(Article r\u00e9dig\u00e9 en collaboration avec Fr\u00e9d\u00e9ric Chollet)<\/p>\n
La cybercriminalit\u00e9 ne cesse de cro\u00eetre. Les cas concrets se multiplient. <\/em><\/p>\n Les retours d\u2019exp\u00e9rience montrent la difficult\u00e9 \u00e0 g\u00e9rer des crises d\u2019un nouveau type. Ces attaques cibl\u00e9es sont souvent des crises silencieuses qui atteignent directement la confidentialit\u00e9 des donn\u00e9es sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficiles \u00e0 mat\u00e9rialiser, \u00e0 traiter et finalement \u00e0 clore de mani\u00e8re d\u00e9finitive.<\/em><\/p>\n Comment r\u00e9agir \u00e0 ces attaques ? Quelles d\u00e9marches et organisations doit-on mettre en place pour se pr\u00e9parer au mieux ? Quelles actions de traitements doivent \u00eatre mises en \u0153uvre ? En effet, si cette attaque a lieu c\u2019est pour voler ou alt\u00e9rer des donn\u00e9es m\u00e9tiers. Il est donc primordial d\u2019impliquer les m\u00e9tiers et d\u2019identifier les enjeux m\u00e9tiers actuels (contrats importants, fusion \/ acquisition, R&D\u2026) afin d\u2019anticiper les cibles de l\u2019attaque et d\u2019agir pro-activement. Dans le m\u00eame esprit, et suivant les contextes, un support aupr\u00e8s d\u2019entit\u00e9s \u00e9tatiques peut \u00e9galement \u00eatre recherch\u00e9. Les \u00e9quipes SI, malgr\u00e9 leur vigilance, ont un p\u00e9rim\u00e8tre d\u2019observation trop large pour \u00eatre attentives sur tous les fronts. Identifier les cibles m\u00e9tiers majeures permettra de focaliser l\u2019attention sur les p\u00e9rim\u00e8tres sensibles.<\/p>\n Pour analyser l\u2019attaque et proposer des contre-mesures efficaces, il est n\u00e9cessaire de d\u00e9tecter et de rapprocher les successions d\u2019incidents unitaires et d\u2019\u00e9v\u00e9nements suspicieux. Pour cela la mobilisation des \u00e9quipes d\u2019experts \u00ab forensics \u00bb est essentielle. Ils seront \u00e0 m\u00eame de comprendre le fonctionnement des codes malicieux utilis\u00e9s pour l\u2019attaque et de pouvoir proposer des plans d\u2019actions techniques pertinents. Ces ressources, encore trop rares aujourd\u2019hui, devront \u00eatre rapidement mobilis\u00e9es.<\/p>\n L\u2019utilisation d\u2019outils pour capter les \u00ab signaux faibles \u00bb (analyses de journaux, sondes r\u00e9seaux et d\u00e9tection d\u2019intrusion) est \u00e9galement un vrai plus malheureusement encore peu g\u00e9n\u00e9ralis\u00e9. Notre retour d\u2019exp\u00e9rience montre qu\u2019il est possible de d\u00e9ployer rapidement ce type d\u2019outil pendant une crise mais il n\u00e9cessite un degr\u00e9 d\u2019expertise fort pour \u00eatre efficace.<\/p>\n Il est important de prendre r\u00e9guli\u00e8rement du recul, malgr\u00e9 la multitude d\u2019\u00e9v\u00e8nements, pour comprendre la finalit\u00e9 de l\u2019attaque, son \u00e9volution et d\u00e9finir le mode de r\u00e9ponse. La cellule de pilotage devra donc \u00eatre s\u00e9par\u00e9e des op\u00e9rations les plus \u00ab terrains \u00bb pour garder ce recul n\u00e9cessaire.<\/p>\n Attention \u00e9galement \u00e0 la logique de diversion, souvent mise en oeuvre par les attaquants (attaque en d\u00e9ni de services, sur d\u2019autres serveurs peu critiques\u2026). Il est conseill\u00e9 dans ce genre de situation de rester focalis\u00e9 sur les cibles potentielles d\u00e9finies avec les m\u00e9tiers et vigilants pendant les p\u00e9riodes d\u2019inactivit\u00e9 de l\u2019organisation (HNO, week-end, jours f\u00e9ri\u00e9s).<\/p>\n Une limite souvent rencontr\u00e9e dans une telle crise est la mobilisation de trop nombreux acteurs d\u00e9cisionnels au regard d\u2019un faible nombre d\u2019acteurs op\u00e9rationnels en capacit\u00e9 \u00e0 r\u00e9aliser les actions. La longue dur\u00e9e d\u2019une attaque (pouvant s\u2019\u00e9taler sur plusieurs mois) n\u00e9cessite la mise en place d\u2019un rythme de gestion diff\u00e9rent d\u2019une crise classique. Une organisation adapt\u00e9e doit \u00eatre mise en place dans la dur\u00e9e, en pr\u00e9voyant des rotations des acteurs impliqu\u00e9s.<\/p>\n L\u2019exp\u00e9rience montre que les attaquants r\u00e9ussissent souvent \u00e0 prendre le contr\u00f4le de l\u2019Active Directory ou encore de la messagerie. Ils sont alors en mesure \u00ab d\u2019\u00e9couter \u00bb les d\u00e9cisions prises par la cellule de crise et de les anticiper. Pour r\u00e9agir efficacement durant la crise, il est donc crucial de disposer de postes de travail durcis hors des domaines d\u2019administration classique et d\u2019un service de messagerie sp\u00e9cifique. L\u2019utilisation de services Cloud est possible. Attention cependant, les attaquants ayant pu \u00e9galement compromettre les messageries personnelles de tout ou partie des collaborateurs\u2026<\/p>\n La d\u00e9couverte d\u2019une intrusion majeure a souvent pour cons\u00e9quence une perte de confiance en son SI vu le nombre et la criticit\u00e9 des serveurs compromis. Pour reprendre le contr\u00f4le de ceux-ci, il est souvent n\u00e9cessaire de reconstruire des socles sains, et en particulier de r\u00e9installer compl\u00e8tement l\u2019Active Directory. \u00c0 partir de ces socles sains, il sera alors possible de recr\u00e9er progressivement des zones de confiance en privil\u00e9giant les fonctions les plus sensibles de l\u2019organisation.<\/p>\n Les investissements li\u00e9s \u00e0 ces plans de reconstruction peuvent \u00eatre tr\u00e8s lourds (nos retours d\u2019exp\u00e9rience montrent qu\u2019ils d\u00e9passent fr\u00e9quemment la dizaine de millions d\u2019euros) et l\u2019attention ne doit en aucun cas \u00eatre rel\u00e2ch\u00e9e dans ces zones assainies pour \u00e9viter une nouvelle attaque. Il faudra alors mettre en place tous les processus n\u00e9cessaires pour garantir leur s\u00e9curit\u00e9 (administration s\u00e9curis\u00e9e, analyse des journ\u00e9es, filtrage r\u00e9seaux, gestion des acc\u00e8s fins\u2026).<\/p>\n \u00c0 suivre \u2026<\/p>\n","protected":false},"excerpt":{"rendered":" (Article r\u00e9dig\u00e9 en collaboration avec Fr\u00e9d\u00e9ric Chollet) La cybercriminalit\u00e9 ne cesse de cro\u00eetre. Les cas concrets se multiplient. Les retours d\u2019exp\u00e9rience montrent la difficult\u00e9 \u00e0 g\u00e9rer des crises d\u2019un nouveau type. Ces attaques cibl\u00e9es sont souvent des crises silencieuses qui…<\/p>\n","protected":false},"author":15,"featured_media":2509,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3225],"tags":[711,175,244,3312,183,1178],"coauthors":[837,821],"class_list":["post-2504","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-ethical-hacking-indicent-response","tag-active-directory","tag-apt","tag-crise","tag-crisis-management-2","tag-cybercriminalite","tag-ddos"],"acf":[],"yoast_head":"\n
\n<\/em><\/p>\nRefondre les piliers de la gestion de crise<\/h2>\n
Une attaque cibl\u00e9e n\u2019est pas une crise SI mais bien une crise m\u00e9tier<\/h4>\n
Augmenter sa visibilit\u00e9 sur le syst\u00e8me d\u2019information <\/em><\/h4>\n
S\u2019astreindre \u00e0 prendre du recul face \u00e0 une multitude d\u2019attaques silencieuses et trompeuses<\/h4>\n
Disposer d\u2019un SI de crise parall\u00e8le et ind\u00e9pendant<\/h4>\n
Admettre la perte de confiance dans le SI et la regagner<\/h4>\n