Sécurité

Comment anticiper les incidents de sécurité? Soyez préparé mais pragmatique!

| Mise à jour
par Evelyne Pintado et Patrick Zwahlen, Navixia

C’est un constat: un incident de sécurité peut se produire tôt ou tard dans n’importe quelle entreprise, quelles que soient les protections mises en œuvre – car les adversaires ont plus de temps pour préparer leurs attaques que nous pour nous défendre. Être prêt à réagir ne s’improvise pas. Voici nos conseils.

Patrick Zwahlen, Senior Security Architect / Team Leader, et Evelyne Pintado, Communication Architect, Navixia SA.
Patrick Zwahlen, Senior Security Architect / Team Leader, et Evelyne Pintado, Communication Architect, Navixia SA.

Qu’est-ce qu’un «incident de sécurité»? Tout événement qui présente un risque pour l’intégrité et la disponibilité de l’infrastructure IT de l’entreprise et la confidentialité de ses données (voir encadré), ainsi que tout événement ciblant les populations «à risque»: administrateurs, développeurs et management. La gestion des incidents n'est pas une démarche de sécurité isolée et demande une préparation et une planification précises. La remédiation peut prendre des semaines, voire des mois. Or, nous le constatons chaque jour: les entreprises sous-estiment cette démarche et son impact sur leur fonctionnement.

Un incident, c’est par exemple…
- Un malware, par ex. cryptolocker, qui rend les fichiers inaccessible jusqu’au paiement d’une rançon
- Un cheval de Troie permettant le contrôle à distance, l’exfiltration de données, les écoutes…
- Une attaque de phishing, ciblée ou non
- Un niveau de trafic réseau anormal ou un déni de service

Préparation et anticipation

Premier conseil: commencez à vous préparer dès maintenant. L’appui du management sera essentiel en cas de crise. Tentez d’identifier le comportement «normal» de chaque élément du système d’information. Aucune solution ne remplacera efficacement l’humain pour détecter une déviance. Formez le helpdesk à n’effacer aucun fichier douteux, car ces traces seront essentielles pour remonter à la source de l’incident. Évitez que les mesures de protection mises en place dans la précipitation ne causent l’effacement des indices. Centralisez vos logs, voire même l‘intégralité de votre trafic réseau. Le «BigData» permet cela aujourd’hui! 

Des outils et des hommes

Organisez dès maintenant l’équipe chargée de gérer centralement les incidents. Ses membres devront savoir poser les bonnes questions et maîtriser à fond toutes les technologies déployées dans le réseau. En cas d’incident, ils seront appelés à intervenir 24h/24 pendant une durée indéterminée. L’équipe de sécurité de l’entreprise ne sera pas forcément en mesure de remplir toutes ces conditions. Prévoyez alors de faire appel à des prestataires externes, mais gérez-en à l’avance l’impact sur la confidentialité. Dans certains cas extrêmes, il sera nécessaire de prendre des raccourcis pour l’obtention de privilèges ou la signature d’un NDA. Pensez à toutes les contraintes logistiques. 

Un travail de limier

La plus grande difficulté lors d’un incident, c’est d’en déterminer l’impact et les causes. Alors que de tels événements suscitent toujours les mêmes questions du management (voir encadré), les détails techniques permettant d’y répondre manquent souvent. Clé de la réussite de cette opération : l’exhaustivité des informations provenant de sources aussi diverses que le réseau, les serveurs, stations de travail et logs, ainsi que la capacité d’y faire des recherche de façon rapide et efficace sur plusieurs mois. Vous aurez par exemple à retracer l’activité d’une adresse IP dans un intervalle de temps donné; celle d’un compte compromis durant les derniers mois; vous devrez analyser l’ensemble du trafic web d’un utilisateur, etc. Divers outils qui stockent les informations et facilitent leur analyse ultérieure peuvent vous aider.

Les questions du management
- L’attaque est-elle ciblée?
- Est-elle encore en cours?
- Des informations ont-elles été volées? Combien? Sont-elles critiques?
- Quand l’attaque a-t-elle commencé? Comment?
- Pourquoi n’a-t-elle pas été détectée par les antivirus?

Remise en état

Une fois tous les éléments utiles à l’investigation rassemblés, vous pourrez penser à «faire le ménage». Si les machines sont compromises, un simple nettoyage ne suffira pas. Nous recommandons de restaurer entièrement les machines, voire même de refaire les profils des utilisateurs. Ne sous-estimez pas le poids de la phase de remédiation pour l’équipe IT puisque toutes ces tâches sont effectuées, parfois sur une longue durée, en parallèle de l’entretien normal du réseau.

Notre conseil: mettez en place dès maintenant toutes les mesures qui permettront de détecter, d’investiguer et de résoudre l’incident pour limiter les dégâts majeurs qu’il peut causer au système d’information et aux affaires de votre société. Idéalement, ces étapes devraient être simulées régulièrement. Le moment venu, vous vous en féliciterez.

Kommentare

« Plus