Fin juin 2017, une image avait marqué les esprits du monde de la cyber sécurité et de la continuité d’activité. Un open-space, rempli de postes de travail, tous affichant le même écran : le message de demande de rançon de NotPetya. Encore aujourd’hui, 90% des crises gérées par le CERT Wavestone sont causées par des rançongiciels [1]. Comment faire alors pour commencer les investigations, la reconstruction ou permettre au métier de continuer de travailler si aucun poste de travail ne fonctionne ? Quelle stratégie développer pour intégrer la composante poste de travail aux plans de continuité, qui l’adressaient majoritairement jusqu’alors sous l’angle du sinistre bâtimentaire ? 

Définir les besoins 

Pour commencer, il est important de définir le scénario cyber duquel on veut se protéger. Est-ce un scénario « Total blackout » où l’ensemble du SI est indisponible ? Ou un scénario ransomware Windows basique où une partie des serveurs Windows ainsi que les postes sont compromis, mais les équipements réseaux et les briques Linux fonctionnent toujours ?  

Ensuite et sur base des scénarios retenus, il est nécessaire de segmenter les populations en fonction de leur besoin : il n’est pas possible de fournir un nombre infini de postes en une période donnée, et il faut savoir à qui attribuer les premiers postes qui seront mis à disposition. Par exemple, on peut distinguer les équipes métier vitales de l’entreprise, dont l’activité ne peut être interrompue plus de 4 heures, et les activités métier moins critiques, pour lesquels l’activité peut être interrompu pendant 3 jours avec des impacts acceptables pour l’entreprise en mode de crise. De la même manière, les équipes IT et Cyber à mobiliser dans les toutes premières heures de la crise pour conduire les investigations et lancer la reconstruction doivent être identifiés.  

Autre point à prendre en compte, les fonctionnalités métier minimales pour que le poste reconstruit soit utile. Certaines populations métier utilisent des clients lourds sur leurs postes, dont l’installation et la maintenance se révèle complexe. De même, certains métiers ont besoin d’interagir avec des tiers pour leurs activités vitales, via des VPN dédiés ou un whitelist IP. Cadrer précisément combien de personnes ont ces besoins et à quelle échéance est donc essentiel pour définir les solutions techniques envisageables.  

On ne proposera aussi pas forcément la même solution aux équipes IT d’investigation et de reconstruction – qui ont besoin d’avoir accès au réseau interne – qu’aux équipes métier qui peuvent pour les quelques premiers jours de crise avoir des modes dégradés hors du système d’information (SI) de l’entreprise. 

Au final, on aura tendance à distinguer deux phases bien différenciées dans la stratégie de fourniture de poste de travail en cas de crise ransomware : 

• Une première phase lors des tous premiers jours de crise pour une population limitée, qui s’appuiera en général sur des solutions ayant le moins d’adhérence possible avec le Système d’Information nominal, afin d’assurer les activités métier critiques ; 
• Une seconde phase lorsque les investigations auront avancé, avec une reconstruction de poste massive en utilisant le master de l’entreprise, qui aura pu être durci au préalable en tirant les leçons des investigations passées.  

Adapter la solution à son contexte  

Plusieurs paramètres sont à prendre en considération lorsqu’on planifie sa stratégie de reconstruction de postes. En effet, une solution pourrait fonctionner pour une entreprise, mais être inadaptée pour une autre.  

Par exemple, de nombreuses mesures de sécurité et de contrôle d’accès ont été mis en place ces dernières années concernant l’accès au réseau interne des postes de travail. Le NAC (Network Access Control) est de plus en plus répandu et dans les bâtiments récents, les prises Ethernet accessibles à chaque bureau tendent à disparaître. Les accès Office 365 sont restreints via du conditional access et l’authentification aux passerelles VPN (Virtual Private Network) se fait par certificat sur le poste. Lorsque toutes ces contraintes existent, une stratégie pour les premiers jours de crise basée sur le BYOD (Bring Your Own Device) ne peut être la réponse – en tout cas pas seule.  

Également, la façon dont sont gérés les postes est déterminante et ne permet pas forcément d’envisager les mêmes solutions techniques de reconstruction. On retrouve en général deux principales approches :  

• D’une part une approche dite « historique » avec des solutions de gestion de flotte s’appuyant sur une architecture classique type Microsoft System Center Configuration Manager (SCCM), qui est aujourd’hui la solution la plus répandue.  

• D’autre part une approche plus « moderne » (i.e Modern Management) avec des solutions Cloud de gestion de flotte type Microsoft Intune, qui monte en puissance ces dernières années. 

La méthodologie de reconstruction est également à anticiper. Deux méthodes sont envisageables : la restauration et la réinstallation. La restauration représente un retour à un état antérieur de l’environnement (OS et/ou applications et/ou données) grâce à une sauvegarde. La réinstallation, signifie comme son nom l’indique qu’on reconstruit de zéro le poste, en perdant les documents locaux.  

Dans le cas des postes de travail, le nombre de documents conservés en local tend à diminuer. En effet, la plupart des documents sont à présent stockés dans des serveurs de fichiers (NAS ou Sharepoint) pour le travail en commun, ou au sein du OneDrive personnel de l’utilisateur. Ainsi, on aura tendance à privilégier la réinstallation de zéro des postes, plutôt que de prendre le risque de restaurer le système à un état antérieur, où le ransomware était peut-être déjà présent mais non encore activé. D’autant que les ransomware récents s’attaquent aux points de restauration locaux [2].   

Choisir les méthodes de reconstruction les plus adaptées à sa stratégie 

Plusieurs méthodes de mise à disposition de poste de travail peuvent être envisagées en fonction de l’état des lieux et de la formalisation des besoins dont nous avons parlé plus haut. Voici une liste des principales solutions que nous avons rencontrées sur le terrain, et notre avis sur les avantages et inconvénients de chaque solution.  

• La constitution d’un stock de PC de crise 

Méthode souvent appliquée dans les plans de secours classiques (répondant au scénario perte de bâtiment / de site), des PC de crise sont placés dans des caissons type Ergotron, prêt à être utilisés en cas de sinistre. Ils sont connectés au réseau local via l’Ergotron, et reçoivent donc automatiquement les mises à jour. Une stratégie peut également être de se baser sur le stock de roulement des postes dans les services IT, ou de conserver des postes décommissionnés pour constituer un stock de secours. 

Notre avis : Si cette approche répond bien aux scénarios de résilience type perte d’un bâtiment / d’un site, elle présente un risque face au ransomware car ces PC seraient compromis au même titre que les autres puisqu’accessibles et visibles sur le réseau local. Il faudrait alors avoir une gestion de ces postes « hors ligne », nécessitant une charge de MCO (Maintien en condition opérationnelle) plus forte puisqu’il faudrait manuellement allumer les PC et les mettre à jour régulièrement. De plus, avoir du matériel dormant non utilisé pose la question de l’optimisation des ressources et de l’empreinte carbone. Cette solution est à considérer pour une population restreinte ayant un temps d’interruption acceptable très faible. Par ailleurs, pour les populations utilisant des clients lourds, il est possible de gagner du temps en les préinstallant sur ces postes dormants.  

• L’utilisation de PC non managés, via le BYOD (Bring Your Own Device) ou l’utilisation de « PC grand public » acheté en cas de crise 

Cette stratégie est en général associée à un scénario « Total IT Blackout » où l’on considère que l’ensemble du système d’information est compromis et qu’il faut travailler sans lien avec celui-ci. On utilise alors des postes non managés soit personnels soit mobilisables en cas de crise via un contrat avec un fournisseur.    

Notre avis : les fonctionnalités de cette solution sont limitées car le poste n’a pas d’accès au VPN de l’entreprise, et si du NAC est déployé, en se rendant sur site le PC n’aura pas non plus accès aux ressources internes encore fonctionnelles. Elle peut cependant être considérée en la couplant avec des mesures de crises qui auront été prévues en amont et permettront d’améliorer les fonctionnalités du poste (coupure d’urgence du NAC ; modification temporaire du Conditional Access O365 avec ouverture sur internet ; stockage de données critiques métier dans un Vault de crise hors du SI pour continuer de travailler). Dans la plupart des cas, cette solution sera surtout réservée aux populations métier, et éventuellement aux populations IT en charge de la reconstruction – en la couplant avec une stratégie de retour sur site et une levée du NAC, permettant l’accès au réseau interne en physique. Cela reste une solution qui peut être très efficace lorsque bien anticipée avec la combinant avec les mesures de crise citées plus haut.  

• L’existence nominale de postes sous un autre OS 

En cas d’attaque visant les environnements Windows spécifiquement (les plus couramment rencontrés sur le terrain), les ordinateurs impactés peuvent être remplacés par la solution fonctionnant sur un autre OS.  

Notre avis : cette solution implique un MCO (Maintien en Conditions Opérationnelles) d’au moins deux technologies, et elle ne garantit pas que les utilisateurs travaillants habituellement sous Windows pourront travailler sous Linux ou MacOS (clients lourds non compatibles, etc.). Cependant, c’est une solution tout à fait envisageable pour des populations très précises, comme les équipes d’investigation. Ces équipes préfèrent en général utiliser des distributions spécifiques comme Kali Linux, et ce sont les personnes qui doivent avoir accès au SI dans les premières heures de la crise. 

• La remasterisation des postes de travail sur banc  

En cas de crise, les équipes se rendent dans les différents sites possédant des bancs de masterisation avec leur PC compromis pour être remasterisé. Même dans les entreprises les plus conséquentes, les bancs de remasterisation de run ont une capacité de reconstruction limitée (quelques centaines de postes/jour maximum par site). Pour augmenter cette capacité, des bancs de remasterisation supplémentaires de crise peuvent également être prévus dans le cadre d’un contrat avec un fournisseur externe.  

Notre avis : la méthode de remasterisation en mode nominal sur banc demande une bonne préparation en amont pour être efficace en cas de crise au vu du volume de poste à reconstruire. Il convient d’avoir préparé un plan pour organiser le retour sur site de nombreuses personnes en parallèle (répartition par site, communication aux utilisateurs sur les créneaux de passage, etc.) en fonction de la capacité de remasterisation des bancs par site physique.  

• La remasterisation des postes de travail via clés USB  

En cas de crise, des clés USB préparée en amont (ou à générer pendant la crise avec une procédure prédéfinie) avec une image de Windows sont utilisées pour réinstaller un OS neuf sur la machine. Cela peut être un OS Windows vierge, ou une image propre à l’entreprise.  

Notre avis : méthode éprouvée sur le terrain en cas de crise qui peut permettre de gagner beaucoup de temps si elle est anticipée. Il faut disposer d’un nombre suffisant de clés USB, avec une image de Windows récente, et une méthode pour cloner rapidement les clés. Il convient également de définir un moyen de distribuer ces clés aux utilisateurs (soit en amont de la crise mais cela complexifie la mise à jour des clés et il existe risque de perte des clés – ou alors pendant la crise en se rendant en kiosque IT, comme pour les bancs). Aussi, il est nécessaire de pouvoir booter sur un média externe. Si cette fonctionnalité est bloquée dans le BIOS, cette méthode ne peut fonctionner, ou en tout cas pas sans une procédure de levée de cette restriction. Cette méthode peut se combiner avec les bancs pour maximiser le nombre de poste à remasteriser en parallèle sur site (une partie des PC passent sur les bancs, l’autre partie lancent le process via clé USB). De même, en cas de compromission du bootstrap du poste, une clef USB avec un Windows vierge peut se combiner avec une remasterisation Intune dans un second temps.  

• L’utilisation de VDI de crise (Virtual Desktop Infrastructure)  

Des utilisateurs se connectent à un bureau virtuel à distance, via un navigateur. Cette solution doit nécessairement se combiner avec une autre (BYOD, PC grand public acheté pour l’occasion, ou autre) car il est nécessaire d’avoir un PC pour se connecter à la VDI distante. Les VDI peuvent présenter des fonctionnalités plus ou moins avancées en fonction de leur lien avec le SI de l’entreprise (accès au réseau interne, pré-installation de client lourd, etc.) 

Notre avis : Ce système permet d’avoir des environnements de travail rapidement opérationnels, en limitant le risque de fuite de données puisqu’il est possible d’interdire le copier/coller des VDI vers le poste hôte. Par ailleurs, en s’appuyant sur des VDI dans le Cloud, il est possible d’avoir un fort potentiel de scale-up (passer de 1 VDI à 200 VDI actives très rapidement en cas de crise). Le principal risque reste que plus l’infrastructure VDI est corrélée au SI de l’entreprise, plus la probabilité qu’elle soit elle aussi compromise par l’attaque est grande. Et dans ce cas, se reposer uniquement sur cette solution est un pari risqué. A l’inverse, une VDI complètement décorrélée du SI fonctionnera, mais présentera des fonctionnalités limitées sans aucun accès aux briques non compromises du SI de l’entreprise.  

• La re-masterisation depuis le Cloud via Intune 

Le master déployé sur les postes de travail est externalisé dans Intune, un service SaaS hébergé dans le cloud Microsoft. Au démarrage ou après un reset d’usine, le poste de travail demande à l’utilisateur de renseigner son email Microsoft et identifie ainsi son appartenance à l’entreprise, ce qui déclenche le téléchargement et l’installation automatique du master, sans autre intervention nécessaire. Avec un prérequis de taille, puisqu’il faut que sa flotte soit gérée nativement via Intune pour pouvoir utiliser ces méthodes.  

Notre avis :  Cette méthode est parmi les plus efficaces, notamment car il est possible de modifier l’image (en cas de compromission passant par un protocole vulnérable / un défaut de patching), puis lancer à distance et depuis Intune une remasterisation massive des postes de travail compromis. Il est également possible de réaliser cette remasterisation en self-service du côté de l’utilisateur, mais un prérequis existera alors : posséder la clé de récupération BitLocker (ou autre technologie de chiffrement le cas échéant) du poste, si le disque dur du poste est chiffré dans le cadre des mesures de protection du poste déployé par l’entreprise. Pour des raisons de praticité le jour de la crise, la remasterisation de masse lancée depuis la console Intune est donc à privilégier, ce qui permet de s’affranchir de la contrainte BitLocker. Encore faut-il garantir l’accès à Intune par les administrateurs pour pouvoir le faire – et considérer qu’Intune lui-même ne serait pas compromis. Enfin, même si cela est peu commun, si le ransomware détruit le bootstrap du poste, il ne sera pas possible de le remasteriser avec Intune seul et il faudra alors ajouter l’installation d’un Windows vierge sur le poste en prérequis (via une clef USB par exemple).  

A noter qu’il existe également quelques cas exceptionnels de crise dans lesquels, du fait de moyens d’intervention et de gestion limités, certaines organisations peuvent choisir d’autoriser les collaborateurs à travailler en mode dégradé sur des machines compromises pendant une durée déterminée si elles sont encore opérationnelles. Cela peut être notamment le cas lorsque seuls les fichiers bureautiques ont été chiffrés, que le malware est passif et ne communique pas avec un Command and Control, et en supprimant l’accès à internet des postes pour éviter toute prise de contrôle à distance.  

En synthèse, quels facteurs de réussite pour une stratégie de résilience de l’environnement bureautique ? 

Il n’existe pas de solution « magique » adaptée à tous les cas de figure, chaque solution répond bien au besoin de retrouver un poste de travail opérationnel mais le choix de la meilleure solution dépend de plusieurs paramètres propres à chaque organisation. Aussi afin de s’assurer une stratégie efficace, il est important de :  

• Segmenter les différentes populations de l’entreprise afin de définir la priorisation de mise à disposition des postes, et de proposer des solutions adaptées aux besoins spécifiques de chacune.  
• Diversifier et adapter les solutions retenues. Tout miser sur une solution peut s’avérer dangereux si celle-ci venait à se révéler défaillante. Le but est bien d’avoir une boîte à outil de solutions techniques, que la cellule de crise pourra choisir d’activer ou non en fonction de la nature exacte de la crise rencontrée.  
• Tester les solutions : quelles que soient les solutions et les stratégies mises en œuvre pour la reconstruction de postes, elles doivent systématiquement s’accompagner de la planification de tests. Une solution qui n’est pas utilisée régulièrement est une solution qui risque de ne pas fonctionner en cas de crise. Il faut donc lorsque cela est possible utiliser la solution de secours en day to day pour remasteriser des PC, ou si on parle de VDI, que ces VDI soient utilisées régulièrement. Si cela n’est pas possible, il faut intégrer la solution dans un plan de test de continuité métier et/ou IT, afin de la tester en condition réelle a minima une fois par an.   

Les solutions les plus utilisées sur le terrain comprennent les remasterisation de masse sur banc, la constitution d’un stock de poste de travail de crise, l’utilisation des solutions Cloud type Intune et de bureau virtuel type VDI couplé au BYOD. Mais ces solutions prises une à une ne peuvent suffire, car comme indiqué sur le principe de diversification, mettre tous ses œufs dans le même panier peut poser problème. On pourrait par exemple imaginer une crise où l’accès à la console Intune est impossible et/ou l’image Intune elle-même a été altérée par l’attaque. Dans ce cas, avoir une solution de repli type VDI externe ou remasterisation par clef USB est indispensable.  

[1] https://fr.wavestone.com/fr/insight/cyberattaques-en-france-le-ransomware-menace-numero-1/  

[2] https://attack.mitre.org/techniques/T1490/  

Cet article Cyber Résilience : comment anticiper la reconstruction de l’environnement bureautique est apparu en premier sur RiskInsight.

Le 17 avril dernier, l’ANSSI a publié des premiers documents doctrinaux concernant la remédiation, qui est définie comme le projet de reprise de contrôle d’un système d’information compromis. Ces documents sont le fruit de l’expérience de l’Agence dans l’accompagnement de victimes d’incidents de sécurité. 

Ce corpus est constitué d’un volet stratégique, d’un volet organisationnel et d’un volet technique. Le volet technique, qui traite à ce stade la remédiation du tier 0 de l’Active Directory1, ou encore cœur de confiance, est appelé à s’enrichir d’autres documents à venir. 

La démarche proposée par l’ANSSI (E3R) s’articule en 3 étapes : 

1. Endiguement de l’attaquant 
2. Eviction de l’intrus du cœur du SI 
3. Eradication des emprises de l’adversaire 

La déclinaison de ces étapes est illustrée à travers 3 scénarios types de la remédiation, de niveaux d’ambition croissants, à arbitrer en fonction de l’urgence du redémarrage et des coûts induits par les dommages à long terme liés à l’attaque : 

1. Restaurer au plus vite les services vitaux
2. Reprendre le contrôle du SI 
3. Saisir l’opportunité pour préparer une maîtrise durable du SI 

La publication de ce corpus s’inscrit opportunément dans les réflexions et projets menés actuellement par de nombreux acteurs publics ou privés, afin de renforcer leur résilience face une cyberattaque réussie qui compromettrait, voire détruirait massivement leur Système d’Information. 

Sur le terrain, le chemin restant à parcourir avant de disposer d’un dispositif de remédiation suffisamment éprouvé, s’évalue plutôt en années qu’en mois pour la plupart des acteurs. 

Ce délai peut s’avérer en décalage avec l’évolution de la menace et avec les échéances règlementaires applicables à certains d’entre eux. 

Plusieurs raisons, variables selon les acteurs, peuvent expliquer ce constat. On peut néanmoins en relever trois : 

1. La prise de conscience du risque cyber, même si elle progresse, reste encore insuffisante chez plusieurs décideurs. Entre adresser les priorités du moment et se préparer au long cours à une hypothétique compromission, le choix d’assigner des précieuses ressources humaines et financières est parfois arbitré. 
2. L’interruption des activités d’une organisation à la suite d’un sinistre informatique a été traitée historiquement via des Plans de Reprise d’Activité / Disaster Recovery Plan. Leurs atouts et limites pour mener une remédiation restent encore mal identifiés au sein des organisations : 
   1. Ils peuvent présenter, selon les principes de reprise retenus, des atouts en matière de savoir-faire de séquencement de la reprise du SI (au même titre qu’un arrêt/redémarrage électrique), de capacités de reconstruction unitaires et groupées, de resynchronisation et de réconciliation de données restaurées, … La remédiation pourra alors tirer parti de ces savoir-faire, s’ils ne se sont pas perdus à la suite de l’adoption de nouvelles solutions (ex : secours actif/actif) ou lorsqu’une « dette » en matière de maintien en conditions opérationnelles et d’exercices du DRP s’est installée. 
   2. Ces plans ont également des limites importantes. Leur architecture repose sur des interconnexions techniques et des réplications de données avec des infrastructures de secours, via lesquelles la compromission pourra se propager. D’autre part, si leur pertinence est avérée dans un contexte déterministe (à tel sinistre correspond telle solution, tel plan), elle l’est nettement moins en raison des caractéristiques et du champ des possibles d’une cyberattaque évolutive. 

Ainsi est nécessaire une approche hybride mêlant les acteurs de la résilience opérationnelle, ceux du « DRP » et ceux du « cyber ». Celle-ci peut être facilitée ou freinée selon la gouvernance en place entre ces populations. 

Afin d’accélérer la montée en maturité nécessaire des acteurs sur le sujet de la remédiation du SI à la suite d’une cyberattaque, plusieurs pistes peuvent être considérées. Nous en citerons quatre : 

1. Aider les décideurs à prendre conscience de la spécificité du risque cyber ; 
2. Ancrer le « compromise by design » dans le quotidien ; 
3. Avoir plusieurs moyens de remédiation à son arc ; 
4. Partager et capitaliser sur les retours d’expérience. 

Aider les décideurs à prendre conscience de la spécificité du risque cyber 

La grande majorité des acteurs n’écarte pas totalement la possibilité d’être vulnérable à une cyberattaque réussie qui paralyserait leurs activités par la destruction logique de leurs actifs informatiques. 

En revanche, une partie notable des acteurs n’a pas encore appréhendé que ses moyens existants en matière de secours informatique sont rarement adaptés aux spécificités de ce type d’attaque. Une cyberattaque peut en effet remettre en cause la disponibilité et la non-compromission des moyens d’exploitation et d’administration, jusqu’aux postes de travail des acteurs du rétablissement du SI. Le temps nécessaire à la remédiation d’un SI massivement détruit par une attaque cyber est communément d’un ordre bien supérieur à celui partagé avec le métier dans le cas d’un sinistre physique. 

Plusieurs acteurs n’ont pas non plus encore pleinement mesuré l’impact de la menace cyber liée à leur écosystème, par exemple : 

• Si leurs fournisseurs de services informatiques de premier rang (infogérant, fournisseur de service Cloud, …), voire des fournisseurs de rang supérieur, sont eux-mêmes impactés par une attaque destructrice réussie ; 
• Si un acteur subit une cyberattaque, avérée ou non, réussie ou non, ses partenaires en ayant connaissance pourront, à des fins de protection, l’isoler de façon unilatérale. 

La sensibilisation des décideurs d’une organisation au risque cyber, à sa déclinaison systémique et à l’impact sur l’activité, doit être développée. Dans le secteur financier, la règlementation DORA ou ses équivalents dans certains pays extra-européens ainsi que les stress-tests annoncés par la Banque Centrale Européenne pour 2024, devraient y contribuer. 

Pour nombre de décideurs, trop de mots techniques habillent ce risque de cyber destruction. Contrairement à des enjeux de conformité, tels que le RGPD, appréhendables par des non-initiés, ce risque est perçu comme un sujet traité entre techniciens. Néanmoins, le sujet est de plus en plus abordé au niveau des comités exécutifs via, par exemple la présence du RSSI/CISO au COMEX et/ou via des intervenants externes rompus à l’exercice d’acculturation des dirigeants. 

Ancrer le « compromise by design » dans le quotidien 

Prendre en compte, depuis la conception des projets jusqu’aux activités d’exploitation, une possible compromission du Système d’Information conduisant à sa destruction, permet de renforcer significativement les capacités de résilience du SI. 

Dès les premières phases projet, les métiers peuvent être sollicités pour identifier et évaluer, avec le support des équipes techniques, des solutions par conception cyber-résilientes. Il peut s’agir entre autres : 

• De faire appel à des fournisseurs de solutions nominales indépendantes techniquement du SI de l’organisation, afin de ne pas faire reposer ses activités exclusivement sur son seul SI ; 
• D’héberger et d’opérer/faire opérer des solutions de secours en dehors du SI de l’organisation ; 
• De recourir à des modèles d’architecture cyber-résilientes sur catalogue « on-premise » ou hébergées dans le Cloud. Ils sont également conçus pour permettre d’éprouver leur résilience tout en limitant l’impact des tests sur la production ; 
• De concevoir des projets permettant un fonctionnement en mode dégradé via : 
  • L’extraction périodique de données métiers au format bureautique, externalisée et protégée dans un service externe de stockage de fichiers ; 
  • La capacité d’applications (et de services tels que la restauration) à fonctionner sans certains services transverses tels que les référentiels d’authentification de l’AD via des comptes locaux de secours, … ;
• D’élaborer des procédures dégradées métiers s’appuyant sur les moyens SI dégradés tels que ceux définis précédemment. 

En outre, l’opportunité de certaines pratiques, bien qu’antinomiques avec des objectifs d’homogénéisation et d’industrialisation, peut être considérée en phase de conception technique, notamment : 

• Favoriser la diversité des technologies de façon à limiter l’exploitation d’une vulnérabilité ; 
• Limiter la dépendance des applications avec le SI transverse afin de les reconstruire et de les rendre opérationnelles plus rapidement. 

En phase de recette, le fonctionnement métier en mode dégradé et la capacité à reconstruire une application peuvent être éprouvés de façon systématique avant mise en production. Ce test peut être revu si besoin à chaque évolution majeure. Il doit être réitéré périodiquement à travers des exercices qui permettront d’éprouver les capacités de remédiation et de faire monter en compétence les différents acteurs opérationnels. 

Au-delà de la phase projet, plus des pratiques de reconstruction des actifs pourront être intégrées dans le quotidien (« Business As Usual »), mieux elles seront maîtrisées et par davantage d’acteurs en cas de remédiation, par exemple : 

• Reconstruction, une ou deux fois par an, à partir de moyens hors SI (ex : services Cloud ou moyens hors ligne), des postes de travail utilisés pour les tâches d’administration et/ou d’activités critiques ; 
• Reconstruction, une fois par an, d’infrastructures essentielles au rétablissement du SI (ex : infrastructures de restauration, cœur de confiance, socle de virtualisation, …), à déterminer sur la base de l’analyse de la menace et des risques ; 
• Développement de pratiques CI/CD au quotidien, notamment dans les environnements Cloud, afin d’automatiser la recréation des serveurs pour leur appliquer des changements, tels qu’une montée de version ou des correctifs. 

Enfin, maintenir au quotidien la cartographie du SI (y compris ses interconnexions avec les partenaires et Internet) et ses interdépendances à jour est un facteur clef de la remédiation, qu’il faut soutenir via des processus, un outillage (cyber-résilient) et des contrôles adaptés. 

Avoir plusieurs moyens de remédiation à son arc 

Face à la difficulté de prévoir à l’avance le déroulement d’une cyberattaque et l’évolution de ses impacts, la préparation d’un plan nécessite de trouver le juste milieu entre deux excès : 

• Élaborer des solutions de reconstruction adaptées à nombre trop restreint de scénarios d’attaque, avec le risque inhérent aux impasses,
• Ou, au contraire, chercher à couvrir l’exhaustivité des scénarios possibles, au prix d’une perte notable d’efficience. 

Une analyse de risque réactualisée des scénarios possibles d’attaque, s’appuyant notamment sur une veille de la menace, permet de prioriser ceux à couvrir, tels que ceux qui présentent la plus forte vraisemblance de réussite et l’impact le plus important dans le contexte de l’organisation.  

Cette analyse facilite l’identification des hypothèses qui vont servir d’entrants à l’élaboration des plans. Par exemple : 

• Prévoir la reconstruction industrialisée de la couche de virtualisation de serveurs physiques n’apparaissait pas comme une nécessité pour la grande majorité des acteurs il y a encore un an ; elle est désormais identifiée comme essentielle. 
• La destruction des ressources Cloud via la compromission de l’accès au tenant (comptes maître ou accès API) voire la compromission du fournisseur Cloud lui-même, apparaît pour plusieurs acteurs comme un nouveau risque à prendre en compte dans leur stratégie de résilience Cloud. 

Une fois des hypothèses de travail choisies ou écartées (ex : tels types de composants et de technologies impactés, telles capacités résiduelles des codes malicieux une fois ses moyens d’interagir avec l’attaquant coupés, …), il est possible d’évaluer la pertinence des différents moyens possibles de reconstruction et de mieux prioriser les travaux : 

• Restauration de systèmes et/ou de données métiers à partir de sauvegardes, le cas échéant dans un environnement isolé (ex : à partir de « snapshots », de sauvegardes hors ligne ou « immuables ») ; 
• « Nettoyage » des environnements restaurés et potentiellement déjà compromis lors de leur sauvegarde (ex : via un antivirus pour les fichiers bureautiques et systèmes potentiellement compromis, via un EDR sur des systèmes relancés dans un environnement isolé ou via des solutions pouvant nettoyer directement l’image sauvegardée d’un serveur virtuel) ; 
• Réinstallation de couches techniques compromises (ex : OS, middleware …) ; 
• Réapprovisionnement des infrastructures virtuelles (ex : Terraform, …) ; 
• Stratégies et solutions pouvant couvrir à la fois le risque de sinistre classique et le sinistre cyber (ex : SI de secours indépendant du SI nominal, dont les données métiers sont rafraîchies par un dispositif maintenant l’étanchéité technique). 

Cette évaluation doit pouvoir conduire à l’élaboration d’un « catalogue » de moyens de remédiation., dont l’application doit être contextualisée au moment du traitement de l’attaque. En complément de chaque solution de reconstruction au catalogue, l’identification d’une solution alternative – peut-être moins industrialisée – permettra de mieux faire face à l’aléa du contexte de l’attaque. 

Partager et capitaliser sur les retours d’expérience 

Afin de gagner plus rapidement en maturité et en efficience dans le domaine de la remédiation, les acteurs du marché gagnent à capitaliser sur l’expérience des autres. 

Il peut s’agir de capitaliser via : 

• Des études, telle que le corpus doctrinal publié par l’ANSSI ; 
• Des échanges directs avec ses pairs ou par l’intermédiaire d’acteurs tiers ; 
• Des groupes de travail où son écosystème de partenaires sera si possible représenté. 

Les retours d’expérience à rechercher peuvent porter sur la spécificité du contexte cyber dans la remédiation mais également sur des aspects plus classiques liés à la reconstruction d’un SI tels que : 

• Les méthodes et démarches mises en œuvre ; 
• Les solutions du marché éprouvées (au-delà des promesses) ;  
• Les performances atteintes (délais de reconstruction) ;  
• Les coûts ;  
• Les aspects logistiques et RH (proches de la gestion de crise) ;  
• Les aspects plus fonctionnels tels que la réconciliation de données, faisant suite à des points de restauration différents et à des flux perdus avec des tiers. 

Autres articles sur le sujet de la remédiation : 

Survivre à une compromission d’Active Directory : les principaux enseignements pour améliorer le processus de reconstruction 

Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ? 

Reconstruction d’Active Directory : comment se donner les moyens d’y parvenir ? 

A venir prochainement sur https://www.riskinsight-wavestone.com/ : la remédiation des postes de travail 

Cet article « Compromise by design » ou comment anticiper une cyberattaque destructrice est apparu en premier sur RiskInsight.

Rappel de l’état de la menace

L’ANSSI indique dans ÉTAT DE LA MENACE RANÇONGICIEL – À L’ENCONTRE DES ENTREPRISES ET INSTITUTIONS[1] publié le 05/02/2020 : « Depuis 2018, l’ANSSI et ses partenaires constatent que de plus en plus de groupes cybercriminels possédant des ressources financières et des compétences techniques importantes favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel. ».

Face à ce constat, il est plus que jamais nécessaire de sécuriser les systèmes d’information. Cela passe bien entendu par l’application des fondamentaux de la sécurité : application des mises à jour, gestion des comptes et des mots de passe, gestion de la segmentation réseau etc. Pour rappel, l’application de ces premières mesures permet déjà de réduire sensiblement la probabilité qu’un système d’information soit sujet à un rançongiciel, mais ne peut en aucun cas garantir que cela n’arrivera pas.

Spécificité du secteur industriel

Cependant, même si de nouvelles solutions de défense sont continuellement développées, le coût et la complexité de déploiement de certaines d’entre elles les rendent finalement peu usitées. Cela est d’autant plus vrai en milieu industriel, où leur intégration peut s’avérer complexe, certains systèmes étant figés dans une configuration fonctionnelle. De plus, les budgets alloués à la sécurité informatique en milieu industriel, bien qu’en augmentation ces dernières années, ne sont pas encore suffisants pour bon nombre de sites.

Par ailleurs, un système d’information industriel partage une base commune avec un système d’information classique, et est donc sujet aux mêmes attaques. Bien entendu, des attaques telles que Stuxnet, Triton, ou encore BlackEnergy (à plus faible échelle) nécessitent des compétences supplémentaires. Cependant, il est toujours bon de rappeler que les cibles d’intérêt pour les groupes possédant ce type de moyens sont généralement déjà soumises à des obligations règlementaires (LPM, directive NIS etc.), qui si respectées, limitent grandement les risques qu’une attaque soit réussie à leur encontre. Pourtant, ces systèmes ne sont pas invulnérables, et doivent donc également se préparer à y répondre.

Attaque inévitable sur les systèmes industriels : comment minimiser l’impact et redémarrer les opérations rapidement ?

Il apparait donc que :

• Se protéger de la menace est souvent limité à l’application des mesures de sécurité basiques si aucune obligation règlementaire n’est applicable au système d’information cible ;
• Identifier les sources de menace et détecter une attaque avant qu’elle n’atteigne son objectif nécessite dans l’immense majorité des cas des moyens trop importants vis-à-vis des budgets des systèmes d’information industriels actuels.

En partant du principe que la probabilité qu’un système d’information subisse une cyberattaque réussie, et plus spécifiquement un rançongiciel, dans un avenir proche est quasi certaine, la question suivante se pose donc : « Comment se préparer à une cyberattaque majeure, maintenir les activités critiques dans un mode dégradé, le tout en regagnant rapidement confiance dans le système d’information industriel ? ».

La réponse à cette question est couverte par les deux derniers piliers de la sécurité informatique d’après le framework NIST : respond (répondre) et recover (récupérer). Une tentative de réponse à cette question est présentée dans cet article.

Note : la première partie de cet article « Comment répondre à une attaque avant qu’il ne soit trop tard ? » n’est pas nécessaire à la mise en place des recommandations détaillées dans la seconde partie « Comment récupérer après une attaque si elle n’a pas pu être circonscrite ? ». Bien que l’implémentation de mesures de filtrage réseau soit vivement conseillée, il peut être intéressant pour les sites où la mise en place desdites mesures de filtrage est trop longue, de commencer par la partie préparation de la remédiation à une cyberattaque, plus facile à mettre en œuvre.

Comment répondre à une attaque avant qu’il ne soit trop tard ?

Impliquer les équipes industrielles

Avant de parler des mesures pouvant être mises en place pour répondre à un incident de sécurité numérique, il peut être intéressant de rappeler que le personnel industriel est habitué la gestion de crise.

En effet, bon nombre d’industries organisent régulièrement des exercices de gestions de crises (incendie, risque chimique, catastrophe naturelle etc.). Sur la majorité des sites sensibles, des procédures sont donc déjà disponibles pour répondre à ce type d’incident, le tout sous la direction d’un responsable dédié. Par ailleurs, des protections physiques autonomes sont généralement disponibles : soupape de surpression, clapet anti-retour, sprinkler etc. bien qu’ils soient parfois remplacés par des systèmes instrumentés de sécurité connectés.

Le contexte est donc propice à l’ajout d’une nouvelle procédure afin de répondre à une attaque informatique. Celle-ci consistera généralement en l’isolation du système d’information industriel de l’extérieur via une procédure dite de « bouton rouge ». Afin de rédiger la procédure associée, l’implication du personnel du site sera essentielle, notamment pour s’assurer que l’application de cette dernière ne soit pas plus nocive que l’attaque elle-même.

Un prérequis à la mise en place de posture d’isolement : la maitrise de ses flux et l’implémentation de cloisonnement/filtrage réseau

En effet, il est nécessaire de mesurer les impacts engendrés par l’usage du « bouton rouge ». Pour cela, il faut tout d’aborder lister les interconnexions du site industriel avec d’autres systèmes.

Lister les interconnexions avec d’autres systèmes d’informations

Il peut être intéressant de commencer par lister les flux entre le système d’information industriel et l’extérieur. En premier lieu, il convient de définir ce que contient ce système. Dans un cas basique, il regroupe les automates industriels, la supervision, ainsi que le matériel nécessaire à l’interconnexion des deux premiers.

D’autres équipements peuvent ensuite venir s’y greffer : un serveur d’historisation, des postes clients pour la supervision, un NAS etc. Ce réseau, nommé réseau industriel par la suite, est généralement connecté avec d’autres réseaux afin de partager des informations avec des équipements de ces derniers.

Il est notamment possible de citer :

• Des échanges avec l’ERP de l’entreprise (qu’un MES – Manufacturing Execution System soit présent ou non), généralement localisé sur le réseau bureautique ;
• Des échanges avec des partenaires : régulation des réseaux électriques, d’eau, de gaz etc.
• Des échanges avec des fournisseurs de service : météo, solutions cloud d’optimisation énergétique, de maintenances prédictives etc.

Ces flux, bien qu’utiles pour simplifier l’exploitation, peuvent généralement être temporairement coupés ou remplacés par des moyens de substitution (appel téléphonique pour indiquer les niveaux de production par exemple).

Par ailleurs, chaque site industriel est différent, et gère donc différemment ces interconnexions. Il est notamment courant de voir des réseaux MPLS dédiés aux sites industriels lorsque l’entreprise en possède plusieurs. Dans d’autres cas, le réseau bureautique sera utilisé pour les fédérer. Il en va de même pour les besoins de connexion entre ces réseaux industriels et Internet, qui passent parfois d’abord par le réseau bureautique, ou bénéficient d’une sortie directe.

Lister ses flux internes

Après avoir listé les interconnexions entre le réseau industriel et l’extérieur, il reste à lister les flux internes. La majorité de ces flux devraient être strictement nécessaires au bon fonctionnement du processus industriel, tels que ceux entre la supervision et les automates. La coupure de ces connexions nécessiterait donc de stopper le processus industriel, ou au minimum de le mettre en sûreté.

Il peut alors être intéressant de séparer les équipements et flux associés en plusieurs zones :

• Supervision ;
• Réseau de terrain ;
• Autres (postes clients de la supervision, serveur d’historisations, etc.).

La mise en place de ces zones permet de réduire drastiquement l’exposition de ces composants. En effet, seule la supervision devrait avoir accès aux réseaux de terrain, tandis que la catégorie « autres » ne devrait pouvoir accéder qu’à la supervision.

D’autres zones peuvent être nécessaires à implémenter telles que :

• Une zone d’administration : qui pourrait également être utilisée pour programmer les automates en fonction de la répartition des rôles et des responsabilités sur le site ;
• Une DMZ : pouvant accueillir un serveur relais afin que les équipements extérieurs au site industriel ne se connectent pas directement à la supervision pour venir récupérer les données de production etc.

En fonction des services proposés (serveur WSUS, serveur antivirus, Terminal Server pour la prise en main à distance etc.) d’autres zones peuvent bien évidemment encore être ajoutées.

Evaluer le réel besoin de ses flux

Après avoir listé l’ensemble de ces flux, il est intéressant d’identifier le besoin réel de chacun d’entre eux. Par exemple, est-ce vraiment nécessaire de pouvoir accéder à ses courriers électroniques depuis un serveur de supervision ?

Afin de limiter l’exposition du réseau industriel à l’extérieur, il pourrait également être nécessaire de sortir certains équipements de ce dernier. Par exemple, si une base de données accédée depuis le réseau bureautique est alimentée par la supervision, mais non utile à celle-ci, l’héberger directement sur le réseau bureautique peut s’avérer plus simple que de tenter d’en limiter les accès.

Une fois les flux nécessaires clairement identifiés, il convient de configurer les règles de filtrage associées de manière fine (adresse IP source, adresse IP destination, port de destination). Ce travail nécessite généralement un investissement humain important, principalement des équipes en charge du site industriel, ainsi qu’un coût matériel non négligeable pour se doter d’équipements de sécurité. C’est cependant un prérequis à la mise en place des postures de repli décrites par la suite. Dans un cas idéal, un filtrage applicatif (niveau 7 du modèle OSI) pourrait également être implémenté.

Ce travail, bien qu’essentiel à la mise en place de postures d’isolement, est également l’une des actions fondamentales à réaliser dans le cadre de la sécurisation d’un système d’information (industriel ou non). En effet, chaque flux coupé est un flux qu’il n’est pas nécessaire de surveiller, ainsi qu’un flux de moins exploitable par un attaquant.

Préparer ses postures de repli

L’isolation complète de l’ensemble des équipements d’un système d’information industriel n’est pas toujours souhaitable, même en cas d’attaque. Après avoir listé ces flux, il peut alors être intéressant de ne pas mettre en place une seule posture d’isolement, mais plusieurs postures de repli, permettant dans certains cas de pouvoir continuer à travailler presque normalement.

Posture de repli préventif : isoler l’usine en cas d’attaque sur un réseau tiers

Après avoir identifié les flux entre le réseau industriel et l’extérieur, il est possible de créer une posture de repli associée afin de les désactiver en cas de besoin. L’objectif de cette posture est de couper toutes les interconnexions du réseau industriel avec l’extérieur afin d’empêcher toute propagation d’une attaque. Une solution éprouvée est de regrouper ces flux sur quelques ports Ethernet dédiés. Ainsi, il suffit d’indiquer dans les procédures associées de débrancher les câbles associés pour activer la posture de repli. Cela évite également d’intervenir sur la configuration des pare-feux en cas d’incident de cybersécurité.

Par ailleurs, il est également nécessaire de définir les cas où cette posture devrait être activée. Si elle peut l’être sans poser de problème particulier à la production, ni ajouter trop travail au personnel du site, la question peut se poser de la réelle nécessité de ces flux.

Si cette posture a bel et bien des impacts sur les activités industrielles du site, il faut donc trouver un bon équilibre entre la déclencher trop tôt (dès que l’antivirus d’un poste de travail bureautique remonte une alerte), ou trop tard (après le chiffrement des premiers postes industriels). Cela dépendra également du contexte de l’entreprise et de ses moyens (équipe de veille sécurité dédiée ou non etc.).

Spécificité (sites distribués, non autonomes etc.)

Dans le cas où l’ensemble des flux avec l’extérieur n’ont pas la même destination, il peut être également intéressant de décliner plusieurs postures de repli spécifiques. En effet, si le prestataire en charge de la gestion des caméras du site alerte sur le fait qu’il subit une attaque par rançongiciel, il semble plus optimal de ne déconnecter que les flux entre ce prestaire et le réseau de l’usine, plutôt que l’ensemble des flux, incluant notamment ceux vers l’ERP.

Dans le cas où le processus industriel est distribué sur plusieurs sites (usine de production et de distribution notamment), l’activation de la posture de repli préventif ne devrait pas couper les flux entre ces différents sites. En effet, des liaisons spécifiques devraient y être dédiées. Si cela n’est pas le cas, utilisation du réseau bureautique pour assurer ces connexions par exemple, un projet de refonte du réseau industriel est probablement à prévoir (déploiement d’une VRF dédiée, ou d’un réseau SDWAN par exemple).

Enfin, il est toujours bon de rappeler que chaque usine étant différente, une étude locale sera à mener sur chacune pour en comprendre les spécificités.

Posture de repli de dernier recours : couper le système d’information en cas d’attaque avérée sur l’usine

Enfin, il peut être intéressant de préparer une posture de repli de dernier recours. Cette dernière devrait consister en l’isolation de chaque VLAN (si définis, de préférence avec une interface locale homme-machine par VLAN pour assurer un mode dégradé) ou de chaque équipement (extinction des commutateurs – switch) afin d’empêcher l’attaquant de continuer ses actions, qui, dans les cas d’attaques les plus avancées, pourraient cibler directement le processus industriel du site.

L’objectif est alors de mettre le site en sûreté ou d’en assurer les services essentiels. L’activation de cette posture implique de travailler sans système d’information, et ne devrait être appliquée qu’en cas de compromission avérée d’au moins un équipement du site puisqu’elle aboutit au même résultat immédiat qu’un rançongiciel, si ce n’est pire.

Un travail en amont avec les exploitants sera nécessaire afin de lister l’ensemble des actions à réaliser lors de l’activation de cette posture et définir des modes dégradés. En effet, cela va généralement nécessiter d’activer des astreintes afin de réaliser manuellement certaines tâches : vérification du bon fonctionnement des équipements, notamment sur les sites distants, utilisation des interfaces hommes-machines locales, etc. Par ailleurs, certains processus industriels ne sont plus pilotables manuellement aujourd’hui, et devront donc être compléments stoppés puisqu’aucun mode dégradé n’est disponible.

Afin d’estimer les impacts de l’activation d’une telle posture, il peut être intéressant de s’intéresser aux impacts listés en cas d’incendie ou de panne générale d’électricité. Par ailleurs, seul un test réel de cette posture permet de s’assurer de ses impacts opérationnels.

Comment récupérer après une attaque si elle n’a pu être circonscrite ?

Dans certains cas, l’activation des postures de repli peut ne pas suffire à protéger l’ensemble du système d’information industriel, notamment si elles sont activées trop tard. Il est alors essentiel de pouvoir procéder à la reconstruction de tout ou partie dudit système dans un temps suffisamment court pour limiter les impacts associés.

Les principaux prérequis nécessaires à la restauration d’un système d’information industriel sont listés ci-après.

Que faut-il sauvegarder pour pouvoir restaurer ses automates ?

Afin de pouvoir redémarrer l’usine, il est nécessaire dans la plupart des cas de commencer à restaurer les automates, ce qui nécessite deux éléments principaux.

Posséder une copie à jour de ses programmes automates

Les automates sont épargnés dans la plupart des attaques actuelles, probablement puisque cibler les postes Windows suffit aux attaquants pour atteindre leurs objectifs visés. Cependant, les attaques sont amenées à être de plus en plus ciblées, et la majorité des automates actuellement en service ne sont pas sécurisables (communications non chiffrées et non authentifiées, mots de passe par défaut, fonctionnalité d’administration non désactivables etc.).

Il convient donc de sauvegarder ces programmes, ce qui est déjà généralement le cas, notamment sur le poste de programmation (appartenant parfois à un prestataire) utilisé lors de la mise en service de l’appareil. Il est à noter que ces sauvegardes devraient être stockées sur au moins un support hors-ligne, de façon à ne pas les voir chiffrer au même moment que le poste les hébergeant.

Ces constats restent valables même pour les nouvelles gammes d’automates, qui, bien que bénéficiant d’un niveau de sécurité sans commune mesures avec leurs prédécesseurs, ne sont pour autant pas invulnérables.

Sauvegarder un moyen de télécharger ces programmes sur les automates

La majorité des automates nécessite un logiciel dédié pour être programmé. Et ce, même pour simplement télécharger un programme déjà écrit. Il convient donc de posséder une copie de ces programmes.

Dans certains cas, un poste de programmation déconnecté du réseau et réservé à cet usage peut être une solution. Il est cependant à noter que le maintien en condition de sécurité d’un tel poste peut rapidement s’avérer complexe. Si cette solution est sélectionnée, ce poste pourrait également héberger la copie des programmes automates. Garder un second jeu de sauvegarde hors-ligne (disque dur externe par exemple) serait cependant une sécurité supplémentaire.

Par ailleurs, si de nouvelles gammes d’automates sont utilisées, avec les dernières fonctionnalités de sécurité activées, d’autres éléments sont à sauvegarder tels que : les mots de passe des programmes automates, les certificats utilisés pour certaines communications (ou un moyen d’en regénérer) etc.

Ces prérequis sont également valables pour les équipements réseaux (pare-feux, commutateurs etc.).

Que faut-il sauvegarder pour pouvoir restaurer son matériel informatique essentiel ?

Identifier ce qui est vraiment nécessaire

La restauration des superviseurs, et des postes clients associés, revient généralement à restaurer un système Windows et les programmes associés. Plusieurs questions sont alors à se poser pour identifier les éléments à sauvegarder :

• Quels sont les équipements nécessaires ? Un poste d’ingénierie, un superviseur, quelques postes opérateurs ?
• Est-il possible de réinstaller le superviseur de zéro (nouvelles installations de Windows et du logiciel de supervision) puis d’y déposer une sauvegarde de la configuration du superviseur ? Est-ce réalisable en un temps suffisamment court ?
• Une copie complète du disque du superviseur ne serait-elle pas plus simple ? Il suffirait en effet d’insérer le disque sauvegardé pour redémarrer.
• Des modifications sont-elles régulièrement apportées au logiciel de supervision ? Si oui, est-il nécessaire de toutes les sauvegarder ? Dans ce cas, il parait complexe de réaliser une copie complète du disque à chaque fois.

Sauvegarder intelligemment

Dans la majorité des cas, les sauvegardes des postes Windows sont réalisées de la même manière que celles des programmes automates, c’est-à-dire en réalisant des copier/coller. Il pourrait alors être intéressant de s’intéresser aux mécanismes de sauvegarde automatique. Cependant, ces derniers sont probablement à proscrire pour les usines partant de zéro et ne bénéficiant pas d’un budget suffisant pour les installer sereinement. En effet, la mise en œuvre de ce type de solution de manière sécurisée reste généralement plus complexe que de réaliser une simple copie bit à bit d’un disque dur.

Ne pas négliger la documentation et l’entrainement

Avoir à disposition des sauvegardes complètes n’est cependant pas suffisant. Il est également nécessaire de rédiger les modes opératoires détaillés permettant de restaurer ces sauvegardes. En effet, si une crise venait à survenir, le stress des équipes, et l’indisponibilité potentielle de certains des sachants, pourraient mener à des erreurs de manipulations en l’absence de documentation.

Ces procédures n’ont pas vocation à permettre une restauration complète de l’ensemble des systèmes, mais au moins de permettre de redémarrer les éléments essentiels précédemment identifiés :

• Un poste d’ingénierie avec les logiciels de programmation automates associés ;
• Un superviseur ;
• Deux à trois postes de travail des opérateurs ;
• Les automates essentiels de l’usine.

Par ailleurs, il est généralement recommandé de bénéficier d’au moins deux jeux de sauvegardes, l’un stocké à proximité des équipements concernées, l’autre à stocker sur un site physiquement éloigné, et dont l’accès est limité à un nombre restreint de personnes. Il peut être tentant de stocker un jeu de sauvegarde supplémentaire en ligne, mais il est à noter qu’en cas de cyberattaque, et d’activation des postures de repli, il soit complexe de télécharger ces sauvegardes et de les déposer sur les systèmes à restaurer.

Enfin, il est essentiel de tester l’ensemble de ces procédures pour s’assurer qu’elles sont exhaustives. Un test pourrait par exemple être l’occasion de se rendre compte que la sauvegarde de la configuration du superviseur n’inclut pas la clé de licence, ou encore que les mots de passes configurés lors de la copie complète du disque aient été modifiés depuis sans en garder l’historique.

Conclusion

La gestion des crises est une composante importante du métier de beaucoup d’exploitants de systèmes industriels. Ces mêmes personnes sont également les plus en maitrise sur leur périmètre. Pour autant, il ne s’agit généralement pas d’experts en informatique. Des mesures pragmatiques, et adaptées à leur contexte, seront donc bien plus utiles qu’un guide générique de 200 pages regroupant l’ensemble des bonnes pratiques à appliquer sur un système d’information.

Tout comme en développement avec le principe KISS (Keep it simple,stupid), les postures de repli, ainsi que les procédures de restauration, devraient rester simples à comprendre, et stupides à appliquer.

Par ailleurs, bien que l’application d’une politique de filtrage réseau stricte ne peut qu’être conseillée, elle n’est pas strictement nécessaire à la mise en place des actions de sauvegarde et restauration. Ainsi, même si la probabilité qu’une attaque aboutisse n’en sera que plus forte, il sera toujours possible de restaurer les systèmes critiques.

Enfin, il est à noter que de plus en plus de processus industriels fonctionnent aujourd’hui en flux tendu. Dans ce type de contexte, la préservation du système industriel d’une attaque, ou la capacité de le restaurer rapidement, ne serait pas suffisant à maintenir le niveau de production si la gestion des commandes ou de la distribution par exemple sont indisponibles. La cyber résilience doit donc être prise en compte à l’échelle de l’entreprise, et non uniquement au niveau du site industriel.

Eléments clés

Pour répondre à une attaque avant qu’il ne soit tard il est nécessaire :

• D’impliquer les équipes industrielles (sans quoi il est fort probable que l’informatique survive à l’attaque, mais sans que l’usine ne continue de répondre à sa mission première) ;
• De maitriser ses flux et implémenter un cloisonnement/filtrage réseau afin de pouvoir mettre en place des postures de repli :
  • Préventives, afin d’isoler l’usine en cas d’attaque sur un réseau tiers sans pour autant impacter de manière trop significative le processus industriel ;
  • De dernier recours, afin de couper le système d’information en cas d’attaque avérée sur l’usine avant que l’attaquant ne modifie le processus industriel.
• De tester ces postures de repli, afin de s’assurer que leur activation ne soit pas pire que l’attaque.

Et dans le cas où l’attaque n’a pu être circonscrite, les éléments suivants sont généralement nécessaires afin de pouvoir récupérer de ladite attaque :

• Posséder une copie à jour de ses programmes automates ;
• Sauvegarder un moyen de télécharger ces programmes sur les automates ;
• Posséder au moins une copie de l’ensemble des sauvegardes critiques sur un support hors-ligne (disque dur externe par exemple) ;
• Identifier son matériel informatique essentiel (notamment afin de ne pas restaurer le serveur d’historisation avant celui de supervision…) ;
• Sauvegarder intelligemment, parfois une copie bit à bit du disque dur est plus efficace qu’une copie automatique sur un serveur dédié, généralement chiffré en même temps que le système dont il héberge les sauvegardes ;
• Ne pas négliger la documentation et l’entrainement (dans le cas contraire, une clé de licence oubliée, ou un sachant en vacances pourrait rapidement signer la fin de la restauration…).

[1] www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf

Une nouvelle version de l’état de la menace a été publiée en ce début d’année : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf

Cet article Cyber résilience en milieu industriel est apparu en premier sur RiskInsight.

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.  

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières  aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT). 

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.  

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues. 

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques ! 

La transformation numérique à marche forcée

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

Les tests sont un élément important de la résilience opérationnelle et peuvent prendre de nombreuses formes, depuis les tests de reprise après sinistre pour assurer la continuité des services jusqu’aux simulations de crise de bout en bout pour examiner la prise de décision. Il permet de gérer les risques de manière proactive, d’intégrer le cadre de gestion des crises et d’améliorer en permanence les capacités telles que la continuité des activités, la gestion des crises, la reprise après sinistre (DR) et la résilience cyber. Il va sans dire que la formation joue un rôle important dans un tel programme d’essai.

« Une meilleure sensibilisation nourrit une culture organisationnelle qui englobe la résilience opérationnelle et, par conséquent, améliore la préparation de l’entreprise à faire face à l’adversité ».

D’une entreprise à l’autre, les bons programmes d’essai varient en nature, en ampleur et en complexité. En fonction de la structure et des activités de l’entreprise, les tests sont effectués à différents niveaux et endroits de l’organisation, avec la participation de parties externes (c’est-à-dire les fournisseurs critiques). En réalité, si les autorités de réglementation ne donnent que peu d’indications sur ce qui est « bon », les programmes sont souvent fragmentés et peuvent causer un véritable casse-tête.

PRINCIPES POUR LA CRÉATION D’UN PROGRAMME D’ESSAI RÉUSSI

Bien qu’il n’y ait pas de solution miracle pour créer un programme de test adapté, nous recommandons de suivre six principes directeurs pour en concevoir un qui soit efficace et adapté aux besoins de votre organisation. Le respect de ces principes pourrait améliorer considérablement les résultats du programme.

1. Penser à long terme

Lors de l’élaboration d’un programme de tests, il est primordial de définir ce que vous voulez atteindre en 3 ans. L’accent mis sur les résultats donne l’orientation requise tout en offrant la souplesse nécessaire pour remodeler le programme de tests chaque année afin de répondre aux changements tout en se concentrant sur l’objectif final. Commencez par de petits tests moins complexes, tels que des tests de fonctionnement, et passez à des exercices de simulation de crise très impliqués et réalistes.

2. Commencer par les menaces

Chaque test doit établir un lien avec la ou les menace(s) résultant d’un ou plusieurs scénarios d’incidents majeurs plausibles (et leurs impacts). Anticipez et comprenez les nouvelles menaces grâce à la surveillance du marché et tirez parti des rapports d’audit et des évaluations des risques lors de l’élaboration ou de la révision de votre programme.

3. Focus sur les services importants aux entreprises

Aligner les tests des dispositifs d’urgence existants sur les services commerciaux importants et les processus clés. Cela permet d’assurer la préparation en cas de situation à fort impact sur les entreprises et d’éviter les difficultés découlant d’un manque de vision de bout en bout.

4. Diversifier les tests

Les scénarios les plus probables et les plus impactants doivent être examinés avec différents groupes de parties prenantes par le biais de différents types de tests. Cela permet de s’assurer que la théorie fonctionne dans la pratique et que les différents réflexes sont ancrés dans l’ADN de l’organisation.

Pour obtenir plus d’avantages, il faut aller au-delà des plans d’urgence autonomes et des tests d’outils de communication et en examiner une combinaison avec les parties prenantes internes et externes, commerciales et techniques.

Le radar ci-dessus est un exemple indicatif de ce que serait un bon programme d’essai. Les catégories de menaces considérées sont aléatoires et pourraient être sélectionnées différemment, à condition de maintenir la diversification (mix-and-match).

Simulation de crise

Les simulations de crise examinent une situation de catastrophe hypothétique avec des parties définies et des cellules de stimulation multiples. Elles permettent de répéter l’établissement et la communication des besoins de rétablissement et de mener à bien les activités pertinentes. La simulation de crise peut être un exercice sur table (niveau 1), une simulation pratique (niveau 2), une simulation pratique de crise multi-cellules (niveau 3) ou une simulation pratique internationale multi-cellules avec plusieurs parties (niveau 4).

Cet article TESTEZ ET AUGMENTEZ VOTRE RÉSILIENCE : COMMENT CONSTRUIRE VOTRE PROGRAMME DE TEST est apparu en premier sur RiskInsight.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2) est apparu en premier sur RiskInsight.