Even if the depth and complexity of these exercises vary, the capabilities tested are often the same. They almost always entail knowing how to take on roles, assimilate a strong flow of information (stimuli), and understand a high-stakes, high-intensity situation. These exercises train coordination and impact assessment, but they cannot be considered an end in themselves. Resolving a crisis is not limited to the famous: “isolate, cut, communicate, we’re out of the woods”. We are calling for a paradigm shift in the preparation of cyber crisis management. 

Shift the focus from information management to feasibility 

Most crisis exercises used today test the players’ ability to manage and synthesize the flow of information. However, this is not where the quality of crisis management is concentrated. Some might even say that a decision-making unit should not be in a situation where it is erratically and incessantly solicited by its stakeholders. A decision-making unit must be put in a position to decide. To do so, it must respect a healthy work rhythm in cooperation with other more operational bodies. 

These exercises too often lead players, who are sucked into the time-consuming management of information, to take misleading operational sides. They make assumptions about what they can do and when – the famous “isolate, cut, communicate, we’re out of the woods.” These exercises give decision-making teams the impression that they are ready to cope when in fact they have limited their preparation to the ability to understand and coordinate events. This is a necessary step, but not sufficient.  

The key word for a 2023 preparedness strategy? Feasibility. Notably, though, the feasibility of all the steps of crisis management is based on a wider spectrum than just information management. This feasibility must be measurable, specific, and enabled by documentation, equipment, simulation, and sequencing of these capabilities. 

Preparing across the spectrum: from threat detection to reconstruction 

Training to manage a crisis involves above all taking into account the complete chronology of crisis management. We can summarize this chronology in eight major steps: 

1. Detect relevant threats and have the capacity to investigate them  
2. Mobilize experts and decision-makers to react 
3. Survive during the first peak by guaranteeing business continuity capabilities  
4. Evaluate the impact, its ramifications, and its foreseeable evolutions  
5. Contain the threat and understand the impact of isolation  
6. Coordinate your strengths and those of your ecosystem  
7. Communicate with internal and external stakeholders  
8. Restore and rebuild what can be restored and built when it can be restored and built 

Also, prepare the tools: I design, I use 

A relevant preparedness strategy must encompass each of these eight steps with the keyword of feasibility. It requires answering the question: will we really be able to carry out these actions when we need to? 

The answer to this capability question is based on three aspects:  

1. Ensuring the formalization of brief, up-to-date and known processes (e.g.: have a flow matrix indicating how to isolate, the timeframe, and the operational consequences)  
2. Equipping, training, and empowering the teams in charge of these actions (e.g.: having a discussion on “license to kill” and technically enabling a “red button” on relevant perimeters)  
3. Training the teams concerned specifically through role-playing exercises and specific simulations of the deployment of these capabilities (e.g.: test the decision-making process leading to the use of this “red button”, then technically test the proper functioning of the red button)

Thus, while some may limit themselves exclusively to the latter (simulation), it is essential to design one’s preparation with more hindsight and to begin with a real effort to build capacity. The exercise should be a milestone for verifying, adjusting, and promoting capabilities. In the worst case, it can be a deadline for preparing the capability or even serve as an opportunity to build said capability during the session (e.g.: reconstruction chronology, identification of technical interdependencies, etc.). 

Overcome opportunistic logic and practice the capabilities’ sequencing 

Currently, the main drivers of complexity are the increase in duration, intensity and the number of actors involved. Here again, we call for a paradigm shift. 

First, we call for a culture of preparation based on the eight pillars detailed above. This entails the need to provide tools and formalize the capabilities to do and train these capabilities throughout the year – without necessarily making them an event in a big exercise (e.g.: ComEx workshop on the first 10 actions to launch in case of a cyber crash, testing the isolation of backups or the restoration of workstations).  

In addition, employing vertical training logic (e.g., enable then simulate), it is important to train the ability to sequence the different capabilities quickly and efficiently. Thus, it is advisable to propose larger exercises, common to the business, forensic and decision-making teams, to orchestrate their different simulations in a single exercise. In training, for example, the detection capacity should be tested with a Purple Team, and then the mobilization capacity of the crisis system with a surprise mobilization using the alternative tools provided. A second example: work on the coordination capacity of the numerous crisis cells over a long period of time and then producing a communication message for all its stakeholders (internal and external). 

A long-term commitment 

To be relevant, this approach must be supported by strategic, global, multi-year thinking. Since it is more ambitious and involves more stakeholders (SOC, RPCA, Resilience, Infra, CISO, ComEx, Third Parties, …), it can gain legitimacy through a prior empirical evaluation of the means: 

1. Assess the current state of your readiness by taking a feasibility-centric approach to the eight pillars.  
2. Establish a maturity target and a roadmap that you will be able to report on empirically over time. 
3. Finally, share with your management teams a more robust view of your crisis management maturity.  

This type of approach, more empirical and personalized, will not only allow you to identify capacity gaps but also to truly train for the actions that will be essential at the worst moment. 

Cet article Enabling a paradigm shift in cyber crisis management preparedness est apparu en premier sur RiskInsight.

Bien que les principes fondamentaux d’identification des enjeux, des risques et des actions de remédiation demeurent, la méthode s’illustre par son appel à des scénarios d’attaque complexes tirant partie de vulnérabilités multiples, à la manière d’attaques réelles comme celle contre les systèmes de connexion à SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014… Autre évolution majeure, l’apparition d’une analyse approfondie des attaquants potentiels, de l’écosystème et des parties prenantes du périmètre étudié.

Ce changement de posture permet à EBIOS RM de répondre spécifiquement aux problématiques posées par des attaquants toujours plus professionnalisés qui étudieront méthodiquement les vulnérabilités d’une cible ainsi que l’ensemble de son écosystème pour parvenir à leurs fins. Elle vient ainsi remplir une zone de vide dans l’espace des méthodologies d’analyse de risques.

Néanmoins, malgré cette approche réellement innovante et comme nous allons l’étayer ci-dessous, EBIOS RM ne doit pas forcément être considérée comme la nouvelle démarche globale d’analyse des risques mais plutôt comme une nouvelle corde à l’arc méthodologique du RSSI pour traiter les scénarios d’attaque les plus complexes.

S’appuyant sur nos premiers retours d’expérience de l’application concrète de cette méthode, nous présenterons en détail les évolutions qu’elle apporte ainsi que leurs implications sur la gouvernance plus générale des risques SSI.

EBIOS RM, une nouvelle méthodologie pour mieux appréhender les risques complexes de cybersécurité

Depuis bientôt 10 ans, EBIOS 2010 propose une méthode centrée sur la notion de menaces unitaires tirant partie de vulnérabilités et de prévention de leurs impacts sur des processus métiers. Cette méthode, qui remettait à l’époque le métier au centre de l’analyse de risques, n’est cependant pas conçue pour identifier et traiter des menaces complexes. Ces menaces, composées de rebonds de l’attaquant d’une vulnérabilité à une autre pour atteindre ses fins, constituent pourtant aujourd’hui une part majeure de l’univers des risques SSI et ont été mises à l’ordre du jour de nombreux comités exécutifs à la suite des dernières attaques majeures comme NotPetya ou WannaCry.

EBIOS RM vise à compléter ce manque par une approche intégrant dans un premier temps de l’étude poussée des intentions des attaquants potentiels, puis la prise en compte formelle de l’écosystème et enfin l’identification de scénarios d’attaque complexes de type kill chain. L’objectif final de cette étude n’est plus l’alignement des mesures de sécurité à des failles unitaires comme pour EBIOS 2010 mais bien la capacité à maîtriser des risques aux facettes multiples.

En préalable, mener un travail préparatoire concernant les vulnérabilités

EBIOS RM propose dans un premier temps la mise place d’une étude structurée du niveau de sécurité du périmètre analysé par une revue de conformité. Cette vérification permet d’identifier un premier panel de vulnérabilités, comme le ferait un attaquant en testant par exemple la version des infrastructures ou les vulnérabilités de l’OWASP.

Contrairement à ce qui est proposé dans la méthode EBIOS 2010, la principale finalité de cette approche n’est pas de remédier à des vulnérabilités unitaires mais bien d’alimenter la définition des scénarios d’attaque complexes en identifiant les potentiels points de rebond de l’attaquant.

Ensuite, mieux prendre en compte l’écosystème et les sources d’attaque

Par ailleurs, afin d’adapter l’analyse des risques à la réalité des SI contemporains et de l’univers de menace, EBIOS RM intègre une innovation majeure sous la forme de la revue systématique de l’écosystème du périmètre étudié, depuis les tiers de confiance connectés à celui-ci jusqu’aux tiers présumés hostiles tels que des concurrents, des états voire des activistes.

L’étude des tiers de confiance met en lumière leurs interactions avec le périmètre étudié, trop souvent acquises comme sûres, qui constituent un vecteur d’attaque idéal pour un attaquant contournant ainsi les défenses périmétriques voire les mesures de gestion des accès internes.

L’étude des tiers hostiles place quant à elle la notion d’intentionnalité de la malveillance au cœur de l’étude. EBIOS RM propose donc de les identifier précisément et d’analyser les objectifs possiblement visés. Ce changement d’angle de vue sert de base au développement de scénarios d’attaque complexes dans la suite de la démarche.

Cette nouvelle approche vise notamment à faire face aux attaques par water-holing ou encore des conséquences de la compromission d’un SI tiers comme les fuites de données de l’enseigne américaine Target en 2013.

Enfin, un travail itératif de construction des scénarios d’attaque

Sur la base de cette connaissance approfondie du contexte, la démarche EBIOS RM vise à réaliser une étude préliminaire et plus fonctionnelle des évènements pouvant survenir sous la forme de scénarios stratégiques, puis un zoom plus technique sous la forme de scénarios opérationnels détaillés. L’objectif est que ces deux visions s’alimentent tout au long de l’étude dans une réflexion itérative.

EBIOS RM demande tout d’abord de définir de 3 à 5 scénarios stratégiques combinant source d’attaque, objectif visé et principaux moyens utilisés pour atteindre cet objectif. Cette vision de haut niveau et aux aspects techniques très limités, atout clef pour présenter les risques cyber aux métiers voire aux instances dirigeantes d’une organisation, permet également de préciser le périmètre de la réflexion plus technique qui sera réalisée au travers de 10 à 15 scénarios opérationnels.

Ces scénarios opérationnels racontent un fil détaillé d’évènements qui, combinés, mènent à un impact majeur. EBIOS RM structure ce cheminement au travers de quatre phases. Tout d’abord, la prise de connaissance par l’attaquant du SI ciblé, de son fonctionnement et de ses acteurs. Ensuite, la phase d’entrée dans ce SI au travers d’actions comme le phishing ou l’exploitation d’une backdoor. Puis vient la phase de recherche des données ou du SI critique que l’attaquant souhaite compromettre. Enfin, c’est la phase d’exploitation de cette cible via par exemple l’exfiltration de données ou l’implantation d’une bombe logique.

Chaque scénario d’attaque opérationnel aura donc sa propre histoire à raconter, sa propre kill chain, dont la vraisemblance sera déterminée. Cette spécificité est une des forces de l’étude, facilitant sa restitution, mais lui permettant également d’alimenter la réflexion d’un SOC concernant la définition de scénarios de corrélation à implémenter dans un SIEM.

Cette hauteur d’analyse en fait d’ailleurs un outil de choix pour l’étude des risques des périmètres les plus critiques d’une entreprise, comme par exemple les SI d’importance vitale.

Un outil ambitieux dont il faut cadrer l’utilisation

EBIOS RM présente des atouts séduisants par la prise en compte des motivations et méthodes des attaquants, de l’étude approfondie des tiers de confiance comme potentiels vecteurs d’attaque ou encore par sa capacité à produire des scénarios d’attaques complexes mais capables de convaincre des publics non-initiés.

L’une des principales qualités d’EBIOS RM, imposer réflexion et créativité pour définir les scénarios stratégiques et opérationnels pertinents, a néanmoins un revers notable : EBIOS RM ne pourra ainsi pas, exception faite de l’étude du socle et des acteurs menaçants, faire l’objet d’une industrialisation poussée des outils associés sans craindre une perte de créativité et donc une perte de qualité dans ses résultats. Cette logique s’écarte donc de celle en vigueur pour EBIOS 2010 qui rendait par exemple possible une revue exhaustive des menaces, permise par la complexité très souvent limitée de celles-ci.

En l’absence de cadre largement outillé et afin d’éviter que la subjectivité des participants n’y fasse son lit, EBIOS RM va ainsi exiger de son pilote un éventail de compétences qui reste rare sur le marché : des connaissances techniques pointues et orientées test d’intrusion pour déterminer ce que serait capable de réaliser un attaquant selon son niveau d’expertise, de la créativité, une capacité au story telling, à la synthèse et à la pédagogie, afin de définir des scénarios d’attaques qui auront à la fois suffisamment d’impact et de pertinence pour convaincre à la fois les équipes métiers et techniques tout en illustrant avec justesse et moins de quinze scénarios opérationnels toutes les facettes remarquables de la situation étudiée.

Ces différentes qualités renforceront par ailleurs la légitimité du pilote de l’étude, indispensable pour animer et recadrer efficacement les différents groupes de travail demandés par la méthodologie, afin d’éviter les discussions sans fin qu’elle peut risquer d’entraîner par ses aspects subjectifs. Il faut en outre garder à l’esprit que par son aspect itératif et les nombreux groupes de travail qu’elle implique, EBIOS RM sera une démarche significativement plus coûteuse en temps qu’EBIOS 2010. De plus, ses résultats seront difficilement réutilisables d’une étude à l’autre, en cela qu’elle se concentre justement sur les spécificités des périmètres étudiés.

Les sources accidentelles écartées

Dernier point d’attention, EBIOS RM, en plaçant l’intentionnalité au cœur de sa démarche, écarte les sources accidentelles. Pourtant, celles-ci se produisent régulièrement, qu’il s’agisse d’un coup de pelleteuse, d’une corruption d’une base de données ou de l’erreur d’un administrateur. Par ailleurs, le cœur de la démarche EBIOS RM, en générant un nombre limité de scénarios opérationnels, ne vise pas à l’exhaustivité qui était une des forces d’EBIOS 2010. La réponse de la démarche à ce biais méthodologique est l’étape d’étude du socle, mais celle-ci n’est qu’une revue de conformité. Si on imagine appliquer la démarche à un périmètre existant présentant de nombreux axes d’améliorations et qu’on utilise un référentiel de conformité suffisamment exhaustif (les 42 règles de l’ANSSI ou ISO27002), on pourra se retrouver avec une liste à la Prévert des mesures correctives à mettre en œuvre, sans moyen rigoureux de les prioriser, sauf à faire appel à EBIOS 2010 qu’EBIOS RM visait à remplacer…

Vers une refonte de la gouvernance de la gestion des risques

EBIOS RM est donc une démarche qui nécessite un temps de mise en œuvre certain ainsi que des expertises à la disponibilité souvent déjà limitée, et dont les résultats seront difficiles à réutiliser. En tenant également compte de ses priorités méthodologiques, nous pensons préférable de concentrer l’application de cette démarche aux systèmes présentant des enjeux forts et dont le niveau de sécurité a déjà un certain niveau de maturité, par exemple parce qu’ils seront passés par l’étape EBIOS 2010. Il nous semble également préférable d’utiliser EBIOS RM pour des ensembles cohérents de SI (exemple : une voiture ou les activités marketing) afin de conserver un périmètre d’étude suffisamment important pour permettre des attaques avancées. Enfin, sur des ensembles cohérents de SI appartenant à des acteurs différents, il est possible d’appliquer la méthode jusqu’aux scénarios stratégiques afin de fixer des priorités d’étude pour les analyse de risques plus détaillées qui seront mises en œuvre par chaque entité sur ses périmètres propres. EBIOS RM sera dans ces cas d’autant plus pertinente qu’elle se concentrera uniquement sur des scénarios au plus proche des pratiques métiers.

EBIOS RM, une brique dans l’offre de services d’analyse de risque

L’arrivée d’EBIOS RM, démarche novatrice quoique à utiliser avec mesure, et qui finalement complète plus qu’elle ne remplace EBIOS 2010, participe donc à créer ce qu’on pourrait appeler une offre de service EBIOS. Les ressources et les compétences nombreuses qu’elle nécessite pour être mise en œuvre la réserveront ainsi à des périmètres spécifiques, fortement exposés ou porteurs d’enjeux majeurs comme par exemples les SI d’importance vitale, ayant déjà fait l’objet d’un socle de mesures d’hygiène SSI.

Tout ceci plaide en faveur de la mise en œuvre, en amont des projets, d’une démarche de gouvernance des risques, transverse à l’entité, qui permettra de déterminer rapidement les enjeux, l’exposition et la maturité sécurité de ses périmètres fonctionnels et applicatifs, puis de décider en fonction quelle méthodologie de sécurisation mettre en place : simple revue de conformité à un socle minimal de règles de sécurité, étude EBIOS 2010 plus ou moins approfondie ou enfin, sur les périmètres à la fois sensibles et matures, étude EBIOS RM.

Cet article EBIOS (2010) est mort, vive EBIOS (RM) ? est apparu en premier sur RiskInsight.

Addressing the need to know and the need for reassurance

Supported by the increased number of incidents and attacks on information systems, the cybercrisis has moved into the public realm. The democratisation of its vocabulary is a clear indicator of the place that this subject takes up in the media. Data leakage, ransomware, hacktivist, DDoS, phishing, whistle-blower, these terms have left the server rooms and specialist blogs to make their way into national newspaper columns and most people’s vocabulary. The cybercrisis is no longer a mere quality incident discreetly handled in-house but has become an event that arouses the interest of a broad audience. This interest transforms the cybercrisis into a communicational crisis. However, while this theme’s new popularity is logically transposing into an increase in coverage, other elements justify a significant increase in solicitations, whether internal or external to the organisation in crisis.

When the cybercrisis results in data leakage, for example, it is not only the subject of the crisis that is newsworthy, but its very object. In fact, when the data leaks or is stolen, its nature arouses curiosity, whether it is personal data, a State secret or simply a private conversation. This mechanic logically generates for many audiences both the need to know the unknown, and to make sure that they are not the victim. These two primary needs of curiosity and reassurance are the essential drivers of media coverage and more generally encourage the information consumer, the stakeholder, the client to fill that need and seek to obtain this information. The same logic assumes that the source of this information, in this case the legitimate data holder, addresses these requests and communicates on the incident.

Whether it’s strategic events such as presidential elections or everyday private conversations on digital media that are compromised, the crisis’ media effect is magnified by the extraordinary nature of the event. This is the result of both its supposed impossibility and the confidence that the public entrusts it. The sudden rupture of the trust placed in these “institutions” of major importance, erected in good stead in a 2.0 version of Maslow’s pyramid, then generates itself the interest and the need to know, translated into an explosion of the number of requests for information to the organisation in crisis.

Figure 1: Maslow Pyramid Example

Communication war between the attacker and the communicator

Cybercrisis communication is thus a specific exercise given the subject it deals with, but also by the nature of the actors present. In fact, when immeasurable sums of money are stolen without warning or institutions fall under “citizens” hacktivist attacks, opinion tends to sympathise towards the attacker perceived as a modern hero, a romantic pirate or a anonymous vigilante.

This public figure, aware of its image and the codes of the communication world, will of course be able to play this environment. Thus, the very methods of the attackers reinforce the central place of communication in the management of cybercrises. Attacks on political, ideological and militant grounds are no longer confined to the compromise of a system but send a message whose publicity must be maximised.

This obvious appropriation of the activists’ specific methods is illustrated in several ways: prior warning of a DDoS, defacing a website, publication over time of proofs of a theft on social networks, dissemination of information such as exchanges of compromising private mail conversations, etc. If the attackers have learned to maximize the reputational impact of their attacks, they also use this lever to disrupt their target’s crisis management and make a noise that will buy them time once their attack is discovered. While one of crisis management’s key success factors of is regaining control of this rhythm and the publication of new elements, the cybercrisis inevitably leaves this power to a malicious third party.

This third party can also, if the compromise goes deeply, alter the company’s means of communication. While it tries to respond to the need to express itself urgently and widely, this can severely hinder the fluidity of its communication. Without email, how to spread a message to employees? Without social networks, how to be close to the community and answer their questions?

Restoring the trust relationship through communication

Fascinated by the attackers and the magnitude of the attacks, the general public is nonetheless intransigent at a time when trust and data are the very value of a company. Intrinsically, preserving the first assumes the protection of the second. When the organisation fails to achieve this goal, crisis communication is the only one able to restore this relationship of trust on which depends the future of the relation with customers and partners, who will or will not continue to entrust their data or the management of their tools, as well as their services to an organisation.

This trust requirement also brings about, when it’s is broken, the search for whom to point the blame. Although the reality of the facts is much more complex, the general public will easily assume that information system attacks are made possible by exploiting a vulnerability and therefore a fault.

A data leak is thus not only perceived as an attack perpetuated by a malicious third party, but also as negligence in the defences of the company victim to the theft. The latter is automatically designated as responsible and its reputation is logically impacted. Even as the attackers have become professional, the attacks complexify and the absence of vulnerabilities is a myth, cyber-attacks are now a subject of crisis management and communication in their own right. Because of its potential impact on the general public’s daily life and therefore its newsworthy nature, it forces the victim, considered to be co-responsible for its loss, to express itself.

Try to Keep It Simple for Better Crisis Communication

Beyond defining a clear, shared and timely strategy, managing a cybercrisis with its particular rhythm and the obstacles caused by the attackers must be accompanied by a special communication which implies a final effort: keeping it simple.

Confronted by a cybercrisis, like any type of crisis, communicating implies being able to translate the events and corrective actions into clear impacts and to address them in a coherent manner. Of course, the complexity of the terms and the mechanics of a cybercrisis makes this exercise tricky and is another particularity to take into account.

In this context, through their ability to translate the technical cause into business consequences and more generally into layman’s terms, the CISO and their team’s role is central. During business as usual as well as in times of crisis, the CISO’s mission is the responsibility for translating the facts and technical components not only into business impacts but also into understandable and convincing impacts for diverse non-expert audiences. They may also have to conceive or even bear responsibility for elements of crisis communication language in the same way that a human resources representative is exposed during a social crisis.

Without presupposing their exposure on a major TV channel’s news programme, information security experts’ words will be expected on social networks, on professional networks, in the specialized press or in-house. In crisis communication, everyone is responsible for everything and everyone has to be prepared for it.

Thus, the subject of cyber carries a media power of its own; the immediate consequence of which is the considerable increase in expectations and requests to be informed from different divisions of an organisation as well as from the public. If the impending occurrence of an information security incident involves a specific defence and continuity of operations planning, it also requires anticipation of these requests and an active preparation for this overall communication effort.

Cet article Cybercrisis, a fully-fledged media topic est apparu en premier sur RiskInsight.