des exercices de préparation (simulations de crise, red-teaming, blue-teaming, purple-teaming) ainsi que de créer des guides de préparation à la réponse aux incidents au cours des premiers mois.

L’une des principales menaces à laquelle vous serez probablement confronté est le ransomware. Cette menace mérite que l’on y consacre du temps. Il existe de nombreuses ressources, dont des guides spécialisés dédiés à la réponse aux incidents, qui pourront être très utiles.

Pour tout incident de sécurité, l’une des étapes principales consiste à stopper sa propagation. Dans ce cadre, plusieurs facteurs doivent ainsi être pris en compte tels que :

• l’entreprise dispose-t-elle d’un système EDR (Endpoint Detection and Reponse) qui pourrait être utilisé pour contenir l’attaque, ou faut-il le faire physiquement ?
• S’agit-il en premier lieu du poste de travail d’un utilisateur, ou d’un serveur ?

Un poste de travail est plus simple à mettre hors ligne, et l’impact se limite généralement à un seul utilisateur. S’il s’agit d’un serveur, l’impact est plus important. Il convient également de se demander quels sont les services potentiellement concernés par la mise hors ligne de ce serveur – et cette question doit être examinée attentivement. Si l’organisation concernée est une usine par exemple, tout temps d’arrêt pourrait entraîner d’importantes pertes financières.

En revanche, si les acteurs responsables de la menace sont déjà présents sur le réseau depuis plusieurs mois, il pourrait alors être imprudent de commencer à les contenir. Cela pourrait les alerter sur le fait qu’ils aient été découverts, et les forcer à employer une solution de dernier recours, comme la destruction de données ou encore le déploiement d’un ransomware.

Vous obtiendrez plus d’informations en observant leurs comportements et en découvrant toute l’étendue du réseau qu’ils ont infiltré. Vous pourrez alors élaborer un plan pour contenir efficacement la brèche en une seule fois et minimiser les dégâts.

Les intrusions peuvent générer des coûts importants. La manière dont l’incident est géré peut également avoir un impact sur l’étendue des dégâts.

Peu importe la maturité et le niveau de sécurité dont dispose votre entreprise, il est toujours important de faire appel à des experts – comme une équipe d’intervention, en cas de cyber-urgence. Leur expérience et leur savoir-faire pourraient vous faire économiser à la fois du temps et de l’argent.

Les fournisseurs de services managés de détection et de réponse ont par exemple l’avantage d’être régulièrement exposés à un large spectre de technologies et d’environnements. Un bon fournisseur pourra répondre à un incident dans n’importe quel environnement et sera capable de répondre toutes les situations, contrairement à un fournisseur focalisé sur un seul type de menace.

Les chefs d’entreprises doivent bien faire attention à signaler n’importe quelle faille. Dans le cas contraire, ils s’exposent à des risques réputationnels et financiers, allant de la dégradation de l’image de leur entreprise à des amendes et des pénalités.

Il est impératif de couvrir tous les aspects et tous les angles liés à la faille, ce qui inclue aussi bien les détails techniques employées par les hackers que les ramifications de leurs actions.

Il est également impératif de consulter vos équipes communications et juridiques pour définir un plan d’action et transmettre les bons messages aux médias, aux actionnaires et à aux équipes.

En fonction de l’impact de l’incident, des questions seront évidemment posées par les différentes parties prenantes, et la manière dont l’incident aura été géré fera l’objet d’un examen minutieux. Alors, il va sans dire qu’il est préférable d’éviter de nier des faits avérés qui pourront provoquer un retour de bâton.

Notez également que si vous opérez au sein d’un établissement critique (finance, services publics, éducation etc.), il existe des procédures obligatoires de signalement auprès du gouvernement ou d’autres autorités compétentes.

La phase de récupération dépend de l’ampleur de l’incident. En cas d’incident mineur, cela pourrait simplement vouloir dire éradiquer les éléments malveillants du système, patcher une vulnérabilité, mettre à jour tous les logiciels et déployer une solution d’EDR (Endpoint Detection & Response).

Les incidents plus sérieux peuvent en revanche demander un redéploiement complet de l’infrastructure, ou encore de reconstruire un environnement sécurisé à partir de zéro, ce qui peut nécessiter beaucoup de temps et de ressources.

Quelle que soit la situation, il est préférable de donner la priorité à ce qui nécessite le moins de temps pour être mis en œuvre, tout en protégeant l’environnement contre d’autres attaques. Ce processus inclut de mettre en place des objectifs qui vous permettront de renforcer le niveau de sécurité global de votre entreprise.

Peu importe que vous réussissiez à mettre fin à l’attaque avant qu’elle n’ait pu causer de dégâts, ou que vous avez seulement été capable de contenir et d’éliminer la menace après un processus d’exfiltration, l’analyse rétrospective est une étape clé qui va vous permettre de renforcer votre résilience face aux attaques.

Il est ainsi nécessaire de se poser plusieurs questions simples :

• Quelles sont les causes de l’incident ?
• Comment est-ce qu’il aurait pu être évité ?
• Quels sont les changements qui pourraient être menés pour réduire le risque qu’un incident similaire se produise à nouveau ?

Peu importe le scénario, il est essentiel de se préparer à ce qui pourrait arriver à l’avenir. Une attaque révèle en effet les failles existantes dans le système de sécurité de l’entreprise, et c’est donc l’occasion idéale de les combler et d’améliorer sa cyber-résilience.

Pensez également à planifier des évaluations et de tests de pénétration. Ils vous permettront de détecter de potentielles menaces futures dans votre environnement et donc de garder une longueur d’avance.

Pensez à contacter votre fournisseur de services de réponse aux incidents pour vous assurer qu’il vous propose des formations sous la forme de simulations de menaces, de playbooks ou de planifications de scénarios. La préparation est essentielle.

Personne ne jugera un négativement RSSI qui n’a pas pu bloquer une menace hors de son périmètre. C’est par contre la manière dont l’incident a été géré qui fera la différence !