<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Axel Petersen, Auteur</title>
	<atom:link href="https://www.riskinsight-wavestone.com/author/axel-petersen/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/author/axel-petersen/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Wed, 20 May 2026 18:47:02 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>Axel Petersen, Auteur</title>
	<link>https://www.riskinsight-wavestone.com/author/axel-petersen/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Les sauvegardes : le dernier rempart face aux rançongiciels – Partie 2</title>
		<link>https://www.riskinsight-wavestone.com/2026/05/backups-the-last-line-of-defense-against-ransomware-part-2/</link>
					<comments>https://www.riskinsight-wavestone.com/2026/05/backups-the-last-line-of-defense-against-ransomware-part-2/#respond</comments>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Wed, 06 May 2026 14:56:13 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Air gap]]></category>
		<category><![CDATA[Analyse de risque]]></category>
		<category><![CDATA[back up]]></category>
		<category><![CDATA[Sauvegarde sécurisée]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=29900</guid>

					<description><![CDATA[<p>Cet article s’articule autour de quatre approches complémentaires visant à renforcer la sécurisation des sauvegardes de bout en bout. Après avoir traité, en première partie, de l’exploitabilité des sauvegardes (1) et de la sécurisation de l’infrastructure de sauvegarde (2), cette seconde partie se concentre...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/05/backups-the-last-line-of-defense-against-ransomware-part-2/">Les sauvegardes : le dernier rempart face aux rançongiciels – Partie 2</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;">Cet article s’articule autour de quatre approches complémentaires visant à renforcer la sécurisation des sauvegardes de bout en bout. Après avoir traité, en première partie, de l’exploitabilité des sauvegardes (1) et de la sécurisation de l’infrastructure de sauvegarde (2), cette seconde partie se concentre sur les deux dernières approches : la protection des sauvegardes contre leur destruction logique (3) et l’identification des risques résiduels associés aux mesures mises en œuvre (4). </p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>3. Protéger les sauvegardes contre la destruction logique</b></h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Dans une approche de défense en profondeur des sauvegardes et compte-tenu de la menace observée, l’hypothèse d’une prise de contrôle illégitime de composants de l’infrastructure de stockage et de sauvegarde doit être envisagée. </p>
<p style="text-align: justify;">D’une façon générale, afin de réduire efficacement le risque de perte de données, la bonne pratique consiste à veiller à ce que les sauvegardes ne soient pas soumises aux mêmes risques (cybers ou non) que les données stockées. Cette approche repose notamment sur la diversification des supports de sauvegarde, la mise en œuvre de séparations physiques ou logiques, et le maintien d’au moins une copie isolée hors ligne et hors site. </p>
<p style="text-align: justify;">Le recours à des dispositifs destinés à prévenir l’altération ou la suppression des données sauvegardées, même en cas d’attaque réussie sur l’infrastructure de stockage et de sauvegarde, doit donc être considéré. </p>
<p style="text-align: justify;">L’<i>immuabilit</i>é et l’<i>air gapping</i> constituent les deux approches principales en la matière. Ces termes sont couramment mis en avant par les éditeurs mais les solutions et les risques résiduels associés à leur mise en œuvre varient. Il est donc nécessaire de bien comprendre les mécanismes sous-jacents associés à ces solutions, afin de choisir celle qui répondra au besoin de couverture du risque.  </p>
<p style="text-align: justify;"><i>Selon le Cyberbenchmark réalisé par Wavestone, près de 65% des organisations mettent en œuvre, au moins sur les fonctions critiques, des mécanismes d’immuabilité ou de airgapping et 21% les appliquent sur l’ensemble de leurs sauvegardes.</i> </p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>L’immuabilité des sauvegardes, une technique de plus en plus adoptée </b> </h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">« L’immutabilité des données signifie que les données peuvent être écrites mais ni modifiées ni supprimées » (NIST). </p>
<p style="text-align: justify;">Loin d’être uniforme, sa mise en œuvre repose sur des implémentations techniques diverses, dont la robustesse varie selon qu’elles s’appuient sur des dispositifs matériels ou logiciels.  </p>
<p style="text-align: justify;"><strong>  a. Dispositifs purement matériels  : </strong></p>
<ul style="text-align: justify;">
<li><b>Cartouches LTO WORM (avec matériel/firmware compatible)</b> <br />Ces cartouches de bande magnétique permettent un enregistrement unique des données, empêchant toute modification ou suppression ultérieure, à condition que le matériel et le firmware soient compatibles avec le mode WORM (Write Once, Read Many).</li>
</ul>
<p style="text-align: justify;">     A la marge pour des cas d’usages spécifiques :<span style="font-size: revert; text-align: justify;" data-ccp-props="{&quot;201341983&quot;:0,&quot;335559685&quot;:720,&quot;335559740&quot;:259}"> </span></p>
<ul style="text-align: justify;">
<li><b>Jukebox BluRay</b> <br />Ce système robotisé utilise des disques Blu-ray WORM pour stocker les données de manière permanente, en les rendant physiquement inaltérables une fois gravées. </li>
<li><b>Stockage Flash avec contrôleur WORM (firmware / e-Fuse bit)</b> <br />Certains dispositifs de stockage flash intègrent un contrôleur doté d’un firmware spécifique ou de mécanismes matériels comme les bits e-Fuse, permettant de verrouiller définitivement les données après écriture. </li>
</ul>
<p style="text-align: justify;"><strong>  b. Dispositifs logiciels embarqués ou non sur une appliances : </strong></p>
<ul style="text-align: justify;">
<li><b>Appliance matérielle avec gestion locale</b> <br />Il s’agit d’un équipement dédié à la sauvegarde, configuré localement pour appliquer des politiques d’immuabilité, souvent via des verrous logiciels ou des périodes de rétention non modifiables. </li>
<li><b>Appliance matérielle avec gestion en ligne</b> <br />Ce type d’appliance permet une gestion à distance, parfois via un canal hors bande (<i>out-of-band</i>), afin que les politiques d’immuabilité ne puissent être altérées même en cas de compromission du réseau principal. </li>
<li><b>Logiciel à installer sur un système d’exploitation de l’organisation</b> <br />Certaines solutions logicielles permettent de définir des règles d’immuabilité directement sur le système d’exploitation, bien que cette approche puisse être moins robuste car potentiellement vulnérable à une compromission du système hôte de l’organisation. </li>
<li><b>Capacités cloud (ex. : Amazon S3 Glacier / Azure Blob Storage)</b> <br />Les services de stockage cloud offrent des options d’immuabilité via des politiques de rétention ou des verrous WORM, garantissant que les objets stockés ne peuvent être modifiés ou supprimés pendant une période définie. </li>
</ul>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Il convient de souligner que le niveau d’immuabilité peut être ajusté en fonction de la nature des données concernées, afin d’optimiser les exigences de sécurité et les contraintes opérationnelles.  </p>
<p style="text-align: justify;">Nous constatons que l’immuabilité figure de plus en plus parmi les mécanismes déployés dans les stratégies de protection des sauvegardes et reste davantage observée que l’air gapping.  </p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>L’</b><b><i>air gap</i></b><b> des sauvegardes, une technique observée mais moins optimisée</b> </h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">L’<i>air gap<sup>4 </sup></i>est « Une interface entre deux systèmes dans laquelle (a) ceux-ci ne sont pas connectés physiquement et (b) toute connexion logique n’est pas automatisée (c’est-à-dire que les données ne sont transférées par cette interface que manuellement, sous contrôle humain)». </p>
<p style="text-align: justify;">À l’image de l’immuabilité, le <i>air gapping</i> peut être mis en œuvre selon des modalités diverses, telles que :</p>
<p style="text-align: justify;"><strong>Modalités physiques : </strong></p>
<ol style="text-align: justify;">
<li><b>Bandes stockées et protégées hors ligne (principalement sur un site distant)</b> <br />Les bandes magnétiques sont retirées du système de sauvegarde actif et conservées dans un lieu physiquement séparé, empêchant tout accès réseau ou automatisé. </li>
<li><b>Bandes dans un robot de sauvegarde</b> <br />Bien que physiquement connectées, certaines configurations de robots de sauvegarde permettent de déconnecter logiquement les bandes lorsqu’elles ne sont pas en cours d’utilisation, limitant ainsi les risques d’accès non autorisé. </li>
<li><b>Autres supports de stockage amovibles tels que des disques (conservés hors ligne)</b> <br />Des disques durs ou SSD peuvent être utilisés pour transférer des données, puis physiquement déconnectés et stockés dans un environnement sécurisé, assurant une isolation complète. </li>
<li><b>Passerelles de transfert à diode optique</b> <br />Ces dispositifs permettent un transfert unidirectionnel des données, empêchant physiquement tout retour d’information ou commande vers le système source et permettant d’atteindre un certain niveau de séparation. En l’absence de support natif d’un éditeur de produit de sauvegarde, des agents logiciels tiers permettant un transfert unidirectionnel doivent être utilisés en complément. </li>
</ol>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><strong>Implémentations logiques du <i>air gapping (sortant du principe d’isolation physique) </i> : </strong></p>
<ol style="text-align: justify;">
<li><b>Ports réseau « </b><b><i>saloon doors</i></b><b> » ouverts uniquement pendant la synchronisation</b> <br />Les connexions réseau sont temporairement activées pour permettre la synchronisation des données, puis automatiquement désactivées, limitant ainsi la fenêtre d’exposition durant laquelle il est nécessaire de prendre des mesures afin de n’autoriser que le trafic de réplication légitime. </li>
<li><b>Isolation par le contrôle d’accès et les capacités de chiffrement</b> <br />Des mécanismes de contrôle d’accès stricts, combinés à un chiffrement, permettent de restreindre l’accès aux sauvegardes à des moments et des utilisateurs précisément définis. </li>
<li><b>Sauvegarde en tant que service (cloud privé isolé / cloud tiers)</b> <br />Certaines offres de sauvegarde externalisées garantissent une isolation logique complète, en cloisonnant les environnements clients et en limitant les interactions réseau à des canaux strictement contrôlés. Cependant, le risque d’une compromission de ces solutions n’est pas nul, comme en témoigne l’attaque réussie en 2025 sur un service de sauvegarde en ligne pour des configurations de pare-feu. </li>
</ol>
<p> </p>
<p style="text-align: justify;">Sous réserve d’une analyse de risques, en particulier dans le cadre du recours à une solution logique, l’implémentation de l’immuabilité des données est généralement à prioriser sur celle de l’<i>air gapping</i>. </p>
<p style="text-align: justify;">Si l’immuabilité et l’<i>air gapping</i> constituent des remparts efficaces pour préserver l’intégrité voire la confidentialité des sauvegardes classiques face aux risques de modification ou d’exfiltration, d’autres approches, davantage tournées vers l’optimisation opérationnelle, méritent également d’être examinées. </p>
<p style="text-align: justify;">Il ne s’agit plus ici de sécuriser des copies complètes de données, mais de recourir à des mécanismes alternatifs permettant une restauration rapide et massive, souvent au prix de certains compromis. C’est notamment le cas des instantanés (<i>snapshots)</i>, qui s’imposent comme une solution technique privilégiée dans les environnements où la performance de reprise prime sur l’exhaustivité ou la robustesse des sauvegardes. </p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>Snapshots : une solution de restauration rapide, mais pas une sauvegarde à part entière</b> </h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Afin de mieux comprendre ce que recouvre techniquement la notion de snapshot, il est utile de se référer à la définition proposée par le NIST : « Un enregistrement de l’état d’une image en cours d’exécution, généralement capturé sous forme des différences entre une image de référence et l’état actuel. » </p>
<p style="text-align: justify;">Autrement dit, un snapshot correspond à une capture instantanée de l’état d’un système de fichiers ou d’un volume de données à un moment donné. Contrairement à une sauvegarde complète, il n’enregistre que les blocs ou fichiers modifiés depuis l’état de référence. Ce mécanisme, rapide et peu gourmand en ressources, s’avère particulièrement adapté aux environnements où la reprise d’activité rapide est prioritaire. Il est plus largement utilisé dans les infrastructures virtualisées ou cloud. </p>
<p style="text-align: justify;">Cependant, cette efficacité opérationnelle s’accompagne de compromis notables sur la qualité des sauvegardes<b>. </b>En effet, les snapshots ne constituent pas des copies indépendantes des données : ils dépendent de l’intégrité du système hôte. En cas de corruption du volume principal, les snapshots peuvent devenir inutilisables. De plus, leur gestion dans le temps (rotation, rétention, cohérence applicative) nécessite une rigueur particulière pour éviter les dérives. </p>
<p style="text-align: justify;">Les snapshots, bien qu’efficaces pour accélérer la reprise d’activité, ne sauraient se substituer à une véritable stratégie de sauvegarde. Ils doivent être envisagés comme un complément à des dispositifs plus robustes, assurant la pérennité et l’intégrité des données. </p>
<p style="text-align: justify;">Qu’il s’agisse de snapshots ou de sauvegardes classiques, leur intégration dans une architecture de protection impose une analyse de risques approfondie, incluant l’identification des vulnérabilités résiduelles. </p>
<p style="text-align: justify;"> </p>
<h1 style="text-align: justify;"><b>4. Approche risque et identification des risques résiduels</b> </h1>
<p style="text-align: justify;">En raison des enjeux liés à une perte irréversible de données ou/et à un arrêt prolongé d’activités indispensables à une organisation, l’analyse des risques portant sur les moyens de sauvegarde ne constitue pas une étape accessoire, mais bien un pilier essentiel d&rsquo;une stratégie de sauvegarde cohérente et maîtrisée. </p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>Intégrer l&rsquo;analyse de risques au cœur de la gestion des sauvegardes</b> </h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Qu’elle s’inscrive ou non dans une démarche formelle d’homologation, la conduite d’une analyse de risques des moyens de sauvegarde vise s’assurer que les dispositifs en place sont adaptés aux menaces identifiées et aux exigences de continuité d’activité. </p>
<p style="text-align: justify;">Dans cette optique, l’analyse de risques appliquée aux sauvegardes, s’appuyant par exemple sur la méthode EBIOS-RM proposée par l’ANSSI, permet d’évaluer les dispositifs existants, d’identifier des scénarios d’attaque plausibles, comme la compromission du serveur de sauvegarde ou l’altération des données, et d’en apprécier la vraisemblance. Cette approche aide à prioriser les actions de sécurisation en fonction des impacts potentiels sur l’activité, tout en s’assurant que les risques résiduels restent acceptables au regard des objectifs métiers. </p>
<p style="text-align: justify;">Le suivi des risques résiduels, qui subsistent malgré les mesures de protection mises en œuvre, constitue un prolongement naturel de l’analyse. Il est donc essentiel de les identifier, de les documenter et de les intégrer dans une stratégie de gestion continue de la sécurité. A titre illustratif, ces risques résiduels peuvent être : </p>
<ul>
<li style="text-align: justify;"><b>Malveillance interne</b> : Un administrateur malveillant ou un employé disposant d’un accès privilégié peut volontairement altérer ou supprimer les sauvegardes. </li>
<li style="text-align: justify;"><b>Compromission du fournisseur cloud</b> <b>assurant les sauvegardes</b> : Une compromission du fournisseur cloud, liée par exemple à l’exploitation de vulnérabilités non publiques, pourrait permettre à un attaquant d’accéder aux sauvegardes ou de les manipuler, en contournant les mécanismes de sécurité du client. </li>
<li style="text-align: justify;"><b>Compromission des comptes clients</b> (tenants) : L’accès non autorisé aux comptes clients peut entraîner une perte de contrôle sur les sauvegardes, leur suppression ou leur altération. </li>
<li style="text-align: justify;"><b>Destruction des actifs de la solution de</b> <b>sauvegarde</b> : Si l’infrastructure de sauvegarde est détruite (physiquement ou logiquement), il sera compliqué, voire impossible de restaurer des sauvegardes en cas de perte de ressources critiques telles que : 
<ul style="list-style-type: square;">
<li>Catalogues de sauvegarde / bases de données des outils de sauvegarde </li>
<li>Secrets telles que les clés de déchiffrement </li>
</ul>
</li>
<li style="text-align: justify;"><b>Compromission technique de l’outil de sauvegarde </b>: Un attaquant peut rendre les sauvegardes inutilisables en exploitant des vulnérabilités techniques liées à l’outil ou au système hôte (y compris via les accès hors bande bas niveau tels que iLo/iDRAC). </li>
<li style="text-align: justify;"><b>Compromission des comptes administrateurs</b> : Même avec des mécanismes d’immutabilité, une compromission fonctionnelle des comptes administrateurs peut permettre de désactiver ou de contourner les protections avant, voire dans certains cas après, l’écriture des données (période de rétention, mécanismes de gestion du temps, &#8230;). </li>
</ul>
<ul style="text-align: justify;">
<li><b>Compromission de la protection cyber de l’outil de sauvegarde : </b>Si un attaquant manipule les paramètres de protection des sauvegardes tels que ceux liés au chiffrement (ex. : encryption_secret), les sauvegardes peuvent rester inexploitables.  </li>
</ul>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;"><b>Une fois la solution de sauvegarde sécurisée implémentée, compléter cette analyse par des audits périodiques, notamment de type « RedTeam”</b> </h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">En complément de l’analyse théorique et du suivi des risques résiduels, des audits périodiques permettront d’identifier les vulnérabilités liées à l’implémentation de la solution de sauvegarde. Parmi les types d’audit possibles, les exercices de type RedTeam, visent à reproduire le comportement d’un attaquant cherchant à détruire les sauvegardes. Ceux-ci auront également pour objectif d’éprouver l&rsquo;efficacité des moyens techniques et humains mis en œuvre en matière de protection, de détection et de réaction face à une attaque. </p>
<p style="text-align: justify;"> </p>
<h1 style="text-align: justify;"><b>Conclusion</b> </h1>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">La protection des sauvegardes contre les rançongiciels repose sur une approche globale et pas seulement une approche “produit” : </p>
<ul style="text-align: justify;">
<li>Vérifier en continu la fiabilité des sauvegardes permettant de reconstruire efficacement son SI ; </li>
<li>Protéger l’infrastructure de sauvegarde en limitant sa surface d’attaque ; </li>
<li>Protéger les données sauvegardées, en priorité via l’immuabilité ; </li>
<li>S’inscrire dans une approche transverse de maîtrise du risque. </li>
</ul>
<p style="text-align: justify;">Le niveau d’exigence en matière de sécurisation des sauvegardes ne cessera de croître à mesure que les attaquants affinent leurs techniques et renforcent leurs capacités. </p>
<p style="text-align: justify;">La vigilance et l’adaptation continue face à l’évolution de la menace restent donc les meilleurs alliés d’une stratégie de sauvegarde résiliente. </p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/05/backups-the-last-line-of-defense-against-ransomware-part-2/">Les sauvegardes : le dernier rempart face aux rançongiciels – Partie 2</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2026/05/backups-the-last-line-of-defense-against-ransomware-part-2/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </title>
		<link>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/</link>
					<comments>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/#respond</comments>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Thu, 02 Apr 2026 06:33:57 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[chiffrement des données]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Protection des sauvegardes]]></category>
		<category><![CDATA[rançongiciel]]></category>
		<category><![CDATA[Résilience cyber]]></category>
		<category><![CDATA[Sauvegarde]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=29533</guid>

					<description><![CDATA[<p> En 2025, l’attaque par rançongiciel a constitué une menace toujours prégnante et a ciblé de plus en plus les sauvegardes (21% d’attaques sur les sauvegardes en 2021 contre 90% en 2025 [1]). La protection des sauvegardes, qui fait également l’objet de renforcements règlementaires tel que...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/">Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720,&quot;335559740&quot;:259,&quot;335559991&quot;:360}"> </span><span data-contrast="auto">En 2025, l’attaque par rançongiciel a constitué une menace toujours prégnante et a ciblé de plus en plus les sauvegardes (21% d’attaques sur les sauvegardes en 2021 contre 90% en 2025 [</span><span data-contrast="auto">1]</span><span data-contrast="auto">). La protection des sauvegardes, qui fait également l’objet de renforcements règlementaires tel que NIS 2, apparaît donc comme une priorité face à cette menace.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Cet article propose quatre approches complémentaires afin de renforcer la sécurisation des sauvegardes de bout en bout :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<ol style="text-align: justify;">
<li><b><span data-contrast="auto">Assurer en continu une sauvegarde exploitable</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></li>
<li><b><span data-contrast="auto">Renforcer la sécurisation de l’infrastructure de sauvegarde contre une prise de contrôle par l’attaquant </span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><b><span data-contrast="auto">Protéger les sauvegardes contre une destruction logique</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><b><span data-contrast="auto">Identifier les risques résiduels compte-tenu des mesures mises en place</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ol>
<p style="text-align: justify;"><span data-contrast="auto">Cet article fait l’objet d’une première publication sur les approches 1 et 2, suivi d’une seconde publication concernant les approches 3 et 4.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les recommandations présentées ne se substituent pas à celles présentées dans les guides de l’ANSSI qui définissent les principes fondamentaux de sauvegarde [</span><span data-contrast="auto">2]</span><span data-contrast="auto">.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720}"> <img fetchpriority="high" decoding="async" class="aligncenter size-full wp-image-29534" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image.png" alt="" width="579" height="519" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image.png 579w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image-213x191.png 213w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image-44x39.png 44w" sizes="(max-width: 579px) 100vw, 579px" /></span></p>
<p style="text-align: center;"><em>Schéma 1 : Renforcer la sécurisation des sauvegardes par 4 approches </em></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720}"> </span></p>
<h1><b><span data-contrast="none">1. Assurer en continu une sauvegarde exploitable</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h1>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Afin de garantir une sauvegarde exploitable, il est indispensable d’appliquer des fondamentaux. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Assurer la complétude et la cohérence de la sauvegarde</span></b><span data-ccp-props="{}"> </span></h2>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">L’objectif premier d’une sauvegarde, dans un contexte d’attaque par rançongiciel, est de disposer d’une source de données permettant la reconstruction du système d’information. Elle n’est véritablement efficace que si elle contient l’ensemble des éléments nécessaire à la reconstruction. Cela inclut notamment les données essentielles à l’activité métier, les configurations des applications métiers et des systèmes, les sources d’installation, ainsi que les données opérationnelles critiques, telles que les coffres forts de mots de passe, les licences, ou encore la documentation opérationnelle.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La complétude des sauvegardes ne peut suffire à elle-même. Le besoin de points de cohérence des données sauvegardées issues de différentes sources (ex : une base de données d’une GED &#8211; Gestion Electronique des Documents et des fichiers associés) doit être également pris en considération. Une étude menée en amont permettra de faciliter, lors de la reconstruction, le travail de resynchronisation entre les différents référentiels.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Enfin, il est également nécessaire de disposer d’une sauvegarde de l’infrastructure elle-même, permettant sa reconstruction à l’identique. Celle-ci doit inclure le catalogue de sauvegarde, les sources d’installation des logiciels, les clés associées aux moyens de chiffrement, ainsi que l’ensemble des autres secrets nécessaires. Une copie des paramètres de configuration est à stocker dans un emplacement, par exemple hors ligne, distinct de l’infrastructure principale, afin de limiter les risques de compromission commune.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Selon le Cyberbenchmark réalisé par Wavestone sur plus de 170 organisations évaluées, </span></i><b><i><span data-contrast="none">environ de 90%</span></i></b><i><span data-contrast="none"> des organisations observées réalisent des </span></i><b><i><span data-contrast="none">sauvegardes régulières</span></i></b><i><span data-contrast="none"> de leurs données</span></i><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Parmi les organisations réalisant des sauvegardes régulières :</span></i><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<ul>
<li><em>Environ <b>65%</b> effectuent des<b> tests de restauration</b> </em></li>
<li><em>Environ <b>20%</b> réalisent des <b>contrôles de cohérence des données métiers</b> </em></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Dans cette logique, différents contrôles doivent être définis et mis en œuvre de manière régulière. </span><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<h2><b><span data-contrast="none">Eprouver la fiabilité des sauvegardes par des contrôles réguliers</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Un premier niveau de contrôle vise à s’assurer que les sauvegardes sont bien réalisées et exploitables. Il peut s’appuyer sur l’application de consignes de vérifications quotidiennes, fondées sur des éléments de preuve (rapports, journaux, alertes). Ces vérifications peuvent être manuelles ou (semi)automatisées. Une vérification humaine complémentaire demeure nécessaire, afin de s’assurer que les indicateurs et alertes ne sont pas trompeurs, notamment en cas de compromission ou de neutralisation des mécanismes de supervision et de contrôle par un attaquant.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce premier niveau intègre également des tests de restauration périodiques, réalisés sur des périmètres représentatifs, afin de vérifier, si possible avec la contribution des sachants applicatifs ou du métier, l’intégrité et l’exhaustivité des données nécessaires à la reprise d’activité.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le second niveau consiste à s’assurer que les vérifications du premier niveau sont bien appliquées. Il repose sur des contrôles indépendants ou des processus formalisés. Des tableaux de bord peuvent être utilisés pour centraliser les indicateurs de niveau de confiance, en croisant les résultats des vérifications quotidiennes par l’exploitation et des tests de restauration.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Une fois la fiabilité des sauvegardes établie, il convient d’optimiser les processus de restauration, en les éprouvant et en s’assurant de leur efficacité.   </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Industrialiser les processus de restauration pour optimiser les délais de reprise en cas de compromission</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Pour réduire les délais de reprise après compromission, il est essentiel d’industrialiser à l’échelle les processus en vue de restaurations massives. Cela implique de les préparer en amont, de les tester régulièrement et de les adapter aux différents scénarios de destruction.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La durée de la phase de restauration d’un SI étant susceptible d’être étendue sur plusieurs semaines, voire plusieurs mois, il est nécessaire d’allonger les durées de rétention des sauvegardes qui devront être restaurées, afin d’éviter leur perte par écrasement ou suppression prématurée.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les processus de restauration devront inclure des mécanismes permettant de valider rapidement l’état des données sauvegardées, en identifiant, sur la base d’indicateurs de compromission, les données compromises, modifiées ou altérées, afin de cibler efficacement les points de restauration nécessaires.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Intégrer le risque de compromission des sauvegardes dans la stratégie de restauration</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Afin de garantir une reprise fiable après compromission, il est essentiel de prendre en compte dans la stratégie globale le risque d’altération ou de manipulation des données sauvegardées. Il s’agit de traiter le risque d’une altération ou d’une manipulation des données qui surviendrait </span><b><span data-contrast="auto">en  amont</span></b><span data-contrast="auto"> de leur prise en charge par l’agent de sauvegarde, par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;"><span data-contrast="auto">Être en mesure de pouvoir s&rsquo;appuyer sur des sauvegardes complètes (“</span><i><span data-contrast="auto">full</span></i><span data-contrast="auto">”) réalisées avant l’intrusion de l’attaquant, ce jalon ayant été identifié lors des premières investigations. Les données sauvegardées peuvent être alors considérées comme non altérées par l’attaquant et servir à reconstruire des systèmes et des applications. </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">La restauration d’éléments applicatifs ou systèmes non altérés, dans le cas où ceux-ci ne sont pas réinstallés à partir de sources fiables, devra également inclure l’application de correctifs de sécurité et de mesures de durcissement visant à prévenir toute nouvelle compromission.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le processus de sauvegarde ne peut par lui-même prévenir la compromission éventuelle des données avant qu’elles ne lui soient confiées. Il est possible, selon les cas de mettre en œuvre par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<ul style="text-align: justify;">
<li><span data-contrast="auto">La protection de l’intégrité des données par des mécanismes système ou/et des moyens cryptographiques ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
<li><span data-contrast="auto">La détection d’une altération par des validations applicatives, la surveillance de données témoins “canaries” ou l’utilisation d’un dispositif EDR – Endpoint Detection and Response.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Ce sont des sujets à instruire en complément de la protection des sauvegardes.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:360,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Décliner sur les environnements cloud les bonnes pratiques sauvegarde/restauration</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Enfin, les règles de sauvegarde définies pour les environnements sur site doivent être répliquées et adaptées aux environnements cloud.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Selon le Cyberbenchmark réalisé par Wavestone, environ 25% des organisations observées </span></i><i><span data-contrast="none">ont une politique de sauvegarde régulièrement contrôlée et mise à jour, couvrant à la fois le périmètre sur site et celui dans le Cloud.</span></i><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">En outre, environ 29% des organisations externalisent une sauvegarde de leurs données Cloud dans une autre région ou sur site, en s’assurant de leur résilience face à une attaque cyber et en testant ce processus régulièrement.</span></i><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Au-delà de l’exploitabilité des sauvegardes, la sécurisation de l’infrastructure qui les héberge constitue un enjeu tout aussi essentiel et parfois insuffisamment instruit.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<h1><b><span data-contrast="none">2. Renforcer la sécurisation de l’Infrastructure de sauvegarde contre une prise de contrôle par </span></b><b><span data-contrast="none">l’attaquant</span></b></h1>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Avant d’envisager des mécanismes plus avancés, il convient de rappeler que la protection efficace des sauvegardes repose d’abord sur des bonnes pratiques de sécurisation de l’infrastructure de sauvegarde, notamment celles documentées par l’ANSSI [</span><span data-contrast="auto">3]</span><span data-contrast="auto">. Une compromission de cette infrastructure pourrait en effet entraîner l’altération (chiffrement, destruction, etc.) des sauvegardes.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Assurer une défense en profondeur de l’infrastructure de sauvegarde</span></b><span data-ccp-props="{}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Ces bonnes pratiques incluent le cloisonnement des environnements de production et de sauvegarde, l’utilisation de comptes administrateurs dédiés, le durcissement des composants de l’infrastructure (notamment par l’application des guides ANSSI applicables aux systèmes Windows, Linux, etc.). Elles s’appliquent également aux agents de sauvegarde qui peuvent constituer un vecteur de propagation vers les systèmes de production.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">En complément de son durcissement, l’infrastructure de sauvegarde doit faire l’objet d’une supervision technique et cyber.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Mettre en place la supervision technique et cyber des infrastructures de sauvegardes</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">La supervision technique des infrastructures de sauvegarde contribue à garantir leur bon fonctionnement et à détecter toute anomalie. Le traitement effectif des anomalies détectées doit être régulièrement contrôlé.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La supervision cyber de l’infrastructure de sauvegarde s’appuie sur une journalisation et analyse de flux appropriées. Elle doit être en mesure de détecter les principales attaques constatées.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559685&quot;:720,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Maintenir une veille de la menace ciblée sur les sauvegardes</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Une veille sur la menace ciblant les sauvegardes doit être réalisée, au-delà de la veille des vulnérabilités techniques effectuée dans le cadre du maintien en conditions de sécurité de l’infrastructure de sauvegarde. Cette veille sur la menace doit couvrir les modes opératoires utilisés contre les infrastructures de sauvegarde, afin d’anticiper les attaques possibles et d’adapter en conséquence les moyens de protection, de détection et de réaction.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Malgré les mesures prises afin de se prémunir d’une compromission des infrastructures de sauvegardes, le risque de leur destruction logique demeure et doit être anticipé.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<h1 style="text-align: justify;"><strong>Référence</strong></h1>
<p>[1] Wavestone, <a href="https://www.wavestone.com/en/insight/2024-wavestone-cert-report/">CERT</a></p>
<p>[2] ANSSI, <a href="https://messervices.cyber.gouv.fr/guides/fondamentaux-sauvegarde-systemes-dinformation">Sauvegarde des systèmes d&rsquo;information</a></p>
<p>[3] ANSSI, <a href="https://messervices.cyber.gouv.fr/guides/fondamentaux-sauvegarde-systemes-dinformation">Sauvegarde des systèmes d&rsquo;information</a></p>
<p> </p>
<p> </p>
<p style="text-align: justify;"> </p>
<p> </p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/">Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>« Compromise by design » ou comment anticiper une cyberattaque destructrice</title>
		<link>https://www.riskinsight-wavestone.com/2023/07/compromise-by-design-ou-comment-anticiper-une-cyberattaque-destructrice/</link>
					<comments>https://www.riskinsight-wavestone.com/2023/07/compromise-by-design-ou-comment-anticiper-une-cyberattaque-destructrice/#respond</comments>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Thu, 06 Jul 2023 15:00:00 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<category><![CDATA[Reconstruction]]></category>
		<category><![CDATA[résilience]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=20828</guid>

					<description><![CDATA[<p>La plupart des organisations sont encore insuffisamment préparées à une possible compromission de leur Système d’Information conduisant à sa destruction. La prise en compte de ce risque, dès la conception des projets, leur permettra de renforcer significativement leurs capacités de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2023/07/compromise-by-design-ou-comment-anticiper-une-cyberattaque-destructrice/">« Compromise by design » ou comment anticiper une cyberattaque destructrice</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;"><em><span class="TextRun SCXW186184651 BCX0" lang="FR-FR" xml:lang="FR-FR" data-contrast="auto"><span class="NormalTextRun SCXW186184651 BCX0">La plupart des </span><span class="NormalTextRun SCXW186184651 BCX0">organisation</span><span class="NormalTextRun SCXW186184651 BCX0">s</span> <span class="NormalTextRun SCXW186184651 BCX0">sont</span><span class="NormalTextRun SCXW186184651 BCX0"> encore</span><span class="NormalTextRun SCXW186184651 BCX0"> insuffisamment préparé</span><span class="NormalTextRun SCXW186184651 BCX0">e</span><span class="NormalTextRun SCXW186184651 BCX0">s </span><span class="NormalTextRun SCXW186184651 BCX0">à une </span><span class="NormalTextRun SCXW186184651 BCX0">possible compromission </span><span class="NormalTextRun SCXW186184651 BCX0">de leur</span><span class="NormalTextRun SCXW186184651 BCX0"> Système d’Information conduisant à sa destruction</span><span class="NormalTextRun SCXW186184651 BCX0">.</span> <span class="NormalTextRun SCXW186184651 BCX0">L</span><span class="NormalTextRun SCXW186184651 BCX0">a prise</span><span class="NormalTextRun SCXW186184651 BCX0"> en</span><span class="NormalTextRun SCXW186184651 BCX0"> compte</span><span class="NormalTextRun SCXW186184651 BCX0"> de ce risque</span><span class="NormalTextRun SCXW186184651 BCX0">, </span><span class="NormalTextRun SCXW186184651 BCX0">dès</span> <span class="NormalTextRun SCXW186184651 BCX0">la conception des projets</span><span class="NormalTextRun SCXW186184651 BCX0">,</span> <span class="NormalTextRun SCXW186184651 BCX0">leur </span><span class="NormalTextRun SCXW186184651 BCX0">permet</span><span class="NormalTextRun SCXW186184651 BCX0">tra</span><span class="NormalTextRun SCXW186184651 BCX0"> de renforcer significativement </span><span class="NormalTextRun SCXW186184651 BCX0">leurs </span><span class="NormalTextRun SCXW186184651 BCX0">capacités de résilience.</span></span><span class="EOP SCXW186184651 BCX0" data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></em></p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><span data-contrast="auto">Le 17 avril dernier, l’</span><b><span data-contrast="auto">ANSSI</span></b><span data-contrast="auto"> a publié des </span><b><span data-contrast="auto">premiers documents doctrinaux</span></b><span data-contrast="auto"> concernant la </span><b><i><span data-contrast="auto">remédiation</span></i></b><span data-contrast="auto">, qui est définie comme le projet de reprise de contrôle d’un système d’information compromis. Ces documents sont le fruit de l’expérience de l’Agence dans l’accompagnement de victimes d’incidents de sécurité.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce corpus est constitué d’un volet stratégique, d’un volet organisationnel et d’un volet technique. Le volet technique, qui traite à ce stade la remédiation du tier 0 de l’Active Directory</span><span data-contrast="auto">1</span><span data-contrast="auto">, ou encore cœur de confiance, est appelé à s’enrichir </span><b><span data-contrast="auto">d’autres documents à venir</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La démarche proposée par l’ANSSI (E3R) s’articule en 3 étapes :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ol>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="1" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,1],&quot;469777803&quot;:&quot;right&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Endiguement de l’attaquant</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="1" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,1],&quot;469777803&quot;:&quot;right&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Eviction de l’intrus du cœur du SI</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="1" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,1],&quot;469777803&quot;:&quot;right&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Eradication des emprises de l’adversaire</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ol>
<p><span data-contrast="auto">La déclinaison de ces étapes est illustrée à travers </span><b><span data-contrast="auto">3 scénarios types de la remédiation</span></b><span data-contrast="auto">, de niveaux d’ambition croissants, à arbitrer en fonction de </span><b><span data-contrast="auto">l’urgence du redémarrage</span></b><span data-contrast="auto"> et des </span><b><span data-contrast="auto">coûts induits</span></b><span data-contrast="auto"> par les dommages à long terme liés à l’attaque :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ol>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Restaurer au plus vite les services vitaux</span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Reprendre le contrôle du SI</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="2" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Saisir l’opportunité pour préparer une maîtrise durable du SI</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ol>
<p style="text-align: justify;"><span data-contrast="auto">La publication de ce corpus s’inscrit opportunément dans les </span><b><span data-contrast="auto">réflexions et projets menés actuellement</span></b><span data-contrast="auto"> par de </span><b><span data-contrast="auto">nombreux acteurs publics ou privés</span></b><span data-contrast="auto">, afin de </span><b><span data-contrast="auto">renforcer leur résilience</span></b><span data-contrast="auto"> face une </span><b><span data-contrast="auto">cyberattaque réussie</span></b><span data-contrast="auto"> qui compromettrait, voire </span><b><span data-contrast="auto">détruirait massivement leur Système d’Information</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><b><span data-contrast="auto">Sur le terrain, le chemin restant à parcourir</span></b><span data-contrast="auto"> avant de disposer d’un dispositif de remédiation suffisamment éprouvé, </span><b><span data-contrast="auto">s’évalue plutôt en années</span></b><span data-contrast="auto"> qu’en mois pour la plupart des acteurs.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce délai peut s’avérer </span><b><span data-contrast="auto">en décalage</span></b><span data-contrast="auto"> avec l’</span><b><span data-contrast="auto">évolution de la menace</span></b><span data-contrast="auto"> et avec les </span><b><span data-contrast="auto">échéances règlementaires </span></b><span data-contrast="auto">applicables à certains d’entre eux.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Plusieurs raisons, variables selon les acteurs, peuvent expliquer ce constat. On peut néanmoins en relever trois :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ol>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="5" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">La prise de conscience du risque cyber</span></b><span data-contrast="auto">, même si elle progresse, reste </span><b><span data-contrast="auto">encore insuffisante</span></b><span data-contrast="auto"> chez plusieurs </span><b><span data-contrast="auto">décideurs</span></b><span data-contrast="auto">. Entre adresser les priorités du moment et se préparer au long cours à une hypothétique compromission, le choix d’assigner des précieuses ressources humaines et financières est parfois arbitré.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="%1." data-font="Calibri" data-listid="5" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">L’interruption des activités d’une organisation à la suite d’un sinistre informatique a été traitée historiquement via des </span><b><span data-contrast="auto">Plans de Reprise d’Activité</span></b><span data-contrast="auto"> / Disaster Recovery Plan. Leurs atouts et limites pour mener une remédiation restent encore mal identifiés au sein des organisations :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span>
<ol style="list-style-type: lower-alpha;">
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="5" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Ils peuvent présenter, selon les principes de reprise retenus, des </span><b><span data-contrast="auto">atouts en matière de savoir-faire</span></b><span data-contrast="auto"> de séquencement de la reprise du SI (au même titre qu’un arrêt/redémarrage électrique), de capacités de reconstruction unitaires et groupées, de resynchronisation et de réconciliation de données restaurées, …</span> La remédiation pourra alors tirer parti de ces savoir-faire, s’ils ne se sont pas perdus à la suite de l’adoption de nouvelles solutions (ex : secours actif/actif) ou lorsqu’une <b style="font-size: revert; color: initial;"><span data-contrast="auto">« dette »</span></b><span style="font-size: revert; color: initial;" data-contrast="auto"> en matière de maintien en conditions opérationnelles et </span><b style="font-size: revert; color: initial;"><span data-contrast="auto">d’exercices</span></b><span style="font-size: revert; color: initial;" data-contrast="auto"> du DRP s’est installée.</span><span style="font-size: revert; color: initial;" data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:1440,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="5" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Ces plans ont également des </span><b><span data-contrast="auto">limites importantes</span></b><span data-contrast="auto">. Leur architecture repose sur des interconnexions techniques et des réplications de données avec des infrastructures de secours, via lesquelles </span><b><span data-contrast="auto">la compromission pourra se propager</span></b><span data-contrast="auto">. D’autre part, si leur pertinence est avérée dans un contexte déterministe (à tel sinistre correspond telle solution, tel plan), elle l’est nettement moins en raison des caractéristiques et du champ des possibles d’une </span><b><span data-contrast="auto">cyberattaque évolutive</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ol>
</li>
</ol>
<p style="text-align: justify;"><span data-contrast="auto">Ainsi </span><b><span data-contrast="auto">est nécessaire</span></b><span data-contrast="auto"> une </span><b><span data-contrast="auto">approche hybride</span></b><span data-contrast="auto"> mêlant les acteurs de la résilience opérationnelle, ceux du « DRP » et ceux du « cyber ». Celle-ci peut être </span><b><span data-contrast="auto">facilitée ou freinée selon la gouvernance</span></b><span data-contrast="auto"> en place entre ces populations.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:720,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Afin d’</span><b><span data-contrast="auto">accélérer la montée en maturité</span></b><span data-contrast="auto"> nécessaire des acteurs sur le sujet de la remédiation du SI à la suite d’une cyberattaque, </span><b><span data-contrast="auto">plusieurs pistes</span></b><span data-contrast="auto"> peuvent être considérées. Nous en citerons quatre :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ol>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="16" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Aider les décideurs à prendre conscience de la spécificité du risque cyber ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="16" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Ancrer le « compromise by design » dans le quotidien ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="16" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Avoir plusieurs moyens de remédiation à son arc ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="%1." data-font="Calibri" data-listid="16" data-list-defn-props="{&quot;335552541&quot;:0,&quot;335559684&quot;:-1,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769242&quot;:[65533,0],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;%1.&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Partager et capitaliser sur les retours d’expérience.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ol>
<p><img decoding="async" class="aligncenter wp-image-20831 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF.jpg" alt="Schéma listant les pistes d'accélération de montée en maturité dans le cadre de la remédiation du SI à la suite d'une cyberattaque 
1. acculturer les dirigeants et les métiers 
2.ancrer le compromise by design dans le quotidien
3.avoir plusieurs moyens de remédiation à son arc
4. capitaliser sur les retours d'experience" width="1280" height="720" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF.jpg 1280w, https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF-340x191.jpg 340w, https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF-69x39.jpg 69w, https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF-768x432.jpg 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2023/07/Schema-article-recovery-VF-800x450.jpg 800w" sizes="(max-width: 1280px) 100vw, 1280px" /></p>
<p> </p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Aider les décideurs à prendre conscience de la spécificité du risque cyber</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;201341983&quot;:0,&quot;335559738&quot;:240,&quot;335559739&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">La </span><b><span data-contrast="auto">grande majorité des acteurs</span></b><span data-contrast="auto"> n’écarte pas totalement la </span><b><span data-contrast="auto">possibilité d’être vulnérable</span></b><span data-contrast="auto"> à une cyberattaque réussie qui paralyserait leurs activités par la </span><b><span data-contrast="auto">destruction logique de leurs actifs</span></b><span data-contrast="auto"> informatiques.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">En revanche, une partie notable des acteurs n’a pas encore appréhendé que ses </span><b><span data-contrast="auto">moyens existants</span></b><span data-contrast="auto"> en matière de secours informatique sont </span><b><span data-contrast="auto">rarement adaptés</span></b><span data-contrast="auto"> aux spécificités de ce type d’attaque. Une cyberattaque peut en effet </span><b><span data-contrast="auto">remettre en cause la disponibilité </span></b><span data-contrast="auto">et la non-compromission </span><b><span data-contrast="auto">des moyens </span></b><span data-contrast="auto">d’exploitation et d’administration, jusqu’aux postes de travail </span><b><span data-contrast="auto">des acteurs du rétablissement du SI</span></b><span data-contrast="auto">. Le </span><b><span data-contrast="auto">temps nécessaire à la remédiation</span></b><span data-contrast="auto"> d’un SI </span><b><span data-contrast="auto">massivement détruit </span></b><span data-contrast="auto">par une </span><b><span data-contrast="auto">attaque cyber</span></b><span data-contrast="auto"> est communément d’un ordre </span><b><span data-contrast="auto">bien supérieur</span></b><span data-contrast="auto"> à celui partagé avec le métier dans le cas d’un </span><b><span data-contrast="auto">sinistre physique</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Plusieurs acteurs n’ont pas non plus encore pleinement mesuré l’impact de la </span><b><span data-contrast="auto">menace cyber liée </span></b><span data-contrast="auto">à leur </span><b><span data-contrast="auto">écosystème</span></b><span data-contrast="auto">, par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="8" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Si leurs </span><b><span data-contrast="auto">fournisseurs</span></b><span data-contrast="auto"> de services informatiques de </span><b><span data-contrast="auto">premier rang </span></b><span data-contrast="auto">(infogérant, fournisseur de service Cloud, …), voire des fournisseurs </span><b><span data-contrast="auto">de rang supérieur</span></b><span data-contrast="auto">, sont eux-mêmes </span><b><span data-contrast="auto">impactés par une attaque destructrice</span></b><span data-contrast="auto"> réussie ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="8" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">Si un acteur </span><b><span data-contrast="auto">subit une cyberattaque</span></b><span data-contrast="auto">, avérée ou non, réussie ou non, </span><b><span data-contrast="auto">ses partenaires</span></b><span data-contrast="auto"> en ayant connaissance pourront, à des fins de protection, l’</span><b><span data-contrast="auto">isoler de façon unilatérale</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">La sensibilisation des décideurs d’une organisation au risque cyber, à sa déclinaison systémique et à l’impact sur l’activité, doit être développée. Dans le secteur financier, la règlementation </span><b><span data-contrast="auto">DORA</span></b><span data-contrast="auto"> ou ses équivalents dans certains pays extra-européens ainsi que les </span><b><span data-contrast="auto">stress-tests</span></b><span data-contrast="auto"> annoncés par la Banque Centrale Européenne pour </span><b><span data-contrast="auto">2024</span></b><span data-contrast="auto">, devraient y contribuer.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Pour nombre de décideurs, </span><b><span data-contrast="auto">trop de mots techniques</span></b><span data-contrast="auto"> habillent ce </span><b><span data-contrast="auto">risque de cyber destruction</span></b><span data-contrast="auto">. Contrairement à des enjeux de conformité, tels que le RGPD, appréhendables par des non-initiés, ce risque est </span><b><span data-contrast="auto">perçu comme un sujet traité entre techniciens</span></b><span data-contrast="auto">. Néanmoins, le sujet est de plus en plus abordé au niveau des comités exécutifs via, par exemple la présence du RSSI/CISO au COMEX et/ou via des intervenants externes rompus à l’exercice d’acculturation des dirigeants.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Ancrer le « compromise by design » dans le quotidien</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;201341983&quot;:0,&quot;335559738&quot;:240,&quot;335559739&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p style="text-align: justify;"><b><span data-contrast="auto">Prendre en compte</span></b><span data-contrast="auto">, </span><b><span data-contrast="auto">depuis la conception des projets jusqu’aux activités d’exploitation</span></b><span data-contrast="auto">, une </span><b><span data-contrast="auto">possible compromission du Système d’Information</span></b><span data-contrast="auto"> conduisant à sa destruction, permet de renforcer significativement les capacités de résilience du SI.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Dès les premières phases projet, les métiers peuvent être sollicités pour </span><b><span data-contrast="auto">identifier et évaluer</span></b><span data-contrast="auto">, avec le support des équipes techniques, des </span><b><span data-contrast="auto">solutions par conception cyber-résilientes</span></b><span data-contrast="auto">. Il peut s’agir entre autres :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">De faire appel à des fournisseurs de </span><b><span data-contrast="auto">solutions nominales indépendantes techniquement du SI de l’organisation</span></b><span data-contrast="auto">, afin de ne pas faire reposer ses activités exclusivement sur son seul SI ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">D’héberger et d’opérer/faire opérer des </span><b><span data-contrast="auto">solutions de secours</span></b> <b><span data-contrast="auto">en dehors du SI</span></b><span data-contrast="auto"> de l’organisation ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="auto">De recourir à des </span><b><span data-contrast="auto">modèles d’architecture cyber-résilientes</span></b><span data-contrast="auto"> sur catalogue « on-premise » ou hébergées dans le Cloud. Ils sont également conçus pour permettre d’éprouver leur résilience tout en limitant l’impact des tests sur la production ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">De concevoir des projets permettant un </span><b><span data-contrast="auto">fonctionnement en mode dégradé</span></b><span data-contrast="auto"> via :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">L’extraction périodique de données métiers au format bureautique, externalisée et protégée dans un service externe de stockage de fichiers ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">La capacité d’applications (et de services tels que la restauration) à fonctionner sans certains services transverses tels que les référentiels d’authentification de l’AD via des comptes locaux de secours, … ; </span></li>
</ul>
</li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="9" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1">D’élaborer des <b style="color: initial;"><span data-contrast="auto">procédures dégradées métiers</span></b><span style="color: initial;" data-contrast="auto"> s’appuyant sur les moyens SI dégradés tels que ceux définis précédemment.</span><span style="color: initial;" data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">En outre, l’opportunité de certaines pratiques, bien qu’antinomiques avec des objectifs d’homogénéisation et d’industrialisation, peut être considérée en phase de conception technique, notamment :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="10" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><b><span data-contrast="auto">Favoriser la diversité des technologies</span></b><span data-contrast="auto"> de façon à limiter l’exploitation d’une vulnérabilité ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="10" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><b><span data-contrast="auto">Limiter la dépendance </span></b><span data-contrast="auto">des applications </span><b><span data-contrast="auto">avec le SI transverse</span></b><span data-contrast="auto"> afin de les </span><b><span data-contrast="auto">reconstruire</span></b><span data-contrast="auto"> et de les rendre opérationnelles </span><b><span data-contrast="auto">plus rapidement</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">En </span><b><span data-contrast="auto">phase de recette</span></b><span data-contrast="auto">, le fonctionnement métier en </span><b><span data-contrast="auto">mode dégradé</span></b><span data-contrast="auto"> et la capacité à </span><b><span data-contrast="auto">reconstruire</span></b><span data-contrast="auto"> une application peuvent être </span><b><span data-contrast="auto">éprouvés de façon systématique</span></b><span data-contrast="auto"> avant mise en production. Ce test peut être revu si besoin à chaque évolution majeure. Il doit être </span><b><span data-contrast="auto">réitéré périodiquement</span></b><span data-contrast="auto"> à travers des exercices qui permettront d’éprouver les capacités de remédiation et de </span><b><span data-contrast="auto">faire monter en compétence</span></b><span data-contrast="auto"> les différents acteurs opérationnels.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><b><span data-contrast="auto">Au-delà de la phase projet</span></b><span data-contrast="auto">, plus des pratiques de </span><b><span data-contrast="auto">reconstruction </span></b><span data-contrast="auto">des actifs pourront être intégrées dans le quotidien (</span><b><span data-contrast="auto">« Business As Usual »</span></b><span data-contrast="auto">), mieux elles seront maîtrisées et par davantage d’acteurs en cas de remédiation, par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="11" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:768,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Reconstruction</span></b><span data-contrast="auto">, une ou deux fois par an, à partir de moyens hors SI (ex : services Cloud ou moyens hors ligne), </span><b><span data-contrast="auto">des postes de travail</span></b><span data-contrast="auto"> utilisés pour les tâches </span><b><span data-contrast="auto">d’administration et/ou d’activités critiques</span></b><span data-contrast="auto"> ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="11" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:768,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><b><span data-contrast="auto">Reconstruction</span></b><span data-contrast="auto">, une fois par an, </span><b><span data-contrast="auto">d’infrastructures essentielles</span></b><span data-contrast="auto"> au rétablissement du SI (ex : infrastructures de restauration, cœur de confiance, socle de virtualisation, …), à déterminer sur la base de l’analyse de la menace et des risques ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="11" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:768,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="auto">Développement de </span><b><span data-contrast="auto">pratiques CI/CD</span></b><span data-contrast="auto"> au quotidien, notamment dans les environnements Cloud, afin d’automatiser la </span><b><span data-contrast="auto">recréation des serveurs</span></b><span data-contrast="auto"> pour leur appliquer des changements, tels qu’une montée de version ou des correctifs.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Enfin, maintenir au quotidien la </span><b><span data-contrast="auto">cartographie du SI </span></b><span data-contrast="auto">(y compris ses interconnexions avec les partenaires et Internet)</span><b><span data-contrast="auto"> et ses interdépendances à jour</span></b><span data-contrast="auto"> est un facteur clef de la remédiation, qu’il faut soutenir via des processus, un outillage (cyber-résilient) et des contrôles adaptés.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Avoir plusieurs moyens de remédiation à son arc</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;201341983&quot;:0,&quot;335559738&quot;:240,&quot;335559739&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Face à la difficulté de prévoir à l’avance le déroulement d’une cyberattaque et l’évolution de ses impacts, la préparation d’un plan nécessite de trouver le juste milieu entre deux excès :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="12" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Élaborer des solutions de reconstruction adaptées à </span><b><span data-contrast="auto">nombre trop restreint de scénarios d’attaque</span></b><span data-contrast="auto">, avec le risque inhérent aux </span><b><span data-contrast="auto">impasses</span></b><span data-contrast="auto">,</span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="12" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Ou, au contraire, chercher à couvrir l’</span><b><span data-contrast="auto">exhaustivité des scénarios possibles</span></b><span data-contrast="auto">, au prix d’une </span><b><span data-contrast="auto">perte notable d’efficience</span></b><span data-contrast="auto">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Une </span><b><span data-contrast="auto">analyse de risque réactualisée</span></b><span data-contrast="auto"> des scénarios possibles d’attaque, s’appuyant notamment sur une </span><b><span data-contrast="auto">veille de la menace</span></b><span data-contrast="auto">, </span><b><span data-contrast="auto">permet de prioriser</span></b><span data-contrast="auto"> ceux à couvrir, tels que ceux qui présentent la plus forte vraisemblance de réussite et l’impact le plus important dans le contexte de l’organisation. </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Cette analyse facilite l’</span><b><span data-contrast="auto">identification des hypothèses </span></b><span data-contrast="auto">qui vont servir d’entrants à l’élaboration des plans. Par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="17" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">Prévoir la </span><b><span data-contrast="auto">reconstruction industrialisée de la couche de virtualisation</span></b><span data-contrast="auto"> de serveurs physiques n’apparaissait pas comme une nécessité pour la grande majorité des acteurs il y a encore un an ; elle est désormais identifiée comme essentielle.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="17" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="auto">La destruction des ressources Cloud via la </span><b><span data-contrast="auto">compromission de l’accès au tenant</span></b><span data-contrast="auto"> (comptes maître ou accès API) voire la </span><b><span data-contrast="auto">compromission du fournisseur Cloud</span></b><span data-contrast="auto"> lui-même, apparaît pour plusieurs acteurs comme un nouveau risque à prendre en compte dans leur stratégie de résilience Cloud.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Une fois des </span><b><span data-contrast="auto">hypothèses de travail</span></b> <b><span data-contrast="auto">choisies</span></b> <b><span data-contrast="auto">ou écartées </span></b><span data-contrast="auto">(ex : tels types de composants et de technologies impactés, telles capacités résiduelles des codes malicieux une fois ses moyens d’interagir avec l’attaquant coupés, …), il est possible d’</span><b><span data-contrast="auto">évaluer la pertinence des différents moyens possibles de reconstruction</span></b><span data-contrast="auto"> et de mieux </span><b><span data-contrast="auto">prioriser les travaux</span></b><span data-contrast="auto"> :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="14" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><b><span data-contrast="auto">Restauration</span></b><span data-contrast="auto"> de systèmes et/ou de données métiers à partir de sauvegardes, le cas échéant dans un environnement isolé (ex : à partir de « snapshots », de sauvegardes hors ligne ou « immuables ») ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="14" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">« </span><b><span data-contrast="auto">Nettoyage</span></b><span data-contrast="auto"> » des environnements restaurés et potentiellement déjà compromis lors de leur sauvegarde (ex : via un antivirus pour les fichiers bureautiques et systèmes potentiellement compromis, via un EDR sur des systèmes relancés dans un environnement isolé ou via des solutions pouvant nettoyer directement l’image sauvegardée d’un serveur virtuel) ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="14" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><b><span data-contrast="auto">Réinstallation</span></b><span data-contrast="auto"> de couches techniques compromises (ex : OS, middleware …) ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="14" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><b><span data-contrast="auto">Réapprovisionnement des infrastructures</span></b><span data-contrast="auto"> virtuelles (ex : Terraform, …) ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li style="text-align: justify;" data-leveltext="" data-font="Symbol" data-listid="14" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Stratégies et solutions pouvant couvrir à la fois le risque de sinistre classique et le sinistre cyber (ex : SI de secours indépendant du SI nominal, dont les données métiers sont rafraîchies par un dispositif maintenant l’étanchéité technique).</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Cette évaluation doit pouvoir conduire à l’élaboration d’un </span><b><span data-contrast="auto">« catalogue » de moyens de remédiation</span></b><span data-contrast="auto">., dont l’application doit être contextualisée au moment du traitement de l’attaque. En complément de chaque solution de reconstruction au catalogue, </span><b><span data-contrast="auto">l’identification d’une solution alternative</span></b><span data-contrast="auto"> – peut-être moins industrialisée – </span><b><span data-contrast="auto">permettra de mieux faire face à l’aléa</span></b><span data-contrast="auto"> du contexte de l’attaque.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<h2 style="text-align: justify;" aria-level="1"><span data-contrast="none">Partager et capitaliser sur les retours d’expérience</span><span data-ccp-props="{&quot;134245418&quot;:true,&quot;134245529&quot;:true,&quot;201341983&quot;:0,&quot;335559738&quot;:240,&quot;335559739&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p style="text-align: justify;"><span data-contrast="auto">Afin de gagner plus rapidement en maturité et en efficience dans le domaine de la remédiation, les acteurs du marché gagnent à capitaliser sur l’expérience des autres.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Il peut s’agir de capitaliser via :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="18" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="auto">Des études, telle que le </span><b><span data-contrast="auto">corpus doctrinal publié par l’ANSSI </span></b><span data-contrast="auto">;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="18" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="auto">Des </span><b><span data-contrast="auto">échanges directs</span></b><span data-contrast="auto"> avec ses pairs </span><b><span data-contrast="auto">ou par l’intermédiaire d’acteurs tiers</span></b><span data-contrast="auto"> ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="18" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="auto">Des </span><b><span data-contrast="auto">groupes de travail</span></b><span data-contrast="auto"> où son écosystème de partenaires sera si possible représenté.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Les retours d’expérience à rechercher peuvent porter sur la spécificité du contexte cyber dans la remédiation mais également sur des aspects plus classiques liés à la reconstruction d’un SI tels que :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les méthodes et démarches mises en œuvre ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les solutions du marché éprouvées (au-delà des promesses) ; </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les performances atteintes (délais de reconstruction) ; </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les coûts ; </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les aspects logistiques et RH (proches de la gestion de crise) ; </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="15" data-list-defn-props="{&quot;335552541&quot;:1,&quot;335559684&quot;:-2,&quot;335559685&quot;:720,&quot;335559991&quot;:360,&quot;469769226&quot;:&quot;Symbol&quot;,&quot;469769242&quot;:[8226],&quot;469777803&quot;:&quot;left&quot;,&quot;469777804&quot;:&quot;&quot;,&quot;469777815&quot;:&quot;hybridMultilevel&quot;}" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="auto">Les aspects plus fonctionnels tels que la réconciliation de données, faisant suite à des points de restauration différents et à des flux perdus avec des tiers.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<p><strong>Autres articles sur le sujet de la remédiation : </strong></p>
<p><a href="https://www.riskinsight-wavestone.com/2023/06/survivre-a-une-compromission-dactive-directory-les-principaux-enseignements-pour-ameliorer-le-processus-de-reconstruction/"><span data-contrast="auto">Survivre à une compromission d’Active Directory : les principaux enseignements pour améliorer le processus de reconstruction</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></a></p>
<p><a href="https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/"><span data-contrast="auto">Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?</span></a><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p><a href="https://www.riskinsight-wavestone.com/en/2023/02/approaches-to-quick-active-directory-recov"><span data-contrast="auto">Reconstruction d’Active Directory : comment se donner les moyens d’y parvenir ?</span></a><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p><span data-contrast="auto">A venir prochainement sur </span><a href="https://www.riskinsight-wavestone.com/"><span data-contrast="none">https://www.riskinsight-wavestone.com/</span></a><span data-contrast="auto"> : la remédiation des postes de travail</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<p> </p>
<p> </p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2023/07/compromise-by-design-ou-comment-anticiper-une-cyberattaque-destructrice/">« Compromise by design » ou comment anticiper une cyberattaque destructrice</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2023/07/compromise-by-design-ou-comment-anticiper-une-cyberattaque-destructrice/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>L’OSINT ou le renseignement 2.0</title>
		<link>https://www.riskinsight-wavestone.com/2022/11/losint-ou-le-renseignement-2-0/</link>
					<comments>https://www.riskinsight-wavestone.com/2022/11/losint-ou-le-renseignement-2-0/#respond</comments>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Fri, 25 Nov 2022 09:00:00 +0000</pubDate>
				<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Intelligence]]></category>
		<category><![CDATA[OSINT]]></category>
		<category><![CDATA[renseignement]]></category>
		<category><![CDATA[ROSO]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=19065</guid>

					<description><![CDATA[<p>Fin mai 2020, deux voitures de police sont incendiées lors de manifestations à Philadelphie. Des photos de l’événement postées sur Instagram et des recoupements de pseudonymes, visibles sur les sites Etsy, Poshmark et LinkedIn, vont conduire[1] un enquêteur du FBI...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2022/11/losint-ou-le-renseignement-2-0/">L’OSINT ou le renseignement 2.0</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Fin mai 2020, deux voitures de police sont incendiées lors de manifestations à Philadelphie. Des photos de l’événement postées sur Instagram et des recoupements de pseudonymes, visibles sur les sites Etsy, Poshmark et LinkedIn, vont conduire<a href="#_ftn1" name="_ftnref1">[1]</a> un enquêteur du FBI à suspecter une personne qui sera par la suite condamnée.</p>
<ul style="text-align: justify;">
<li>Dans cette affaire, le FBI a fait appel à des techniques de <em>Renseignement d’Origine Sources Ouvertes</em> (ROSO) ou <em>Open Source INTelligence</em> (OSINT) dans son appellation anglaise plus usitée.</li>
</ul>
<p> </p>
<h1 style="text-align: justify;">Aperçu et cas d’usage</h1>
<p> </p>
<p style="text-align: justify;">Derrière la myriade d’acronymes liés à l’OSINT (SOCMINT, GEOINT et consors) se cache finalement une méthodologie unique : identifier et consolider des informations variées relatives à une cible, en s’appuyant sur des outils et services accessibles publiquement. De manière similaire à des activités d’audit technique, la démarche sous-jacente sera itérative, avec son lot de faux-positifs et ses impasses.</p>
<p style="text-align: justify;">Indépendamment des informations recherchées, les techniques utilisées pourront aller d’une passivité complète (recherche sans être authentifié, sans laisser de traces) à une interactivité beaucoup plus forte (envoi de mails, abonnement ou interaction sur réseau social …).</p>
<p style="text-align: justify;">Bien que ce champ spécifique de la cybersécurité évolue rapidement, les constantes seront :</p>
<ul style="text-align: justify;">
<li>Rester humble et critique quant à la qualité des sources et informations récupérées.</li>
<li>Rester conscient des traces générées et laissées à la suite de nos recherches.</li>
<li>Considérer les aspects légaux, notamment concernant la recherche et la rétention de données personnelles.</li>
</ul>
<p style="text-align: justify;">A l’heure actuelle, les possibilités offertes par les méthodes et outils d’OSINT permettent de consolider de l’information dans des domaines divers :</p>
<ul style="text-align: justify;">
<li>Du côté organisationnel et humain, il s’agira essentiellement d’investigations financières, d’obtention d’une vue consolidée de la concurrence, ou bien de chasseurs de tête ou avocats.</li>
<li>Côté technique, les objectifs pourront être la réalisation d’une veille proactive sur les acteurs et les menaces, ou bien l’obtention d’un aperçu de l’exposition d’une organisation sur Internet, avec recherche de points d’entrées techniques ou de données fuitées.</li>
</ul>
<p style="text-align: justify;">Dans les deux cas, les attaquants déploient des méthodologies similaires pour arriver à leurs fins, qu’il s’agisse de doxing, de chantage ou de fraude, ou bien simplement de la phase de reconnaissance d’une cyberattaque plus étendue.</p>
<p> </p>
<p style="text-align: justify;"><img decoding="async" class="aligncenter wp-image-19066 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT.png" alt="" width="1557" height="885" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT.png 1557w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT-336x191.png 336w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT-69x39.png 69w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT-768x437.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2022/11/Avant-marche-OSINT-1536x873.png 1536w" sizes="(max-width: 1557px) 100vw, 1557px" /></p>
<h1> </h1>
<h1 style="text-align: justify;">Quel marché pour l’OSINT ?</h1>
<p> </p>
<p style="text-align: justify;">Le <strong>marché</strong> de l’OSINT est <strong>en pleine croissance</strong> (+20 à +25% par an en moyenne selon les études<a href="#_ftn2" name="_ftnref2">[2]</a>).</p>
<p style="text-align: justify;">On y retrouve notamment les acteurs liés aux solutions marketing, à l’intelligence économique et à la sécurité intérieure ; ainsi que les acteurs liés au renseignement sur la menace cyber ou à la fourniture de solutions plus spécifiques à l’OSINT.</p>
<ul style="text-align: justify;">
<li>Les <strong>plateformes de veille marketing</strong>, telles que Brandwatch, Cikisi ou Digimind, qui vont par exemple pouvoir analyser ce qui est dit sur les réseaux sociaux sur telle marque.</li>
<li>Les acteurs spécialisés dans le <strong>conseil et les investigations</strong> en matière d’<strong>intelligence économique</strong>, tels qu&rsquo;Avisa partners/CEIS, ADIT ou Axis&amp;Co.</li>
<li>Les solutions orientées <strong>sécurité intérieure</strong>, avec des acteurs :
<ul>
<li>français, tel Thales avec OSINTLab utilisé par la Gendarmerie Nationale, ou Airbus ;</li>
<li>étrangers, tel l’américain Palantir, utilisé transitoirement par des administrations régaliennes françaises, dans l’attente d’une alternative souveraine encouragée par les pouvoirs publics<a href="#_ftn3" name="_ftnref3">[3]</a>.</li>
</ul>
</li>
<li>Les acteurs du renseignement sur <strong>la menace cyber</strong> (Threat Intelligence) :
<ul>
<li>travaillant plus classiquement sur les groupes d&rsquo;attaquants, les tendances, les vulnérabilités, tels que Sekoia et Tehtris ;</li>
<li>ayant la capacité d’automatiser des recherches, telles que les fuites d’informations sur la base de mots clefs (par ex. CybelAngel) ou l&#8217;empreinte numérique d’un ensemble de personnes (par ex. AnozrWay).</li>
</ul>
</li>
<li>Les fournisseurs de solutions commerciales spécifiques, utilisées notamment à des fins :
<ul>
<li>de <strong>surveillance automatisée</strong> de sources de données du Web, voire du Darknet, tels que Fivecast Onyx ou Aleph Networks ;</li>
<li>de <strong>retranscription/indexation de la parole</strong> issue par exemple de vidéos postées en ligne, tel que Chapvision et de <strong>traitement du langage naturel</strong>, tel que expert.ai ;</li>
<li>d’<strong>aide à l’investigation</strong>, tel que Maltego ou Osidian.</li>
</ul>
</li>
</ul>
<p> </p>
<h1 style="text-align: justify;">Outils</h1>
<p> </p>
<p style="text-align: justify;">Le panel des outils OSINT essentiels est constamment changeant, et largement à adapter en fonction des objectifs fixés. On compte principalement les typologies suivantes :</p>
<ul style="text-align: justify;">
<li>Les outils publics, tels que les grands moteurs de recherche (Google, Yandex, Bing …) et leurs services de reverse lookup, les sites de stockage et d’archive (Pastebeen, WaybackMachine …), les services de tracking (avions, bateaux …) ainsi que certains réseaux sociaux.</li>
<li>Les services SaaS spécialisés, disposant le plus souvent d’offre d’essai ou de versions gratuites, mais qui limitent généralement la quantité et qualité de l’information présentée. Les cas d’usage peuvent être orientés vers la recherche de personnes (Lusha, Kaspr, Anywho, Hunter.io …), de recherche de visages (TinEye, PimEyes), de recherche d’informations techniques (Shodan, IntelX.io, Onyphe, BinaryEdge), voire de recherche de fuites (HaveIbeenpwnd, DeHashed …).</li>
</ul>
<p style="text-align: justify;">Des boîtes à outils diverses, comptant des frameworks complets (Maltego, Lampyre), ainsi qu’un grand nombre d’outils et scripts open-source (GHunt, Maigret, Phoneinfoga …). Une majorité de ces outils s’appuieront sur une automatisation via Selenium, et se confronteront aux limitations d’API et contremesures éventuelles des services visés.</p>
<p style="text-align: justify;">Dans le cadre d’une investigation, la clé sera de positionner nos besoins sur le triptyque Qualité de l’information / Prix de l’information / Simplicité d’accès (rapidité, développements spécifiques …), et d’adapter le choix des outils en conséquence, au vu du temps et des moyens financiers déployés.</p>
<p style="text-align: justify;">Le cadre juridique entourant les activités d’OSINT étant souvent flou et pouvant dépendre des pays ou zones géographiques, la pérennité de certains outils et plateformes n’est jamais assurée. D’où l’utilité d’avoir une boîte à outils redondante, et d’actualiser cette dernière régulièrement. A titre d’exemple, le site de recherche d’informations techniques Spyse, hébergé principalement en Ukraine, a vu ses services interrompus depuis Mars 2022.</p>
<p> </p>
<h1 style="text-align: justify;">Comment se protéger d’un usage malveillant de l’OSINT ?</h1>
<p> </p>
<p style="text-align: justify;">Trois conseils peuvent être donnés aux acteurs souhaitant limiter l’exposition de leur empreinte numérique :</p>
<p style="text-align: justify;">1/ (Faites) <strong>rechercher votre empreinte numérique</strong> sur Internet et nettoyez ce qui peut l’être (fermer ses comptes inutiles, ne pas exposer d’information non souhaitée – notamment à l’aide des paramètres de confidentialité).</p>
<p style="text-align: justify;">2/ <strong>Diversifiez et cachez</strong> vos identifiants et mots de passe (ex : évitez de laisser des informations permettant de faire un rapprochement avec votre identité, dans les comptes que vous choisissez ou qui vous sont proposés par défaut).</p>
<p style="text-align: justify;">3/ <strong>Avant de poster</strong> du contenu public, <strong>réfléchissez</strong> si celui-ci pourrait être exploité contre vous ; <strong>parlez</strong> de ce sujet <strong>avec vos proches</strong> en leur rappelant qu’Internet n’oublie pas.</p>
<p> </p>
<h1 style="text-align: justify;">Quel cadre règlementaire applicable à l’OSINT ?</h1>
<p> </p>
<p style="text-align: justify;">Il n’existe pas en France de cadre règlementaire spécifique applicable à l’OSINT, ce qui est également généralement le cas à l’étranger. Le <strong>cadre légal existant</strong> est cependant applicable, en particulier :</p>
<ul style="text-align: justify;">
<li>La <strong>loi Godefrain</strong> qui va réprimer le fait <strong>d&rsquo;accéder</strong>, de <strong>se maintenir</strong> frauduleusement dans un système d&rsquo;information, d&rsquo;<strong>extraire</strong>, de <strong>détenir</strong> ou de <strong>reproduire</strong> <strong>frauduleusement</strong> ses informations. Le caractère frauduleux peut dans certains cas consister à <strong>contourner un simple mécanisme de sécurité</strong> ou à <strong>télécharger des fichiers exposés par erreur</strong>. Il est <strong>apprécié</strong>, <strong>au cas par cas</strong>, par des juges dont le niveau de familiarisation avec le numérique peut être variable.</li>
<li>Le Règlement Général sur la Protection des Données (<strong>RGPD</strong>). La CNIL a par exemple condamné<a href="#_ftn4" name="_ftnref4">[4]</a> en octobre 2022 la société ClearView AI, champion de l’indexation des photos de visages sur Internet. Clearview annonce un objectif de 100 milliards de photos indexées, soit 10 fois plus qu’en 2020.</li>
</ul>
<p style="text-align: justify;">En complément du cadre règlementaire applicable aux pays concernés et dont les jurisprudences peuvent diverger, il est souhaitable que les acteurs menant des activités d’OSINT s’inscrivent dans un cadre de bonnes pratiques. On peut mentionner à cet effet le Berkeley Protocol<a href="#_ftn5" name="_ftnref5">[5]</a>, même si ce dernier est plus particulièrement orienté vers les investigations.</p>
<p> </p>
<h1 style="text-align: justify;">Que peut concrètement apporter l’OSINT en matière de cybersécurité ?</h1>
<p> </p>
<p style="text-align: justify;">La prolifération des techniques et outils d’OSINT, accessibles au plus grand nombre, peut faciliter son usage et son industrialisation à des fins offensives, vis-à-vis de systèmes d’informations, de personnes et d’organisations.</p>
<p style="text-align: justify;">Se mettre à la place d’un attaquant, en recourant comme lui à l’OSINT, est une façon de mieux s’en protéger. C’est ainsi que l’OSINT trouve notamment sa place dans certaines analyses de risque, démarches de sensibilisation de personnes exposées, ou missions <em>RedTeam. </em>Mais toujours dans un cadre légal et éthique auquel, l’attaquant, lui, ne s’astreindra pas.</p>
<p> </p>
<p style="text-align: justify;">_________________________________</p>
<p style="text-align: justify;"><a href="#_ftnref1" name="_ftn1">[1]</a> Détail du rapport <a href="https://heavy.com/wp-content/uploads/2020/06/merged_87745_-1-1592492707.pdf"><em>https://heavy.com/wp-content/uploads/2020/06/merged_87745_-1-1592492707.pdf</em></a></p>
<p style="text-align: justify;"><a href="#_ftnref2" name="_ftn2">[2]</a> Notamment Open-Source Intelligence (OSINT) Market by GMInsights <a href="https://www.gminsights.com/industry-analysis/open-source-intelligence-osint-market"><em>https://www.gminsights.com/industry-analysis/open-source-intelligence-osint-market</em></a><em> et Open-Source Intelligence (OSINT) Market by Market Research Future </em><a href="https://www.marketresearchfuture.com/reports/open-source-intelligence-market-4545"><em>https://www.marketresearchfuture.com/reports/open-source-intelligence-market-4545</em></a></p>
<p style="text-align: justify;"><a href="#_ftnref3" name="_ftn3">[3]</a> « Chapsvision annonce l’acquisition d’Ockham Solutions après avoir finalisé celle de Deveryware » <a href="https://www.aefinfo.fr/depeche/680407">https://www.aefinfo.fr/depeche/680407</a>  et « Une alternative française au logiciel d&rsquo;analyse de données de Palantir est possible, d&rsquo;après Thales » <a href="https://www.usine-digitale.fr/article/une-alternative-francaise-au-logiciel-d-analyse-de-donnees-de-palantir-est-possible-d-apres-thales.N1020429">https://www.usine-digitale.fr/article/une-alternative-francaise-au-logiciel-d-analyse-de-donnees-de-palantir-est-possible-d-apres-thales.N1020429</a></p>
<p style="text-align: justify;"><a href="#_ftnref4" name="_ftn4">[4]</a> « Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI »  <a href="https://www.cnil.fr/fr/reconnaissance-faciale-sanction-de-20-millions-deuros-lencontre-de-clearview-ai">https://www.cnil.fr/fr/reconnaissance-faciale-sanction-de-20-millions-deuros-lencontre-de-clearview-ai</a></p>
<p style="text-align: justify;"><a href="#_ftnref5" name="_ftn5">[5]</a> « Berkeley Protocol on Digital Open Source Investigations » <a href="https://www.ohchr.org/sites/default/files/2022-04/OHCHR_BerkeleyProtocol.pdf">https://www.ohchr.org/sites/default/files/2022-04/OHCHR_BerkeleyProtocol.pdf</a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2022/11/losint-ou-le-renseignement-2-0/">L’OSINT ou le renseignement 2.0</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2022/11/losint-ou-le-renseignement-2-0/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche</title>
		<link>https://www.riskinsight-wavestone.com/2019/08/le-dorking-ou-la-peche-aux-informations-sensibles-via-les-moteurs-de-recherche/</link>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Sat, 31 Aug 2019 08:48:07 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[data protection]]></category>
		<category><![CDATA[données]]></category>
		<category><![CDATA[Dorking]]></category>
		<category><![CDATA[moteur de recherche]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12050</guid>

					<description><![CDATA[<p>Les moteurs de recherche publics ou internes aux organisations offrent un moyen de « pêcher » des informations sensibles et techniquement accessibles à tous via des mots clefs bien choisis – les « Dorks ». Deux actes médiatisés ces dernières...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/08/le-dorking-ou-la-peche-aux-informations-sensibles-via-les-moteurs-de-recherche/">Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Les <strong>moteurs de recherche publics ou internes </strong>aux organisations offrent un moyen de « pêcher » des <strong>informations sensibles et techniquement accessibles à tous</strong> via des <strong>mots clefs bien choisis</strong> – les « <strong>Dorks</strong> ».</p>
<figure id="post-12055 media-12055" class="align-center"><img loading="lazy" decoding="async" class="aligncenter wp-image-12055" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1.png" alt="" width="335" height="196" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1.png 774w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1-120x70.png 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1-326x191.png 326w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1-768x449.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/Image-1-67x39.png 67w" sizes="auto, (max-width: 335px) 100vw, 335px" /></figure>
<p>Deux actes médiatisés ces dernières années l’illustrent parmi bien d’autres : la fuite des <strong>données d’un parti politique français </strong>retrouvées sur le site de son hébergeur, en utilisant un Dork du type « <em>Index of /</em>», ou la découverte, par des services de contre-espionnage, de <strong>sites internet servant pour la communication entre une agence étatique et ses informateurs</strong>, entraînant la mort de plusieurs dizaines d’entre eux.</p>
<p>Sur Internet, la pêche aux « Dorks » s’exerce via des <strong>moteurs de recherche tels que Google et Bing</strong> mais également sur <strong>des moteurs hors US/EU</strong> qui, tout comme les <strong>sites d’archivage </strong>de pages web, sont<strong> susceptibles de conserver des informations retirées </strong>des bases d’index <strong>des moteurs de recherche classiques</strong>.</p>
<p>A titre illustratif, la recherche suivante : « <em>inurl:files intext:nationalité filetype:xls intext:&lt;un prénom ou un nom de famille type&gt;</em> » entrée sur un moteur de recherche largement utilisé, est susceptible de retrouver des fichiers Excel où figurent des informations nominatives mentionnant la nationalité de personnes. Cependant <strong>un seul mot bien choisi</strong>, par exemple le nom d’une <strong>application métier </strong>recherché sur Internet ou le mot « <strong>salaire</strong> » recherché sur l’intranet, peut <strong>suffire à</strong> <strong>pêcher des informations très sensibles</strong>.</p>
<figure id="post-12057 media-12057" class="align-center"><img loading="lazy" decoding="async" class="aligncenter wp-image-12057" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/image-2.png" alt="" width="201" height="173" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/image-2.png 604w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/image-2-222x191.png 222w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/09/image-2-45x39.png 45w" sizes="auto, (max-width: 201px) 100vw, 201px" /></figure>
<p>Les moteurs de recherche internes à certains sites peuvent être également exploités. C’est le cas, par exemple, <strong>des sites spécialisés dans la mise en ligne de codes sources</strong> (ex : GitHub) ou de <strong>morceaux de textes</strong> (ex : PasteBin), des sites de <strong>forums techniques</strong> d’éditeurs de logiciels, ou de <strong>sites de CV </strong>en ligne contenant des descriptions parfois très précises sur des environnements techniques sensibles.</p>
<p>Le « <strong>Dorking</strong> » est <strong>à la portée du plus grand nombre</strong>, grâce aux nombreux <strong>tutoriels</strong> accessibles sur Internet, aux <strong>formulaires de recherches étendues</strong> (ex : celui de startpage.com) et surtout aux <strong>sites référençant des milliers de Dorks</strong> (ex : Google Hacking Database) organisés en fonction de l’usage attendu tel que retrouver des « Fichiers contenant des mots de passe ».</p>
<p>Le Dorking s’effectue plus communément à l’aide de <strong>recherches manuelles</strong> mais est susceptible d’être <strong>industrialisé</strong> grâce à des « <strong>Dork scanners</strong> » comme Zeus-scanner ou à l’aide d<strong>’outils PowerShell</strong> (PnP-PowerShell) pour les recherches dans Office365.</p>
<p>Pour <strong>se prémunir de l’exploitation malveillante du Dorking</strong>, les organisations peuvent notamment :</p>
<ul>
<li>Être en capacité de <strong>détecter les fuites d’informations</strong> sensibles sur le SI interne ou sur Internet, en examinant par exemple l’opportunité de recourir sur le SI interne à des <strong>produits de type DLP</strong> et sur internet à un <strong>service de veille des fuites d’informations</strong>, qui pourra également surveiller l’<strong>internet non-indexé</strong>, voire<strong> le Dark-Web</strong>.</li>
<li>Mettre en place une <strong>classification des données et une gouvernance des partages internes</strong> (ex : les Groups Office 365) en commençant par les activités les plus sensibles (ex : groupes métiers sensibles, données clients, RH…).</li>
<li><strong>Encadrer contractuellement et opérationnellement</strong> les missions confiées aux <strong>prestataires</strong> via un <strong>Plan d’Assurance Sécurité</strong> et les sensibiliser à la protection et à la non-divulgation des informations auxquelles ils peuvent accéder ; lorsque c’est possible, prévoir un <strong>PV de destruction de données</strong>.</li>
<li>Encadrer la communication d’informations sensibles aux partenaires sociaux, aux associations, etc. qui ne disposent pas toujours sur leur SI et sites Internet dédiés, de moyens de protection SSI équivalents à ceux de l’organisation ou de l’entreprise à laquelle ils sont liés.</li>
</ul>
<p>Les organisations peuvent également prendre des <strong>mesures</strong> visant à <strong>limiter l’impact d’une fuite de données</strong> avérée :</p>
<ul>
<li>Disposer d’une <strong>fiche réflexe </strong>pour traiter la fuite, incluant la <strong>conduite à tenir vis-à-vis des moteurs de recherche </strong>et des sites l’ayant indexée (ex : gestion du référencement Google, etc …)</li>
<li>Disposer d’un processus de gestion des incidents de sécurité, de <strong>data-breach</strong> (GDPR), de gestion de crise… incluant la <strong>notification potentielle aux autorités et personnes concernées</strong>.</li>
<li>Disposer d’un processus et d’outils de <strong>veille sur les réseaux sociaux </strong>et media avec des réponses préparées.</li>
</ul>
<p>Cette prévention peut en outre conduire à <strong>recourir à la technique du Dorking à des fins éthiques</strong>, tels que des <strong>audits de sécurité</strong>, ou des <strong>activités « Red Team »</strong> qui visent à se mettre à la place d’un acteur malveillant pour découvrir – avant lui – les failles et les informations qui permettraient de porter atteinte à l’organisation. Néanmoins, en fonction du contexte, il peut être préférable de <strong>bien encadrer en amont la communication des résultats de la mise en œuvre de techniques de Dorking</strong>, lesquelles peuvent donner lieu à la <strong>découverte d’informations personnelles ou/et sensibles</strong>, sur des ressources <strong>liées à l’entreprise ou à des acteurs externes</strong>.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/08/le-dorking-ou-la-peche-aux-informations-sensibles-via-les-moteurs-de-recherche/">Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>L&#8217;habit ne fait pas le moine &#8211; Ou l&#8217;importance du facteur humain dans la maîtrise du risque USB</title>
		<link>https://www.riskinsight-wavestone.com/2017/07/facteur-humain-maitrise-du-risque-usb/</link>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Thu, 13 Jul 2017 15:12:24 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<category><![CDATA[facteur humain]]></category>
		<category><![CDATA[Risk management]]></category>
		<category><![CDATA[Risque]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=9882/</guid>

					<description><![CDATA[<p>L&#8217;USB est quasiment incontournable. L&#8217;interconnexion non maîtrisée des dispositifs avec le SI est facilitée par les comportements humains. Les moyens d&#8217;attaques se perfectionnent et le risque s&#8217;accroît, notamment vis-à-vis des attaques ciblées. Une vigilance toute particulière doit être accordée à...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/07/facteur-humain-maitrise-du-risque-usb/">L&rsquo;habit ne fait pas le moine &#8211; Ou l&rsquo;importance du facteur humain dans la maîtrise du risque USB</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>L&rsquo;USB est quasiment incontournable. L&rsquo;interconnexion non maîtrisée des dispositifs avec le SI est facilitée par les comportements humains.<br />
</em><em>Les moyens d&rsquo;attaques se perfectionnent et le risque s&rsquo;accroît, notamment vis-à-vis des attaques ciblées.<br />
</em><em>Une vigilance toute particulière doit être accordée à son usage sur les périmètres les plus sensibles, du SI et des populations utilisatrices.<br />
</em><em>La prise en compte du facteur humain via une sensibilisation adaptée est une mesure essentielle ; les solutions techniques restent un complément d&rsquo;efficacité variable.</em></p>
<p>&nbsp;</p>
<h2>L&rsquo;IMPORTANCE DU FACTEUR HUMAIN</h2>
<p style="margin: 0cm; margin-bottom: .0001pt;">Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s&rsquo;en emparèrent facilement. Il en va de même pour des attaques perpétrées à l&rsquo;aide de dispositifs USB familiers, que l&rsquo;utilisateur branche en tout confiance sur le port d&rsquo;une machine.</p>
<p style="margin: 0cm; margin-bottom: .0001pt;">Une étude publiée au Blackhat USA en 2016 a montré que<b> 45% des 297 clefs USB disséminées</b> sur un campus universitaire ont été <b>connectées à des ordinateurs et leurs fichiers ouverts</b>. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.</p>
<p style="margin: 0cm; margin-bottom: .0001pt;">Par ailleurs qui n&rsquo;a jamais laissé un téléphone portable se recharger sur l&rsquo;un des ports USB de son PC ?</p>
<p style="margin: 0cm; margin-bottom: .0001pt;">Si la connexion au réseau fait le plus souvent l&rsquo;objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l&rsquo;objet d&rsquo;une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.</p>
<p style="margin: 0cm; margin-bottom: .0001pt;"><b>Les dispositifs USB sont présents partout</b>, tirant partie de l&rsquo;interopérabilité de l&rsquo;<b><u>U</u></b><u>niversal </u><b>S</b>erial Bus.</p>
<p>Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu&rsquo;il n&rsquo;a <b>pas été techniquement conçu « security by design »</b> et que ces dispositifs offrent une large surface d&rsquo;attaque.</p>
<figure id="post-9883 media-9883"><a href="https://www.youtube.com/attribution_link?a=yXIKuk59k6ynP4nP&amp;u=/watch?v%3Dyjc_xvlwMa8%26feature%3Dem-share_video_user"><img loading="lazy" decoding="async" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2017/07/image-1.jpg" alt="" width="320" height="180" /></a></figure>
<p><em>Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB</em></p>
<p>&nbsp;</p>
<h2 style="margin: 0cm; margin-bottom: .0001pt;">UN LARGE PANEL D&rsquo;ATTAQUES RENDUES POSSIBLES PAR L&rsquo;USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES</h2>
<p>Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d&rsquo;un code malicieux. D&rsquo;autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l&rsquo;installation du pilote logiciel du périphérique.</p>
<p><strong>La</strong> <strong>provenance légitime d&rsquo;une clef USB ne peut garantir entièrement son innocuité</strong>, si celle-ci a été compromise en usine ou avant l&rsquo;envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.</p>
<p>Par ailleurs, <strong>un périphérique USB d&rsquo;apparence banale, peut avoir été reprogrammé ou modifié physiquement</strong> pour compromettre ou endommager le système sur lequel il est branché, par exemple :</p>
<ul>
<li>En se <a href="http://usbrubberducky.com">faisant passer pour <strong>un clavier</strong> et envoyer des commandes au système hôte</a>, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d&rsquo;usage illustratif dans la vidéo ci-dessus) ou d&rsquo;utiliser un dispositif ayant l&rsquo;apparence d&rsquo;une clef USB classique ;</li>
<li>En <a href="https://samy.pl/poisontap/">se faisant passer pour <strong>une interface réseau</strong> </a>et un serveur DHCP/DNS, afin notamment d&rsquo;intercepter le trafic de l&rsquo;utilisateur, d&rsquo;introduire des portes dérobées sur le poste de l&rsquo;utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d&rsquo;exposer un  routeur interne ;</li>
<li>Pour <strong>détruire le système hôte</strong> en <a href="https://www.usbkill.com">délivrant au connecteur des tensions élevées</a>.</li>
</ul>
<p>Une clef USB peut également être utilisée pour attaquer des <a href="https://wikileaks.org/vault7/document/Emotional_Simian-v2_3-User_Guide/Emotional_Simian-v2_3-User_Guide.pdf"><strong>équipements sensibles déconnectés </strong></a>du réseau de l&rsquo;entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en « navette » avec des postes connectés internet, donc à un attaquant externe potentiel.</p>
<p>Il est également possible de tirer parti du <a href="http://cyber.bgu.ac.il/blog/can-we-rely-air-gap-secure-our-critical-systems">rayonnement électromagnétique </a>qui peut se produire au travers d&rsquo;un périphérique/câble USB, d&rsquo;un <strong>poste isolé de tout réseau</strong>, pour permettre à un code malicieux, introduit via le dispositif USB, d&rsquo;exfiltrer des informations à quelques mètres.</p>
<p>Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La <strong>mise au point</strong> de certaines de ces attaques est <strong>facilitée par les sources d&rsquo;informations</strong>, les tutoriels et les outils librement accessibles sur Internet.</p>
<p>L&rsquo;arrivée de l&rsquo;<strong>USB-C</strong>, également <strong>utilisé comme alimentation électrique</strong> des nouveaux ordinateurs portables, peut contribuer à <strong>augmenter un peu plus la surface d&rsquo;attaque</strong> (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l&rsquo;attente de la généralisation de futurs chargeurs sécurisés.</p>
<p>&nbsp;</p>
<h2>LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L&rsquo;HUMAIN)</h2>
<p>L&rsquo;évaluation des risques liés aux dispositifs USB doit permettre d&rsquo;identifier les périmètres du SI et les populations vers lesquels <strong>cibler en priorité les contre-mesures</strong> :</p>
<ul>
<li>Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;</li>
<li>Sensibilité de l&rsquo;équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d&rsquo;administration, serveur, équipement industriel …).</li>
</ul>
<p>La connexion d&rsquo;un périphérique USB à un équipement passe par un <strong>choix humain</strong>. Il est donc essentiel de <strong>sensibiliser les acteurs</strong>, <strong>y compris leur management opérationne</strong>l, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des <strong>clefs USB témoins</strong> remontant une alerte une fois connectées à un poste de travail, effectuer des <strong>démonstrations</strong>, organiser des <strong>jeux de plateau</strong> pour <strong>entraîner</strong> des populations plus ciblées à évaluer certaines prises de risque, …).</p>
<p>Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.</p>
<ul>
<li>Un <strong>antivirus</strong> pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la <strong>même efficacité que si ce fichier se trouvait sur un autre espace de stockage</strong>. Certains produits pourront <strong>n&rsquo;autoriser la lecture du contenu d&rsquo;un stockage amovible</strong>, que si celui-ci a préalablement été chiffré <strong>avec une clef</strong> permettant d&rsquo;y accéder seulement depuis des postes de l&rsquo;entreprise ;</li>
<li>Des équipements de <strong>&lsquo;sas&rsquo; de décontamination</strong> peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l&rsquo;entreprise ;</li>
<li>Des solutions logicielles permettent de <strong>contrôler la connexion</strong> d&rsquo;un dispositif USB à des groupes de postes ou serveurs, <strong>en fonction de caractéristiques annoncées lors de son branchement</strong>. Il s&rsquo;agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;</li>
<li>Le marché propose également des clefs USB avec un <strong>micrologiciel sécurisé</strong>, qui permettent de s&rsquo;assurer que celui-ci n&rsquo;a pas été reprogrammé. Néanmoins, il reste toutefois possible d&rsquo;introduire dans l&rsquo;entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;</li>
<li>La <strong>neutralisation ou le blocage physique des ports USB</strong>, en particulier sur les postes les plus sensibles, tels que des stations d&rsquo;administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.</li>
</ul>
<p>Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d&rsquo;une <strong>sécurité efficace portée par de nouveaux standards USB</strong>. En attendant, le parc non sécurisé et le risque s&rsquo;accroissent. Pour y faire face, <strong>ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain</strong>.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2017/07/facteur-humain-maitrise-du-risque-usb/">L&rsquo;habit ne fait pas le moine &#8211; Ou l&rsquo;importance du facteur humain dans la maîtrise du risque USB</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
