{"id":92973,"date":"2022-03-09T08:23:09","date_gmt":"2022-03-09T07:23:09","guid":{"rendered":"https:\/\/www.solutions-numeriques.com\/channel\/?p=9555"},"modified":"2024-03-12T19:05:19","modified_gmt":"2024-03-12T17:05:19","slug":"reponse-a-incident-quel-interet-en-cas-de-cyber-crise","status":"publish","type":"post","link":"https:\/\/www.solutions-numeriques.com\/reponse-a-incident-quel-interet-en-cas-de-cyber-crise\/","title":{"rendered":"R\u00e9ponse \u00e0 incident\u00a0: quel int\u00e9r\u00eat en cas de cyber crise\u00a0?"},"content":{"rendered":"

Ce n\u2019est un myst\u00e8re pour aucun acteur du monde de la s\u00e9curit\u00e9 informatique, les attaques se multiplient et deviennent de plus en plus complexes \u00e0 pr\u00e9venir.<\/span> Qu\u2019elles prennent la forme d\u2019attaques coordonn\u00e9es, d\u2019une attaque 0day ou d\u2019un APT, les cyber menaces deviennent difficilement d\u00e9tectables par les techniques de d\u00e9tection traditionnelles explique dans cet avis d’expert Pierre Tabary, consultant SecOp chez Synetis.<\/span><\/strong><\/p>\n

Le <\/span>front du cyberespace a \u00e9volu\u00e9 en quelques ann\u00e9es – et bien davantage ces derni\u00e8res semaines – passant d\u2019attaques<\/span> visant <\/span>prioritairement les grandes entreprises <\/span>\u00e0 des cyber attaques ciblant des entreprises de toutes tailles, des services d’\u00c9tat, des collectivit\u00e9s locales ou encore des organisations de sant\u00e9 et des institutions critiques.<\/span><\/span><\/p>\n

<\/a>La r\u00e9ponse \u00e0 incident permet d\u2019endiguer la menace<\/strong><\/h3>\n

Le paradigme de conception de la politique de s\u00e9curit\u00e9 des entreprises a bien chang\u00e9. Les campagnes de ran\u00e7ongiciel (dit ransomware<\/i>) r\u00e9centes telles qu\u2019Emotet, l\u2019attaque de Colonial Pipeline (REvil) ou plus encore le d\u00e9veloppement des services de Ransomware-as-a-Service<\/i>, ont d\u00e9montr\u00e9 que toute institution peut \u00eatre victime d\u2019une cyberattaque, en \u00e9tant cibl\u00e9e directement ou de mani\u00e8re collat\u00e9rale. Pour faire face \u00e0 un d\u00e9placement lat\u00e9ral des charges malicieuses, \u00e0 la compromission d\u2019une machine ou au chiffrement des infrastructures et postes de travail, l\u2019utilisation d\u2019outils d\u00e9di\u00e9s \u00e0 la r\u00e9ponse aux incidents est primordiale. En effet, la r\u00e9ponse \u00e0 incident r\u00e9pond \u00e0 des objectifs concrets, qui varient selon les besoins et le contexte dans lequel les entreprises \u00e9voluent.<\/span><\/span><\/p>\n

Gr\u00e2ce \u00e0 cette approche, la d\u00e9tection de la port\u00e9e de la compromission du syst\u00e8me d\u2019information (syst\u00e8me, site, application) est rendue possible. Les \u00e9quipes de s\u00e9curit\u00e9 sont alors en capacit\u00e9 de mesurer efficacement et rapidement l\u2019impact d\u2019une attaque en cours. Elles sont \u00e9galement capables de contenir et bloquer les d\u00e9marches de l\u2019attaquant ou de l\u2019\u00e9l\u00e9ment malveillant, d\u2019identifier pr\u00e9cis\u00e9ment les \u00e9tapes du cheminement de l\u2019attaque, ainsi que les possibles failles de s\u00e9curit\u00e9 et vuln\u00e9rabilit\u00e9s (techniques ou humaines) ayant \u00e9t\u00e9 utilis\u00e9es dans le cadre de cette intrusion. En outre – et si n\u00e9cessaire, elles sont aussi en mesure de remettre en \u00e9tat de fonctionnement le syst\u00e8me d\u2019information corrompu. Dans le cas d\u2019une attaque par <\/span>ransomware<\/i><\/span>, par exemple, cela se traduit par la remise en service des services critiques – dont les serveurs auraient \u00e9t\u00e9 chiffr\u00e9s.<\/span><\/span><\/p>\n

La bonne mise en place du processus complet de r\u00e9ponse \u00e0 incident peut aller de plusieurs semaines \u00e0 plusieurs mois, selon l\u2019ampleur de la compromission et l<\/span>a taille des infrastructures touch\u00e9es, notamment car il reste – encore aujourd\u2019hui – <\/span>complexe de s\u2019assurer qu\u2019aucune <\/span>backdoor<\/i><\/span> n\u2019ait \u00e9t\u00e9 plac\u00e9e par les attaquants. Cependant, des solutions de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9es en r\u00e9ponse \u00e0 incident facilitent l\u2019ensemble de ces recherches gr\u00e2ce \u00e0 des principes de scans des assets, de l\u2019<\/span>Active Directory<\/i><\/span> et diff\u00e9rents moyens de persistance possibles (<\/span>access lists<\/i><\/span>, t\u00e2ches planifi\u00e9es, classes WMI, etc.).<\/span><\/span><\/p>\n

<\/a><\/a>Simplicit\u00e9 de d\u00e9ploiement : cl\u00e9 d\u2019une r\u00e9ponse \u00e0 incident optimal<\/b><\/span><\/span><\/h3>\n

Dans ces contextes de crise, il est important que le d\u00e9ploiement de solutions de r\u00e9ponse \u00e0 incident puisse se faire rapidement – et sur un parc tr\u00e8s \u00e9tendu.<\/span> En effet, <\/span>certaines solutions permettent aux \u00e9quipes en charge de couvrir plus de 80 % des parcs informatiques en quelques heures. Les m\u00e9thodes de d\u00e9ploiement sont multiples et varient selon les environnements rencontr\u00e9s, pouvant aller de d\u00e9ploiement par GPO ou outil de t\u00e9l\u00e9distribution (SCCM, Intune, Ansible, etc.) jusqu\u2019\u00e0 l\u2019ex\u00e9cution d\u2019un script \u00ab <\/span>custom<\/i><\/span> \u00bb – cr\u00e9\u00e9 pour les postes ayant des contraintes plus fortes.<\/span><\/span><\/p>\n

Mais avant de se lancer dans le choix et le d\u00e9ploiement d\u2019une solution, plusieurs \u00e9l\u00e9ments sont \u00e0 prendre en compte : p\u00e9rim\u00e8tre de l\u2019entreprise, d\u00e9finition de la surface d<\/span>\u2019attaque \u00e0 couvrir, sympt\u00f4mes observ\u00e9s, <\/span>identification des services critiques, impact sur la production\u2026 Rien n\u2019est laiss\u00e9 au hasard ! <\/span><\/span>\u00c0 la suite de cela, <\/span>un mode op\u00e9ratoire coh\u00e9rent et correspondant aux besoins propres de l\u2019entreprise victime est alors d\u00e9termin\u00e9, ainsi qu\u2019un mode de d\u00e9ploiement.<\/span><\/span><\/p>\n

<\/a> D\u00e8s que les agents sont d\u00e9ploy\u00e9s et communiquent avec la console (en g\u00e9n\u00e9ral h\u00e9berg\u00e9e en <\/span>SaaS<\/i><\/span> pour faciliter le d\u00e9ploiement) de l\u2019\u00e9diteur, il est alors possible de les scanner enti\u00e8rement – afin de v\u00e9rifier leur \u00e9tat de compromission. Les menaces d\u00e9couvertes sont qualifi\u00e9es et trait\u00e9es automatiquement par les \u00e9quipes en charge de la s\u00e9curit\u00e9. Selon ce qui est d\u00e9couvert sur les machines, la reconstruction du SI peut ensuite commencer, sur les machines qui sont compl\u00e8tement prot\u00e9g\u00e9es et consid\u00e9r\u00e9es comme \u00ab saines \u00bb.<\/span><\/span><\/p>\n

En suivant cette m\u00e9thodologie de d\u00e9ploiement d\u2019\u00ab urgence \u00bb, il est normal de rencontrer parfois des faux positifs (une application l\u00e9gitime, d\u00e9tect\u00e9e comme une menace). C\u2019est pourquoi les \u00e9quipes se doivent de surveiller de mani\u00e8re continu la console afin de pouvoir mettre en place les exclusions au fil de l\u2019eau – et assurer qu\u2019il n\u2019y ait pas de blocage applicatif.<\/span><\/span><\/p>\n

Utiliser <\/span>des outils d\u2019analyse et de d\u00e9tection de la menace technologiquement agnostique<\/span><\/b><\/span><\/h3>\n

<\/a><\/a>La phase de r\u00e9ponse \u00e0 incident requiert des outils d\u2019analyse et de d\u00e9tection de la menace technologiquement agnostique et devant \u00eatre d\u00e9ploy\u00e9e de mani\u00e8re agile (GPO, SCMM, Ansible, scripting<\/i>). Toutefois, l‘intervention d\u00e9crite <\/span>dans cet article ne se substitue pas \u00e0 un travail d\u2019investigation forensique directement sur les machines compromises. Pour ce faire, les experts CSIRT<\/span> (Computer Security Incident Response Team<\/i>) et S\u00e9curit\u00e9 Op\u00e9rationnelle doivent pouvoir travailler de concert sur les cas de r\u00e9ponses \u00e0 incident, afin d\u2019assurer la gestion de <\/span>crise et une remise en \u00e9tat du syst\u00e8me d\u2019information dans des temps records. Et pour des entreprises qui n\u2019ont pas les ressources en interne pour g\u00e9rer de mani\u00e8re optimis\u00e9e ces outils ? Les <\/span>Managed Security Service Provider<\/i><\/span> (MSSP) mettent \u00e0 leur disposition connaissances, expertises et main d\u2019\u0153uvre pour un accompagnement sur mesure.<\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Ce n\u2019est un myst\u00e8re pour aucun acteur du monde de la s\u00e9curit\u00e9 informatique, les attaques se multiplient et deviennent de plus en plus complexes \u00e0 pr\u00e9venir. Qu\u2019elles prennent la forme d\u2019attaques coordonn\u00e9es, d\u2019une attaque 0day ou d\u2019un APT, les cyber menaces deviennent difficilement d\u00e9tectables par les techniques de d\u00e9tection traditionnelles explique dans cet avis d’expert […]<\/p>\n","protected":false},"author":25932,"featured_media":4778,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_bbp_topic_count":0,"_bbp_reply_count":0,"_bbp_total_topic_count":0,"_bbp_total_reply_count":0,"_bbp_voice_count":0,"_bbp_anonymous_reply_count":0,"_bbp_topic_count_hidden":0,"_bbp_reply_count_hidden":0,"_bbp_forum_subforum_count":0,"ngg_post_thumbnail":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[11587,1676,1046,4742,411],"tags":[5,3,1,11982],"class_list":["post-92973","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-channel","category-confidentialite-des-donnees","category-cybercriminalite","category-cybersecurite","category-expert","tag-channel","tag-cybersecurite","tag-solutions","tag-synetis"],"acf":[],"jetpack_featured_media_url":"https:\/\/www.solutions-numeriques.com\/wp-content\/uploads\/2015\/01\/mastercard-acclre-l-adoption-du-paiement-mobile-cp-sept-2014-1410360532.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/posts\/92973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/users\/25932"}],"replies":[{"embeddable":true,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/comments?post=92973"}],"version-history":[{"count":4,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/posts\/92973\/revisions"}],"predecessor-version":[{"id":218560,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/posts\/92973\/revisions\/218560"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/media\/4778"}],"wp:attachment":[{"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/media?parent=92973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/categories?post=92973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.solutions-numeriques.com\/wp-json\/wp\/v2\/tags?post=92973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}