Maîtriser les premiers gestes critiques après une cyberattaque

C'est un mardi ordinaire au sein de votre centre d'opérations de sécurité (SOC) et tout va bien... jusqu'à ce que ce ne soit plus le cas. Votre tableau de bord s'allume. Des alarmes sont déclenchées. Une série d'événements s'est intensifiée. Le téléphone de tout le monde commence à sonner. Il est clair qu'un incident s'est produit et qu'un cybercriminel a peut-être déjà plusieurs longueurs d'avance. Vous n'avez que quelques minutes pour contenir la brèche avant qu'elle ne s'étende au reste du réseau.

Les premières heures qui suivent une intrusion sont cruciales. Chaque décision que vous prenez maintenant peut soit ouvrir la voie à un rétablissement rapide, soit conduire à un chaos potentiel.

C'est le moment de passer de la réactivité à la proactivité, de ne pas se contenter de répondre, mais de déjouer les pièges. Dans l'analyse ci-dessous, nous vous guiderons dans la maîtrise de l'art de la réponse aux incidents, en transformant un désastre potentiel en une démonstration de résilience. Découvrez des stratégies qui vous permettront de prendre le contrôle, de minimiser les dommages et de vous assurer qu'au prochain incident, vous serez plus que prêt(e).

Le rattrapage nuit à la réactivité

Avant d'aborder la meilleure façon de réagir sur le moment, il est important de planter le décor et d'expliquer comment nous en sommes arrivés là. Au cours des cinq dernières années, l'accélération de la transformation numérique et les modèles de travail hybrides ont élargi la surface d’attaque. L'infrastructure critique s'est étendue du datacenter renforcé à la périphérie du réseau dans les applications Web, les plateformes SaaS (Software-as-a-Service), les environnements de cloud public et les terminaux distribués. Par conséquent, l'infrastructure de sécurité s'est également étendue avec des dizaines de nouveaux outils intégrés sur les piles de sécurité existantes.

Ce mélange d'outils de sécurité fait qu'il est difficile de savoir si tous les coins et recoins des infrastructures dynamiques d'aujourd'hui sont réellement protégés. Enregistrez-vous les bons types d'événements ? Les capteurs sont-ils déployés aux bons endroits ? Quels sont les événements vraiment importants et quels sont ceux qui ne sont que du « bruit » ? Dans le même temps, un déficit de compétences est apparu au sein des équipes SOC - en particulier sur le marché intermédiaire (mid-market) où les ressources et la mise à niveau sont souvent hors budget. Les petites équipes ne peuvent tout simplement pas suivre le rythme des technologies émergentes, de l'informatique en libre-service et des politiques BYOD (Bring Your Own Device).

Il en résulte que beaucoup de choses se passent sur le réseau de l'entreprise qui échappent à l'attention de l'équipe SOC. Les faux positifs submergent les analystes, ce qui permet à des événements illégitimes de passer inaperçus. Selon Gartner®, "le temps de réponse moyen le plus court des fournisseurs de services de réponse aux incidents est d'environ deux heures, et le temps de réponse le plus long est d'environ six à huit heures"¹. Dans ce laps de temps, il est possible que l’attaquant ait sondé le réseau, identifié des cibles précieuses et attende le moment optimal pour frapper. Et à ce moment-là, il est trop tard. Le cybercriminel a déjà une douzaine d'étapes d'avance, il a livré sa charge utile et vous tient à sa merci.

Les premiers gestes sont essentiels pour une réponse rapide

Garder une longueur d'avance sur les cybercriminels commence bien avant que l'attaquant n'ait même envisagé de pénétrer dans votre réseau. La préparation, rapidement suivie par l'investigation et la découverte, est essentielle pour répondre rapidement à l'inévitable violation. Les équipes de sécurité doivent alors contenir la menace, l'éradiquer et rétablir le fonctionnement normal de l’organisation aussi rapidement et sans perturbation que possible. Enfin, en tirant les leçons des erreurs commises et en comblant les lacunes vulnérables en matière de sécurité, il est possible d'améliorer la préparation à l'avenir et de s'assurer que l'on ne sera pas « mordu deux fois par le même serpent ».

1. Préparez, préparez et préparez encore

Bien que la préparation précède idéalement une attaque, nous l'avons incluse comme première étape clé ici.

Beaucoup de gens aiment comparer la cybersécurité et la stratégie militaire, et la préparation au combat est l'un des parallèles les plus forts que l'on puisse établir entre les deux mondes. Les généraux et les planificateurs sur les champs de bataille passent énormément de temps à effectuer des simulations et des exercices sur table afin de déterminer les plans de bataille et d'affiner leur capacité à répondre aux mouvements de l'ennemi. Les équipes de sécurité doivent faire de même pour s'assurer que lorsqu'une attaque se produit, ce n'est pas la première fois que les analystes de sécurité sont confrontés à un scénario spécifique.

Les tests de pénétration sont essentiels pour une défense préventive, car ils font appel à des white hackers pour découvrir et combler les failles de sécurité en sondant régulièrement le réseau. Cette pratique permet non seulement d'identifier et d'atténuer les limites de l'observabilité et des capacités du réseau, mais aussi de tester l'efficacité des plans d'action établis et des procédures formelles. Une telle préparation soumet votre équipe à des exercices rigoureux, ce qui améliore l'état de préparation et crée un précédent solide pour répondre à des événements réels de cybersécurité. Il est également judicieux de poser à vos fournisseurs des questions difficiles sur les capacités et les limites de leurs produits. Les tester vous permet de vous assurer que vos outils font ce que leurs développeurs ont promis. 

2. Déterminez et comprenez le contexte de l’attaque

Le compte à rebours commence dès qu'une brèche est détectée. La première étape consiste à obtenir des informations sur la violation, notamment sur les méthodes d'attaque, les systèmes compromis et les futures cibles potentielles. Cette phase cruciale consiste non seulement à comprendre l'ampleur de l'attaque en extrayant les données et les journaux des systèmes touchés, mais aussi à évaluer votre exposition et à identifier les actifs les plus menacés. L'analyse de ces informations permet aux analystes de rechercher les causes profondes par le biais de recherches récursives, ce qui permet de déterminer la stratégie de réponse la plus rapide et la plus efficace dans ces premiers instants critiques.

La collecte et la compréhension de ce contexte dépendent entièrement de l'observabilité de vos actifs. Avec un peu de chance, vous vous êtes préparé grâce à des tests de pénétration et vous avez comblé toutes les lacunes de visibilité qui vous permettent de reconstituer l'ensemble de la chaîne d'attaque - de l'intrusion à la détection. Gardez à l'esprit que les acteurs de la menace d'aujourd'hui utilisent probablement vos propres outils contre vous pour se répandre dans le réseau, il est donc important de vérifier les nouveaux accès administrateurs ou d'autres changements d'authentification. En tirant parti de la veille sur les menaces, vous pouvez identifier des modèles dans des événements disparates, exclure ou trouver des activités et anticiper les prochaines étapes des attaquants, en supprimant l'imprévisibilité dont ils dépendent pour rester en avance sur les défenses. Ces informations sont cruciales aux stades du tri, de l'enquête et de l'endiguement, car elles permettent de naviguer rapidement dans le paysage des menaces.

3. Contenez la menace

L'objectif des deux premières menaces est de vous amener à cette étape le plus rapidement possible. La rapidité est essentielle lorsqu'il s'agit d'une menace permanente, et la préparation du champ de bataille et la compréhension du contexte d'une attaque vous permettent de prendre rapidement des mesures décisives. Empêcher l'attaque de se propager est l'objectif le plus important à ce stade de la chaîne d'attaque. N'oubliez pas qu'il n'est probablement pas possible d'empêcher les brèches de se produire. Mais l'objectif principal est de minimiser leur impact et de réduire les risques pour l'entreprise.

Une fois que vous savez ce que l'attaquant prépare, vous pouvez commencer à isoler les systèmes infectés et à couper les points d'accès pour empêcher la propagation. Mettez en place des déclencheurs automatisés qui réinitialisent les informations d'identification et les autorisations des comptes. Déployer des pots de miel et des bacs à sable sur le réseau pour forcer la main des intrus et les inciter à déployer leurs charges utiles dans un environnement sécurisé. Éliminez les entités non autorisées qui tentent de se connecter à vos actifs ou d'initier une connexion extérieure.

4. Assurez le retour à la normale

Une fois la mise en quarantaine effectuée, vous pouvez commencer à trier les mesures à prendre pour que les opérations reprennent le plus rapidement possible et sans perturbation. Si vous avez fait tout ce qu'il fallait, il est possible que le réseau ou d'autres actifs n'aient pas été touchés du tout et que les utilisateurs ne sachent pas qu'une violation a eu lieu.

Si les systèmes ont été compromis ou arrêtés, il est important de les restaurer avec des images à jour dont la vulnérabilité a été corrigée et de réinitialiser les autorisations pour les utilisateurs autorisés le plus rapidement possible. Vous devez ensuite procéder à un audit complet des systèmes et des utilisateurs concernés afin de détecter toute modification apportée par l'attaquant au cours de la violation. Si c'est le cas, corrigez-les immédiatement. Il serait dommage de prendre un voleur sur le fait et de le voir revenir plus tard parce que vous n'avez pas repris les clés qu'il avait volées.

5. Faites en sorte que cela ne se reproduise plus

Tout au long de ce processus, il est essentiel de documenter méticuleusement chaque action et chaque décision. Cela permet d'effectuer une analyse rétrospective et de tirer des enseignements de tout oubli ou erreur. Renforcez vos défenses en déployant des capteurs supplémentaires, en colmatant les failles de sécurité et en dispensant une formation complémentaire aux analystes qui ont pu négliger des signaux critiques. L'audit régulier de vos processus garantit un travail d'équipe cohésif en vue d'un objectif commun. Il est tout aussi important d'organiser des séances de retour d'information, au cours desquelles l'équipe discute non seulement des domaines à améliorer, mais reconnaît également les processus et les contrôles qui ont donné de bons résultats, renforçant ainsi leur validité. Ces discussions sont essentielles pour affiner les manuels de jeu et devraient favoriser une atmosphère constructive, en se concentrant sur le progrès collectif plutôt que sur les reproches individuels. L'objectif est de cultiver un environnement dans lequel chaque membre de l'équipe s'engage à s'améliorer en permanence et à valider efficacement les procédures existantes.

Il est également important d'impliquer la direction générale et les équipes juridiques et de relations publiques si nécessaire, afin que tout le monde soit au courant de ce qui s'est passé et du risque que cela représente pour l'organisation. Les données des clients ont-elles été exposées ? L'attaquant va-t-il rendre son attaque publique ? Existe-t-il des réglementations qui exigent la divulgation des informations ? Un audit sera-t-il déclenché ? Autant de questions que l'équipe chargée de l'évaluation des risques doit prendre en compte pour déterminer si une réponse publique est nécessaire.

Résumé

Nous vivons dans un monde où les violations sont inévitables et où une réponse rapide est essentielle pour atténuer l'impact d'une attaque sur l’organisation. Cela nécessite une préparation approfondie avant qu'une brèche ne se produise, afin que l'équipe SOC ait une visibilité sur la chaîne d'attaque et les systèmes touchés. Il est essentiel d'agir rapidement en disposant d'informations exploitables pour réduire le risque commercial en limitant l'impact de l'attaque et en y remédiant. Enfin, un audit post-événement et une session de retour d'expérience peuvent s'avérer nécessaires pour combler les failles, améliorer les processus et être mieux préparés à l'avenir.