• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Alors que les cyberattaques continuent de croître en volume, en diversité et en sophistication, en plus d'être de plus en plus perturbatrices et dommageables, les entreprises doivent être prêtes à les gérer efficacement.

    En plus de déployer des solutions et des pratiques de sécurité efficaces, ils doivent pouvoir identifier et traiter rapidement attaques, garantissant ainsi un minimum de dommages, de perturbations et de coûts.

    Chaque système informatique est une cible potentielle d'une cyber-attaque, et la plupart des gens conviennent qu'il ne s'agit pas de savoir si, mais quand cela se produira. Cependant, l'impact varie en fonction de la rapidité et de l'efficacité avec lesquelles vous abordez le problème, d'où la nécessité d'une préparation à la réponse aux incidents.

    Une réponse aux incidents de cybersécurité (IR) fait référence à une série de processus qu'une organisation prend pour faire face à une attaque contre ses systèmes informatiques. Cela nécessite une combinaison des bons outils matériels et logiciels ainsi que des pratiques telles qu'une planification, des procédures, une formation et un soutien appropriés de la part de tous les membres de l'organisation.

    Bonnes pratiques avant, pendant et après les incidents de sécurité

    Lorsqu'une cyberattaque se produit, plusieurs activités peuvent se dérouler simultanément, ce qui peut être mouvementé en l'absence de coordination ou de procédures appropriées de traitement des incidents.

    Cependant, se préparer à l'avance et établir un plan et des politiques de réponse aux incidents clairs et faciles à comprendre permettent aux équipes de sécurité de travailler en harmonie. Cela leur permet de se concentrer sur les tâches critiques qui limitent les dommages potentiels à leurs systèmes informatiques, à leurs données et à leur réputation, tout en évitant les interruptions d'activité inutiles.

    Préparer un plan de réponse aux incidents

    Un plan de réponse aux incidents documente les étapes à suivre en cas d'attaque ou de tout autre problème de sécurité. Bien que les étapes réelles puissent varier en fonction de l'environnement, un processus typique, basé sur le cadre SANS (SysAdmin, Audit, Network, and Security), comprendra la préparation, l'identification, le confinement, l'élimination, la récupération, la notification de l'incident et un post- examen des incidents.

    réponse à l'incident
    Flux de processus de réponse aux incidents (basé sur le modèle NIST) Image(s) NIST

    La préparation comprend l'élaboration d'un plan avec des informations pertinentes et les procédures réelles que l'équipe d'intervention en cas d'incident informatique (CIRT) suivra pour traiter l'incident.

    Il s'agit notamment de:

    • Des équipes et des personnes spécifiques responsables de chaque étape du processus de réponse aux incidents.
    • Définit ce qui constitue un incident, y compris ce qui justifie quel type de réponse.
    • Données et systèmes critiques qui nécessitent plus de protection et de sauvegarde.
    • Un moyen de préserver les états affectés des systèmes affectés à des fins médico-légales.
    • Procédures pour déterminer quand et à qui notifier un problème de sécurité. Lorsqu'un incident se produit, il peut être nécessaire d'informer les utilisateurs concernés, les clients, les agents chargés de l'application des lois, etc., mais cela différera d'un secteur et d'un cas à l'autre.

    Un plan de réponse aux incidents doit être facile à comprendre et à mettre en œuvre, ainsi qu'à s'aligner sur d'autres plans et politiques de l'organisation. Cependant, la stratégie et l'approche peuvent différer selon les secteurs, les équipes, les menaces et les dommages potentiels. Des tests et des mises à jour réguliers garantissent que le plan est valide et efficace.

    Étapes de réponse aux incidents lors d'une cyberattaque

    Une fois qu'il y a un incident de sécurité, les équipes doivent agir rapidement et efficacement pour le contenir et l'empêcher de se propager aux systèmes propres. Voici les meilleures pratiques pour résoudre les problèmes de sécurité. Cependant, ceux-ci peuvent différer selon l'environnement et la structure d'une organisation.

    Rassembler ou engager l'équipe de réponse aux incidents informatiques

    Assurez-vous que l'équipe multidisciplinaire interne ou externalisée du CIRT dispose des bonnes personnes possédant à la fois les bonnes compétences et l'expérience. Parmi ceux-ci, sélectionnez un chef d'équipe qui sera la personne focale pour donner des directives et s'assurer que la réponse se déroule conformément au plan et aux échéanciers. Le chef travaillera également main dans la main avec la direction et surtout lorsqu'il y a des décisions importantes à prendre au niveau des opérations.

    Identifier l'incident et établir le type et la source de l'attaque

    Lors de tout signe de menace, l'équipe IR doit agir rapidement pour vérifier s'il s'agit bien d'un problème de sécurité, qu'elle soit interne ou externe, tout en s'assurant qu'elle le contient le plus rapidement possible. Les moyens typiques de déterminer quand il y a un problème comprennent, mais sans s'y limiter;

    • Alertes des outils de surveillance de la sécurité, dysfonctionnements dans les systèmes, comportements inhabituels, modifications de fichiers inattendues ou inhabituelles, copie ou téléchargement, etc.
    • Rapports par les utilisateurs, les administrateurs réseau ou système, le personnel de sécurité ou les partenaires ou clients tiers externes.
    • Journaux d'audit présentant des signes de comportement inhabituel des utilisateurs ou des systèmes, tels que plusieurs tentatives de connexion infructueuses, des téléchargements de fichiers volumineux, une utilisation élevée de la mémoire et d'autres anomalies.
    Alerte automatique d'incident de sécurité Varonis
    Alerte automatique d'incident de sécurité Varonis - Image(s) Varonis 

    Évaluer et analyser l'impact de l'attaque

    Les dommages causés par une attaque varient en fonction de son type, de l'efficacité de la solution de sécurité et de la vitesse à laquelle l'équipe réagit. Le plus souvent, il n'est possible de voir l'étendue des dégâts qu'après avoir complètement résolu le problème. L'analyse doit déterminer le type d'attaque, son impact et les services qu'elle aurait pu affecter.

    Il est également recommandé de rechercher les traces que l'attaquant aurait pu laisser et de rassembler les informations qui aideront à déterminer le calendrier des activités. Cela implique d'analyser tous les composants des systèmes concernés, de capturer forensicset déterminer ce qui aurait pu se passer à chaque étape.

    En fonction de l'étendue de l'attaque et des résultats, il peut être nécessaire de remonter l'incidence à l'équipe concernée.

    Confinement, élimination des menaces et récupération

    La phase de confinement comprend le blocage de l'attaque de la propagation ainsi que la restauration des systèmes à l'état de fonctionnement initial. Idéalement, l'équipe CIRT devrait identifier la menace et la cause première, supprimer toutes les menaces en bloquant ou en déconnectant les systèmes compromis, en nettoyant le malware ou le virus, en bloquant les utilisateurs malveillants et en restaurant les services.

    Ils doivent également établir et corriger les vulnérabilités que les attaquants ont exploitées pour empêcher de futures occurrences de celles-ci. Un confinement typique implique des mesures à court et à long terme ainsi qu'une sauvegarde de l'état actuel.

    Avant de restaurer une sauvegarde propre ou de nettoyer les systèmes, il est important de conserver une copie de l'état des systèmes affectés. Cela est nécessaire pour préserver l'état actuel, ce qui peut être utile en matière de criminalistique. Une fois sauvegardés, l'étape suivante est la restauration des services perturbés. Les équipes peuvent y parvenir en deux phases:

    • Vérifiez les systèmes et les composants du réseau pour vérifier que tous fonctionnent correctement
    • Vérifiez à nouveau tous les composants qui ont été infectés ou compromis, puis nettoyés ou restaurés pour vous assurer qu'ils sont désormais sécurisés, propres et opérationnels.

    Notification et rapport

    L'équipe d'intervention en cas d'incidence effectue l'analyse, la réponse et le rapport. Ils doivent explorer la cause première de l'incident, documenter leurs conclusions sur l'impact, comment ils ont résolu le problème, la stratégie de récupération tout en transmettant les informations pertinentes à la direction, aux autres équipes, aux utilisateurs et aux fournisseurs tiers.

    Communications avec des agences et prestataires externes
    Communications avec des agences et prestataires externes  Image(s) NIST

    Si la violation touche des données sensibles qui nécessitent une notification aux autorités judiciaires, l'équipe doit l'initier et suivre les procédures définies dans sa politique informatique.

    Habituellement, une attaque entraîne le vol, l'utilisation abusive, la corruption ou toute autre activité non autorisée sur des données sensibles telles que des informations confidentielles, personnelles, privées et commerciales. Pour cette raison, il est essentiel d'informer les personnes concernées afin qu'elles puissent prendre des précautions et protéger leurs données critiques telles que les informations financières, personnelles et autres informations confidentielles.

    Par exemple, si un attaquant parvient à accéder aux comptes utilisateurs, les équipes de sécurité doivent le notifier et leur demander de changer leurs mots de passe.

    Effectuer un examen post-incident

    La résolution d'un incident offre également des leçons apprises, et les équipes peuvent analyser leur solution de sécurité et remédier aux liens faibles empêcher un incident similaire à l'avenirCertaines des améliorations incluent le déploiement de meilleures solutions de sécurité et de surveillance des menaces internes et externes, éclairant le personnel et les utilisateurs sur les menaces de sécurité telles que le phishing, le spam, les logiciels malveillants et autres qu'ils devraient éviter.

    D'autres mesures de protection sont l'exécution des outils de sécurité les plus récents et les plus efficaces, la correction des serveurs, la résolution de toutes les vulnérabilités sur les ordinateurs clients et serveurs, etc.

    Étude de cas de réponse aux incidents de la NIC Asia Bank au Népal

    Une capacité de détection ou une réponse inadéquate peut entraîner des dommages et des pertes excessifs. Un exemple est le cas de la NIC Asia Bank du Népal, qui a perdu et récupéré de l'argent après un compromis de processus commercial en 2017. Des attaquants ont compromis le SWIFT et ont transféré frauduleusement des fonds de la banque vers divers comptes au Royaume-Uni, au Japon, à Singapour et aux États-Unis. .

    Heureusement, les autorités ont détecté les transactions illégales, mais n'ont réussi à récupérer qu'une fraction de l'argent volé. Aurait-il pu y avoir un meilleur système d'alerte, les équipes de sécurité auraient détecté l'incident à un stade plus précoce, peut-être avant que les attaquants ne réussissent à compromettre le processus métier.

    Comme il s'agissait d'un problème de sécurité complexe impliquant d'autres pays, la banque a dû en informer les autorités chargées de l'application des lois et des enquêtes. En outre, la portée dépassait l'équipe interne de réponse aux incidents de la banque et donc la présence d'équipes externes de KPMG, de la banque centrale et d'autres.

    Une enquête médico-légale menée par des équipes externes de leur banque centrale a établi que l'incident pouvait provenir d'une faute professionnelle interne qui avait exposé des systèmes critiques.

    Selon un rapport, les six opérateurs de l'époque avaient utilisé l'ordinateur du système SWIFT dédié pour d'autres tâches indépendantes. Cela peut avoir exposé le système SWIFT, permettant ainsi aux attaquants de le compromettre. Après l'incident, la banque a transféré les six employés vers d'autres services moins sensibles.

    Les leçons apprises: La banque aurait dû déployer un système de surveillance et d'alerte en plus de sensibiliser les employés à la sécurité et d'appliquer des politiques strictes.

    Conclusion

    Une réponse aux incidents bien planifiée, une bonne équipe et des outils et pratiques de sécurité pertinents donnent à votre organisation la capacité d'agir rapidement et de résoudre un large éventail de problèmes de sécurité. Cela réduit les dommages, les interruptions de service, vol de données, perte de réputation et responsabilité potentielle.