Guide: Êtes-vous prêt à gérer une cyberattaque?

Guide: Êtes-vous prêt à gérer une cyberattaque?

Nous pouvons avoir mis en place toutes les mesures de prévention du monde et toujours être victime d’une cyberattaque. Ici, la question n’est pas “si”, mais “quand”.

(Avant de rentrer dans le vif du sujet, une aparté: si un fournisseur de produit ou de services en cybersécurité vous promet d’être sécuritaire à 100%, fuyez. Loin. C’est impossible de l’être donc vous êtes face à un menteur…).

Être préparé est toujours le meilleur moyen de bien gérer une situation. La cybersécurité ne fait bien sûr pas exception. Une cyberattaque à gérer ne sera jamais une situation dans laquelle on veut se retrouver, mais avoir en place un bon plan de gestion d’incident est primordiale pour éviter de courir comme des poules pas de tête le jour J.

Dans cet article, nous allons vous présenter les grandes lignes d’une bonne préparation à une cyberattaque pour vous aider à vous préparer.

Bien entendu, la taille, l’industrie, la réalité d’affaires et de nombreux paramètres vont influencer son contenu et sa complexité.

Nous n’avons rien inventé ici. Le contenu que nous vous offrons est tiré du livre « Confronting Cyber Risk: An Embedded Endurance Strategy for Cybersecurity » de Gregory J Falco et Eric Rosenbach. 

Dans un des chapitres, les auteurs décrivent avec beaucoup de détails les étapes d’un bon plan de gestion d’incident. Très honnêtement, ce chapitre vaut de l’or. Ici, nous ne sortirons que les grandes lignes pour vous aider, mais nous vous conseillons très fortement de vous procurer une copie du livre (et de le faire tourner à tout votre CA 😉).

Planifiez

De la même manière que vous avez certainement mis en place des plans pour faire face à une panne d’électricité ou à une catastrophe naturelle, vous devez disposer d’un plan pour faire face à une cyberattaque. En planifiant le tout, vous serez capable de:

  • Apporter une réponse systémique en cas d’attaque, ce qui devrait minimiser l’erreur humaine qui se produit souvent lorsque des décisions doivent être prises dans des circonstances stressantes.
  • Mettre en oeuvre un plan bien conçu pour réduire les pertes subies par votre organisation et minimiser les temps d’arrêt.
  • Prouver qu’un plan adéquat a été mis en place et respecté en cas de poursuites judiciaires.

Les mesures suivantes doivent être prises au cours de la phase de planification :

  • Un plan d’intervention en cas d’incident doit être élaboré et les procédures doivent être documentées.
  • Une équipe d’intervention doit être constituée, composée de personnes ayant les connaissances et l’expérience nécessaires pour faire face à une cyberattaque (à l’interne et/ou avec aide externe). 
  • Un plan de communication en cas de cybercrise doit être élaboré, détaillant les parties à contacter en cas d’attaque, le message qui leur sera transmis et les personnes habilitées à communiquer au nom de votre organisation.

Un plan d’intervention en cas d’incident doit servir de feuille de route, indiquant comment vous mettrez en œuvre chaque étape du processus et qui sera responsable de chaque tâche. 

Son objectif est de veiller à ce que les personnes et les outils nécessaires soient en place en cas de cyberattaque, et que des mesures systématiques et cohérentes soient prises pour minimiser les risques. Les informations obtenues et enregistrées au cours de l’incident pourront ensuite être utilisées pour améliorer vos mesures de sécurité et mieux vous préparer à de futurs incidents.

Mettez en place des mécanismes de signalement

La communication est primordiale. Il est donc impératif de mettre en place des mécanismes de signalement pour que vos employés puissent communiquer le plus rapidement possible une attaque à la personne compétente. Des plans d’urgence doivent également être mis en place si les responsables hiérarchiques ou les membres de l’équipe d’intervention ne sont pas disponibles. Plus le processus est claire, plus vite les bonnes personnes seront informées et pourront prendre action. Timing is key.

Préparez des fiches d’information et des listes de contrôle

Les listes de contrôle que l’équipe de réponse aux incidents doit utiliser pendant les attaques doivent être préparées à l’avance afin de s’assurer que des mesures peuvent être prises rapidement, que les tâches ne sont pas dupliquées et qu’aucune tâche n’est négligée. 

Ayez en main des diagrammes de réseau de haut niveau et une liste des actifs critiques pour l’ensemble de l’organisation, afin que l’équipe puisse rapidement voir comment les différents systèmes sont connectés et comment une attaque pourrait compromettre ces systèmes et réseaux (si vous avez fait affaires avec nous, il est le temps de sortir votre schéma Bloodhound 😉).

Choisissez votre méthodologie, mais il est important de préparer un système de suivi des problèmes et de l’état de chaque tâche pendant l’intervention en cas d’incident 

Pensez à avoir une version papier ou stockée en dehors du réseau pour être capable d’y accéder en cas de ransomware ou de problème d’accès au réseau en tout genre.

Formez l’équipe d’intervention et testez le plan 

Votre équipe d’intervention doit effectuer régulièrement des exercices simulant une cyberattaque. Sur le papier, votre plan peut avoir l’air infaillible, mais il se peut que la réalité ne soit pas si parfaite. Mieux vaut le découvrir lors d’exercice pratique que quand tout votre chaîne de production est à l’arret. Vous pourrez ainsi l’adapter.

 Les exercices d’entraînement peuvent prendre la forme suivante :

  • Tabletop exercices: Différents scénarios de cyberattaques potentielles sont créés et l’équipe de réponse aux incidents doit répondre à des questions relatives à chaque scénario. L’équipe doit ensuite décider de la meilleure réponse à chaque question. Il s’agit d’un moyen relativement peu coûteux et efficace d’identifier les divergences ou la nécessité de procédures supplémentaires. 
  • Wargames : Les membres de l’équipe de réponse aux incidents participent à un jeu, basé sur un scénario d’entreprise possible, qui met à l’épreuve leurs connaissances et leurs compétences en matière de gestion d’un incident de sécurité. Chaque équipe reçoit certaines informations et doit prendre des décisions pratiques dans un environnement compétitif pour répondre au scénario qui lui est présenté.

Faites vous accompagner

Il est essentiel que votre équipe à l’interne participe activement à la mise en place du plan de gestion d’incident (for obvious reasons). Cela dit, vous faire accompagner par des consultants externes peut vous permettre d’accélérer l’exercice et de bénéficier de leur expérience.

Il est également recommandé de faire appel à des professionnels en sécurité offensive pour tester la robustesse de votre système et le niveau de réactivité de vos équipes en place. Le consultant vient tenter de compromettre votre système (test d’intrusion) et, outre déceler les failles techniques, on vient aussi tester quelle est votre réponse à l’attaque. 

N’oubliez pas les mesures de détection

Une cyberattaque ne peut être traitée tant qu’elle n’a pas été détectée, une leçon que Capital One a apprise à ses dépens. Cependant, de nombreuses cyberattaques se produisent sur de longues périodes et ne sont souvent pas détectées avant que de graves dommages aient été causés. La détection des attaques est avant tout une mesure préventive, donc elle ne sera pas détaillée ici. Il était quand même important d’en rappeler l’importance.

Analysez la menace

Une fois qu’une menace a été détectée, elle doit être analysée avant toute action. La raison la plus importante de cette analyse est de confirmer qu’il s’agit bien d’une attaque et non d’un faux positif. Si vous travaillez en TI et avez accès aux consoles, vous savez que les faux positifs sont monnaie courante. En cas d’alerte, il faut donc bien prendre le temps de valider si nous sommes en présence d’une réelle menace avant d’agir. 

Appréhendez la situation

Une fois qu’il a été déterminé que l’incident n’est (malheureusement) pas un faux positif, l’équipe de réponse à l’incident doit appréhender la situation. C’est le court temps d’arrêt qui permet de prendre le pas de recul nécessaire pour bien comprendre la situation et ne peux pas prendre de mauvaises décisions en raison du stress.  

Comprendre la situation permet de déterminer l’ampleur de l’impact, le type d’attaque, si des procédures automatisées ont été déployées pour atténuer l’attaque en interne, les réseaux et les systèmes touchés, le type de données qui ont été volées (le cas échéant), le stade de l’attaque (si un attaquant persiste dans le réseau) et l’origine de l’attaque.

Il est important de garder à l’esprit qu’un maximum de preuves doit être préservé pendant la phase d’analyse, car elles pourraient être utilisées dans le cadre d’un litige ultérieur.

Documentez

À partir du moment où un incident a été validé comme une cyberattaque, tout ce qui concerne l’attaque doit être documenté. Dans le feu de l’action, ce n’est pas le réflexe premier que nous avons en général, mais c’est primordial. Ces documents serviront de référence lors de l’analyse postérieure à l’événement et de preuve dans le cadre d’une procédure judiciaire.

Les éléments suivants doivent être documentés :

  • Une brève explication de ce qui s’est passé.
  • La manière dont l’incident a été détecté, la personne qui a signalé l’incident et si elle a été alertée manuellement ou par un système automatisé.
  • Les mesures prises par les individus depuis la détection de l’événement jusqu’à la phase de rétablissement.
  • L’état de l’incident au cours du processus de rétablissement.
  • Toute preuve recueillie au cours du processus qui peut être utilisée pour déterminer l’identité de l’auteur de l’attaque.
  • Les commentaires et suggestions de l’équipe de réponse à l’incident.

Prendre le temps de clarifier ces points vous aideront aussi à structurer votre communication (voir plus loin dans l’article).

Si possible, confinez

L’objectif est d’éviter que l’’attaque ne se propage à d’autres systèmes ou départements de l’organisation et de limiter l’ampleur des dégâts. Il se peut que la menace ait été contenue automatiquement par l’IDPS ou un programme de suppression de virus, ce qui signifie qu’aucune autre action n’est requise de votre part pour cette étape.

Cependant, si aucune action automatisée n’a été entreprise, les systèmes affectés doivent être identifiés et l’une des étapes suivantes doit être mise en œuvre (en fonction de la situation) :

  • Isoler le dispositif affecté du réseau en bloquant la connectivité, si c’est possible d’un point de vue opérationnel.
  • Arrêter les systèmes et réacheminer les composants.
  • Désactiver certaines fonctions exécutées par les systèmes.
  • Interrompre les communications avec la zone infectée. 

Les mesures à prendre dépendent de la nécessité de maintenir certains services à la disposition des employés ou des clients de l’organisation et de la nécessité d’une solution à court ou à long terme jusqu’à ce que l’équipe soit en mesure d’éradiquer la menace.

Note: si la timeline le permet, pensez à d’effectuer des sauvegardes de tous les systèmes infectés à des fins d’analyse judiciaire avant que la menace ne soit maîtrisée. 

Communiquez

Vous souvenez-vous du cyberincident de Sobeys en 2023? C’est le meilleur exemple de ce qu’il ne faut PAS faire. Ils ont joué la carte de la non-transparence jusqu’au déni après du public et même de leurs employés. Leur réputation a été plus entachée par leur mauvaise communication que par l’attaque en elle-même, vous ne voulez pas qu’on parle de votre organisation de cette manière (et ça leur a coûté 25 millions de CAD en passant).

Encore une fois, il faut que votre plan de communication en cas de crise soit prêt à être déployé le jour J. Une bonne communication ne s’improvise pas. Il y a deux parties prenantes à aviser:

Communiquez avec les principales parties prenantes externes

En raison de l’impact considérable d’une cyberattaque, les parties prenantes externes doivent être informées de la violation et surtout des conséquences pour elles. 

Toutes les situations ne requièrent pas la même communication. Avant qu’un incident ne se produise, vous devez discuter des critères de partage de l’information avec votre spécialiste des relations publiques, l’équipe juridique et la direction générale. Les coordonées de toutes ces personnes doivent être accessibles et mises de l’avant dans votre plan de gestion d’incident pour pouvoir convoquer tout le monde rapidement. Vous ne voulez pas perdre du temps à trouver un numéro de téléphone quand vous mettez en place votre war room.

Ces discussions permettent d’établir d’importants critères de partage de l’information qui seront consignés dans le plan de communication de crise (ce plan est détaillé dans le livre). 

Quelles que soient les parties prenantes avec lesquelles une organisation communique, les informations données doivent être clairement énoncées. L’ambiguïté et les messages incorrects sont source de confusion et peuvent donner lieu à des poursuites judiciaires.

Communiquez avec les parties prenantes internes

La communication au sein de l’organisation est tout aussi importante que la communication externe. En effet, vos employés sont le plus souvent le point de contact le plus proche entre votre organisation et vos clients. Par conséquent, votre équipe doit être tenue au courant des développements importants afin de pouvoir communiquer clairement avec les parties concernées, ce qui contribuera à rétablir la confiance.

Sans forcément tout dévoiler sur la cyberattaque à l’ensemble de vos employés, la direction générale doit s’assurer qu’elle partage suffisamment d’informations avec son équipe pour instaurer la confiance. Précisez quelles sont les informations qu’ils peuvent partager publiquement avec leurs clients. De même, informer vos employés si leurs informations personnelles ont été compromises. Il faut les rassurer quant à la protection de leurs informations et de celles des clients (si elles n’ont réellement pas été compromises bien sûr). 

Mettez en place une stratégies d’escalade

Les plans de communication interne doivent également inclure des stratégies d’escalade qui précisent exactement comment les membres de l’équipe doivent réagir et à qui ils doivent s’adresser en cas de cyberattaque. Cela est particulièrement important si une cyberattaque a des répercussions sur des parties prenantes extérieures. Dans ce cas, les membres de l’équipe doivent savoir qui sont les juristes, les responsables des ressources humaines et les journalistes qui doivent être informés afin de gérer les attentes et de partager des informations sur les mesures prises pour remédier à la violation.

Éradiquez la menace

L’éradication consiste à identifier la cause première d’une cyberattaque et à l’éliminer. Il peut s’avérer nécessaire d’utiliser un logiciel de forensic pour identifier l’origine du problème (et les responsables de l’attaque) avant de pouvoir l’éradiquer. 

L’équipe de réponse à l’incident est chargée d’identifier le vecteur de l’attaque et son cheminement afin de s’assurer que tous les points d’entrée sont fermés et que les zones infectées sont nettoyées. 

La persistance est généralement une caractéristique des attaques sophistiquées, ce qui signifie que le vecteur d’attaque a des capacités d’auto-préservation et a l’intention de rester furtivement sur la machine même après le nettoyage. Plus simplement, cela signifie que l’attaquant reste caché dans votre réseau.

Cela peut impliquer de revoir les étapes de détection et d’analyse du processus pour s’assurer que toutes les menaces ont été identifiées. Tous les points faibles identifiés au cours de la phase d’éradication doivent être renforcés afin d’éviter que des attaques identiques ou similaires ne se reproduisent, que ce soit en raison de la persistance ou d’une toute nouvelle attaque de logiciels malveillants utilisant des vecteurs d’attaque similaires (ne vous faites pas avoir deux fois par la même vulnérabilité…). 

Les mesures suivantes doivent être prises pendant l’éradication, en fonction du type et de la nature de l’attaque:

  • Analyser les systèmes à la recherche de logiciels malveillants latents et supprimer les logiciels malveillants à l’aide d’outils tels que les EDR ou XDR.
  • Isoler et désactiver les comptes et les composants qui ont été compromis.
  • Supprimer les privilèges d’accès des employés qui ont été utilisés pour lancer l’attaque. Modifier les noms d’utilisateur et les mots de passe.
  • Appliquer les correctifs et reconfigurer les pare-feu.

Une fois la menace éradiquée, le processus de reprise peut commencer.

Il faut reconnaître qu’il peut y avoir une tension entre la nécessité de remettre les systèmes en marche le plus rapidement possible et celle de s’assurer que toutes les traces de l’attaque ont été éliminées avant de commencer le rétablissement. Faites-vous accompagner par des experts, cela vous facilitera ce type de décision et vous fera surtout sauver du temps.

Commencez la reprise des activités

Le rétablissement fait référence à la remise en marche de vos systèmes. Ce processus prend généralement un certain temps et n’est pas une action ponctuelle. C’est un travail d’équipe: depuis le département TI et les unités opérationnelles concernées jusqu’au département des opérations et à la direction générale. Ces parties peuvent soit être directement impliquées dans le processus de reprise, soit fournir des conseils sur le processus à suivre et les délais à respecter. 

Les systèmes les plus importants pour le rétablissement des fonctionnalités de base de votre entreprise doivent être classés par ordre de priorité. Les interdépendances entre les systèmes doivent également être comprises, car certains systèmes ne peuvent être rétablis qu’après que d’autres l’ont été.

Une fois que l’attaque peut être attribuée à un groupe ou à un individu spécifique, il peut être plus facile de se remettre de l’attaque, car l’équipe de réponse à l’incident comprendra mieux la motivation de l’attaque et les méthodes utilisées.

Lors de la reprise, les systèmes sont reconstruits, réinstallés ou restaurés par l’équipe de reprise sur incident à l’aide des données de sauvegarde (d’où l’importance d’un bon système de back up). Les fichiers sont remplacés par des versions propres et des correctifs sont installés. Il est important que les systèmes restaurés soient testés et contrôlés pour s’assurer qu’il n’y a pas de réinfection et qu’ils fonctionnent comme prévu. Le processus de restauration est l’occasion de renforcer la sécurité sur la base des vulnérabilités découvertes au cours des étapes de détection et d’analyse.

Le processus de reprise peut, selon le cas, durer des mois, d’où l’importance d’avoir testé sa résilience d’un point de vue opérationnel. Les plans de continuité des activités, les accords de service avec les fournisseurs (pour garantir un accès immédiat au matériel et aux logiciels nécessaires) et la communication proactive avec les parties prenantes (telles que les clients) sont autant d’éléments qui pourraient rendre une entreprise plus résiliente et qui devraient donc être inclus dans le plan de réponse à l’incident.

Procédez à l’analyse forensic

Il est nécessaire d’évaluer une cyberattaque subie afin de déterminer si notre réponse a été suffisante ou non et de mettre en œuvre les enseignements tirés. Cette étape peut débuter alors que le rétablissement est encore en cours, en particulier s’il faut un certain temps pour que tous les systèmes soient rétablis. L’objectif de cette étape est d’améliorer le plan de réponse à l’incident et de renforcer les systèmes afin de les protéger contre de futures attaques. 

Apprenez de vos erreurs

Organisez une rencontre avec tous les joueurs qui ont participé à la gestion de l’incident. L’objectif de cette réunion est d’identifier les éventuelles lacunes dans la manière dont la détection et l’éradication de l’attaque ont été gérées. Une autre réunion sur les enseignements tirés devrait également avoir lieu une fois que les systèmes ont été entièrement rétablis. Cette réunion a pour but de tirer suffisamment d’enseignements sur le processus général de reprise et sur la manière dont votre organisation doit encore améliorer sa résilience opérationnelle. 

Préparez votre rapport d’incident

Un rapport d’incident (également appelé rapport post-mortem) doit être rédigé à l’issue de la réunion sur les enseignements tirés.

Ce rapport servira non seulement de référence pour planifier la réponse aux attaques futures, mais aussi d’outil de formation pour l’avenir.

Trés important, il peut aussi être utilisé comme preuve en cas de problèmes juridiques liés à l’attaque.

Le rapport doit aborder les points suivants:

  • le type et la nature de l’incident
  • si l’incident aurait pu être évité ou non
  • Comment et quand l’incident a été détecté, et s’il est nécessaire d’améliorer les outils de détection
  • les systèmes touchés par l’attaque
  • la manière dont l’organisation a réagi à l’attaque et ce qui aurait pu être amélioré au cours du processus de réponse à l’incident
  • les recommandations visant à améliorer le processus de réponse à l’avenir

Utilisez les enseignements de la cyberattaque (pour vrai)

Tous les enseignements tirés de l’analyse post-événement doivent maintenant être mis en œuvre pour réduire le risque d’incidents futurs et faire en sorte que vous soyez mieux préparés en cas de nouvelle attaque. Il peut s’avérer nécessaire de modifier les politiques, les processus et les procédures, les outils et les équipements, voire le comportement des parties impliquées dans le processus.

Les améliorations doivent être classées comme étant à court ou à long terme . Les améliorations à court terme peuvent être réalisées immédiatement, tandis que les améliorations à long terme concernent des changements stratégiques, tels que la refonte complète de certains processus, qui prendront plus de temps à mettre en œuvre. Des plans d’action comprenant les parties responsables, les dates d’échéance et les résultats attendus doivent être élaborés afin que toutes les parties prenantes sachent ce que l’on attend d’elles. 

Le plan de réponse aux incidents mis à jour et amélioré doit également être testé avant d’être déployé afin de déterminer si les améliorations apportées sont suffisantes.

—— 

Si vous avez trouvé cet article utile, nous vous recommandons forcément de lire le livre complet: « Confronting Cyber Risk: An Embedded Endurance Strategy for Cybersecurity » de Gregory J Falco et Eric Rosenbach. Un chapitre complet détaille encore plus comment bien se préparer à une attaque, et tout le livre est un guide pratique pour adopter de bonnes stratégies de cybersécurité pour votre entreprise (c’est le genre de livre qui fait un beau cadeau pour votre comité de direction selon nous 🤓- on dit ça, on dit rien!)

Le résumé (livre en anglais):

Cyberattacks continue to grow in number, intensity, and sophistication. While attackers persistently adapt, business leaders have suffered from employing the same cyber risk management strategies for decades. Organizations must learn how to move past temporary solutions and invest in long-term resiliency measures to thrive in the future cyber economy.

Confronting Cyber An Embedded Endurance Strategy for Cybersecurity is a practical leadership guidebook outlining a new strategy for improving organizational cybersecurity and mitigating cyber risk. Veteran cybersecurity experts Falco and Rosenbach introduce the Embedded Endurance strategy as a systems-level approach to cyber risk management which addresses interdependent components of organizational risk and prepares organizations for the inevitability of cyber threats over the long-term. Using real world examples from SolarWinds to the Colonial Pipeline attack, the authors extend beyond hardware and software to provide a thoughtful ten-step process for organizations to address the simultaneous operational, reputational, and litigation risks common to cyberattacks. They conclude with helpful « cryptograms » from the future, in which business leaders are confronted with the next generation of cyber risk challenges.

Clear and informative, Confronting Cyber Risk provides CEOs and cyber newcomers alike with concrete guidance on how to implement a cutting-edge strategy to mitigate an organization’s overall risk to malicious cyberattacks in an evolving cyber risk landscape.

Le lien (non affilié) Amazon pour se procurer le livre: Confronting Cyber Risk: An Embedded Endurance Strategy for Cybersecurity 

Peace ✌️

Cyndie & Nicholas

    Why Yack?

    First, for those of you who don't know, the yak is an animal. The energy it radiates (chill with its toupee, but we wouldn't want to piss it off with its horns...) represents us well, and the nerdiest among you might see the little nod to Linux 😉. Of course, Yack's resemblance to Hack is no mere coincidence. It's also a short, punchy name that, once again, sounds like us. Finally, it's a word that earns you 24 points in Scrabble (hello Office de la langue française). Why did you choose .one? In offensive security, all it takes is one attack..."
    A little more about us

    "Pourquoi Yack?

    First, pour ceux qui ne le savent pas, le yack est un animal. L'énergie qu'il dégage (chill avec son toupet, mais on ne voudrait pas l'énerver avec ses cornes...) nous représente bien, et les plus nerds d'entre vous verront peut-être le petit clin d'œil à Linux 😉. Bien sûr, la ressemblance de Yack avec Hack n'est pas une simple coïncidence. C'est aussi un nom court, qui punch, et qui encore une fois, nous ressemble. Enfin, c'est un mot qui te rapporte 24 points au scrabble (bonjour office de la langue française). Pourquoi avoir choisi .one? En sécurité offensive, il suffit d'une (one) attaque..."
    Un peu plus sur nous