Les entreprises doivent désormais partir du principe que les cyberattaques réussissent. Dès lors, les mesures préventives ne suffisent plus. Les responsables de la sécurité doivent élaborer une stratégie de détection et de réponse aux incidents, quelles qu’en soient les difficultés d’implémentation.
Texte: Andreas Heer, Image: Unsplash,
«S’attendre à l’intrusion»: tel est le paradigme que doivent suivre désormais les responsables informatiques pour leur stratégie de sécurité. Au vu du nombre croissant des attaques, qui s’avèrent toujours plus sophistiquées, les entreprises doivent elles aussi perfectionner leurs dispositifs de sécurité. En effet: combien de temps avons-nous encore avant que le root-kit «Drovorub» pour Linux, vraisemblablement d’origine russe et récemment découvert par la NSA (National Security Agency) américaine, n’infeste également des serveurs (cloud) locaux?
La NSA attribue le malware au collectif de piratage russe APT28, alias «Fancy Bear» ou «Strontium». Le collectif est soupçonné de soutenir les intérêts du gouvernement à travers ses campagnes. APT28 et de nombreux autres criminels dont les auteurs d’Emotet sont la preuve que la cybercriminalité s’est professionnalisée depuis longtemps. Cette activité bénéficie de telles ressources en termes financiers et de personnel que la question aujourd’hui n’est plus de savoir si une entreprise risque d’être attaquée, mais à quel moment une attaque de ce genre réussira. En d’autres termes, les responsables sécurité doivent partir du principe que l’assaillant se trouve déjà dans le réseau.
Dans ces conditions, s’en remettre uniquement à de simples mesures préventives ne suffit plus. Celles-ci demeurent importantes pour parer une grande part des attaques. Mais dans le contexte actuel, la détection et la réponse aux incidents (Incident Detection & Response) sont de plus en plus indispensables pour contrer les attaques réussies. Autrement dit, le niveau de maturité de la sécurité informatique doit progresser au fur et à mesure que les assaillants se perfectionnent.
Le Cybersecurity Framework du NIST (National Institute of Standards and Technology) décrit un ensemble de méthodes et de meilleures pratiques de cyberdéfense. Il structure la sécurité informatique en cinq phases: Identification (Identify), Protection (Protect), Détection (Detect), Réponse (Respond) et Restauration (Recover). Les phases trois et quatre de détection et de réponse visent précisément à gérer les incidents en cas d’attaques réussies.
La détection englobe des mesures automatisées, notamment pour déceler et bloquer le trafic réseau malveillant, ainsi que de nombreuses méthodes manuelles. Ces dernières doivent permettre de débusquer les modèles d’attaques trop complexes pour les dispositifs de défense automatisés. Dans ce cadre, les spécialistes de la sécurité informatique exploitent différents outils. Le recueil d’informations est crucial compte tenu de la dynamique à l’œuvre. Les blogs de sécurité, les bases de connaissances comme le framework Mitre ATT&CK et les forums de discussion sur le Darknet comptent parmi les sources d’information, de même que les échanges réguliers avec d’autres spécialistes. C’est la seule façon pour les entreprises de connaître à coup sûr les signes d’attaque et d’arriver ensuite à les dépister dans leur propre infrastructure réseau.
Cette approche qui vise à reconnaître les signes d’attaque relève du threat hunting. Il s’agit pour les spécialistes de la sécurité informatique d’examiner le réseau d’entreprise à la recherche de modèles de cyberattaques actuelles. La tâche nécessite une expertise approfondie. Cependant, elle permet de déceler des anomalies qui n’ont pas été repérées par les systèmes de sécurité.
Lorsque ces mesures de détection révèlent une attaque réussie, une réponse adéquate est requise. Celle-ci doit être rapide et agile, c’est-à-dire adaptée à la situation concrète. Toutefois, elle doit aussi respecter un certain mode opératoire idéalement inspiré des meilleures pratiques. Comme la détection d’incidents, la réponse repose sur différentes mesures impliquant à la fois la technique et la communication. La mise en place d’une équipe CSIRT (Computer Security Incident Response Team) composée de spécialistes de la sécurité informatique extrêmement compétents représente une approche éprouvée.
Entre la difficulté de recruter les spécialistes qualifiés et de défendre le budget requis, le responsable de la sécurité est confronté à un véritable casse-tête. En effet, les mesures de sécurité informatique fonctionnent comme une assurance. Quand tout va bien, cela peut tenir à l’efficacité des spécialistes et des mesures techniques. Ou simplement à l’absence d’attaque. Les cyberattaques sont précisément imprévisibles. D’où la complexité, pour le CISO, de planifier les ressources et d’argumenter auprès du CFO.
Déléguer la mission de détection et de réponse aux incidents à un prestataire de Managed Security Services (MSSP) peut donc représenter une approche intelligente, car transparente sur le plan du financement. En outre, cette approche est plus évolutive car elle permet de mobiliser des effectifs en fonction des besoins et donc de budgéter les coûts correspondants. Il n’est pas nécessaire d’être devin pour comprendre que la sophistication croissante des cyberattaques rend la détection et la résolution des incidents d’autant plus indispensables. L’externalisation partielle peut être une bonne solution pour le responsable de la sécurité.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème: