Se préparer aux cyberattaques

Transcription

1 Se préparer aux cyberattaques Brochure : Mettre en œuvre la bonne stratégie de sécurité Plus de vigilance, moins de risques.

2 Introduction Des incidents récents liés à des logiciels malveillants ont démontré le coût et les dommages que les cyber-attaques peuvent engendrer. On considère que le ver Stuxnet a affecté de manière significative les usines d enrichissement nucléaire iraniennes, et il a été largement reconnu comme la première cyber-arme opérationnelle 1. Shamoon a pu compromettre et neutraliser stations de travail chez un producteur de pétrole 2. Une autre attaque ciblée à l'encontre d'une organisation publique a causé 66 millions de dollars de perte 3. De telles attaques ne réussissent pas toujours, mais lorsque les attaquants arrivent à s'immiscer dans les systèmes d'une organisation, une réponse prompte et bien préparée peut rapidement minimiser les dommages et restaurer les systèmes avant que des préjudices importants ne soient générés. Pour bien réagir, les entreprises doivent comprendre la progression des attaques, développer une stratégie de défense, définir les responsabilités et les actions à mener de chacun, mettre en pratique et ajuster leur plan.

3 Comprendre les attaques Une attaque commence par un point d'entrée dans l'organisation. Il peut s'agir d'un système non sécurisé auquel les pirates peuvent accéder, un ordinateur vulnérable sur lequel on peut exécuter des logiciels malveillants ou encore un utilisateur manipulé qui a installé un logiciel malveillant. Ce point d'entrée peut ensuite être exploité pour déployer des attaques sur tout le réseau, soit en piratant d'autres systèmes soit en utilisant des logiciels malveillants pour exploiter des vulnérabilités non corrigées du système et pour s'installer sur d'autres systèmes. Une fois qu'un système est touché, les pirates peuvent y installer d'autres logiciels malveillants ou prendre le contrôle du système et y envoyer des commandes à exécuter. Les attaquants peuvent chercher à extraire des informations comme des fichiers confidentiels ou des noms d'utilisateurs et des mots de passe enregistrés dans le système. Envoi de commandes Attaquant Utilisateur Attaquant Point d entrée Développement de l'attaque Exfiltration Protection contre les attaques On peut se protéger contre la plupart des attaques en mettant en œuvre des pratiques de base pour la sécurité des informations. Le Ministère de la Défense australien a déterminé que la mise en œuvre de quatre stratégies de réduction des risques suffisait à éviter 85 % des attaques ciblées 4. Le gouvernement britannique a annoncé que cibler dix domaines clés suffisait à contrer la plupart des cyber-menaces 5. Une organisation doit s'assurer, au minimum, que le trafic et les systèmes réseau sont analysés pour déceler la présence de logiciels malveillants et que les journaux d activité (logs) du système et du réseau sont conservés pour pouvoir effectuer une analyse d'investigation si nécessaire. De plus, des sauvegardes régulières sont indispensables pour pouvoir garantir une restauration des systèmes endommagés à un état de fonctionnement normal.

4 Des stratégies de défense pour la sécurité des informations réduisent la probabilité de succès des attaques. Cependant, derrière chaque cyber-attaque recensée, on trouve une organisation qui pensait que ses défenses étaient suffisantes. Des incidents majeurs peuvent toujours se produire et leur éventualité doit être envisagée, pour pouvoir réduire les interruptions de service, minimiser les préjudices et limiter le temps nécessaire au retour à la normale. Se préparer aux incidents Les entreprises doivent s'attendre à des attaques sophistiquées à l'encontre de leurs systèmes et doivent s'y préparer de manière appropriée. En pratique, ce type d'attaques est rare. Cependant, en se tenant au courant des dernières attaques et des techniques employées, les entreprises peuvent vérifier que leurs systèmes sont capables de détecter et de repousser de telles menaces. Un processus de préparation minutieux garantit une détection rapide en cas d'attaque. En les analysant en détail, de nombreux incidents détectés se révèleront être des faux positifs ou mineurs et ne nécessiteront pas de réaction conséquente. Néanmoins, les organisations doivent s'assurer qu'elles détectent et enregistrent tous les incidents pour que les attaques qui nécessitent une réaction soient rapidement identifiées et traitées. Pour cela, il est important de déterminer les critères d escalade et la procédure par laquelle un incident détecté activera un plan d intervention. La première étape du plan d'intervention doit être une évaluation de la situation. Elle doit être suivie d'actions pour éviter le développement de l'attaque à davantage de systèmes et pour éviter des préjudices supplémentaires. Les systèmes infectés devront être isolés pour pouvoir contenir l'attaque. Les systèmes qui ne sont pas encore infectés pourront être désactivés temporairement pour éviter le développement interne de l'attaque, et l'accès au réseau pourra être suspendu. Figure 2 : Phases d'intervention Préparation Détection Réponse Restauration Vérification Se préparer aux attaques Mettre en œuvre un plan d'action Affiner le plan d'action Entrée de l attaquant Pirate détecté Systèmes sécurisés Retour au fonctionnement normal Temps

5 Ces actions peuvent avoir un impact sur les utilisateurs et les services de toute l'entreprise. Elles peuvent notamment avoir un effet sur la manière dont les utilisateurs, et donc l'équipe d'intervention, communiquent. C'est la raison pour laquelle il faut penser à la manière selon laquelle la communication sera assurée et à la manière d'informer les utilisateurs et les dirigeants des progrès et de la résolution de l'incident. Une analyse d'investigation devra être mise en œuvre, non seulement pour identifier la perte ou le vol éventuels de données, mais aussi pour connaître la méthode de pénétration initiale des attaquants dans les systèmes. Il faudra, en priorité, résoudre la vulnérabilité qui a été exploitée pour accéder au système pour éviter que l'attaque ne se reproduise dès sa résolution. La collecte et la conservation des informations d'investigation peuvent également faciliter l'identification et la poursuite des personnes responsables de l'attaque. La phase de récupération consiste à restaurer les systèmes à leur état initial. L'accès à des sauvegardes récentes des systèmes affectés peut faciliter grandement ce processus, en supposant qu'elles n'ont pas été touchées par des logiciels malveillants. On veillera bien à ce que les systèmes soient restaurés à un état sain. Chaque incident devra ensuite être analysé pour identifier les procédures qui ont bien fonctionné et les pratiques existantes à revoir. Ce sera l'occasion de tirer les enseignements de l'incident et d'améliorer les procédures pour accroître la sécurité de l'organisation. Créer une équipe d'intervention Toutes les entreprises ont besoin d'un plan d'intervention mais également d'une équipe qui sera chargée de sa mise en œuvre. Un facteur clé de réussite sera donc le soutien de l'équipe dirigeante. En effet, lorsqu'un incident évolue rapidement, l'implication des dirigeants qui ont le pouvoir d'autoriser les mesures à prendre pour contenir et résoudre l'incident peut s'avérer cruciale pour gagner du temps sur les attaquants. Les différentes parties prenantes des services susceptibles d'être affectés par un incident doivent faire partie de l'équipe d'intervention. Cependant, c'est le personnel technique qui mènera l'équipe. Il mettra en œuvre le plan et possède les aptitudes à limiter les dommages. L équipe d intervention ne doit pas obligatoirement compter que du personnel interne à l entreprise. Il faut également considérer qu une expertise extérieure pourra apporter à l équipe des connaissances spécialisées et une expérience d incidents similaires.

6 La composition de l équipe devra également être revue régulièrement. Une astreinte pourrait être exigée de la part des membres sur de longues périodes de temps ; ils devraient donc bénéficier d une rotation hors de l équipe d intervention pour se reposer. De même, des exercices et des tests pourraient identifier les compétences supplémentaires qui devraient être ajoutées à l équipe. Tester le plan Les attaques de grande ampleur sont rares. La situation est idéale lorsque le plan d'intervention et les compétences de l'équipe ne sont jamais mis à contribution. Cependant, cette situation comporte des risques. Le test régulier du plan d'intervention révèlera des points faibles et évitera que les compétences ne se perdent par manque d'entraînement. Les exercices de test pourront se faire sur le papier. On pourra simuler la réaction face à une attaque qui évolue et sa résolution, sur une base théorique. On peut également planifier ce genre de test sous forme d'exercice réel en impliquant des experts en test de pénétration qui simuleront comment les attaquants peuvent compromettre les systèmes. Des exercices réguliers permettent de mettre à l'aise les membres de l'équipe vis-à-vis de leurs rôles et de leurs responsabilités. Des tests de différents scénarios d'attaques permettront de vérifier que les procédures sont suffisamment complètes et flexibles pour pouvoir répondre aux attaques futures. Les équipes doivent adopter le modèle PDCA (Plan-Do-Check-Act) : planifier, développer, contrôler, agir. Planifier Développer Agir Contrôler

7 Planifier Développer Contrôler Agir Etablir les objectifs, les politiques et les procédures pour répondre aux besoins de l'entreprise. Mettre en œuvre ces politiques et ces procédures. Vérifier si elles sont efficaces en pratique pour répondre aux objectifs. Prendre des mesures pour modifier les plans selon l'expérience acquise pour affiner et améliorer. Plus de vigilance, moins de risques. Conclusion Grâce à la compréhention des attaques, la mise en œuvre des bonnes procédures et au développement d'une stratégie claire d'intervention, les entreprises peuvent lutter contre les menaces futures et se remettre plus rapidement des incidents. Références 1 N. Falliere, L. O. Murchu, E. Chien, W32. Stuxnet Dossier, Symantec Security Response Whitepaper, February 2007 S. Davies, Out of Control, Engineering & Technology v.6 (6) p.60-62, July D. Walker Saudi Oil Company Back Online After Cyber Sabotage Attempt, SC Magazine, 27 Aug H. Tsukayama, Cyber Attack on RSA Cost EMC $66 Million, The Washington Post, 26 Jul Top Four Mitigation Strategies to Protect Your ICT System, Australian Government Department of Defence Intelligence and Security, p. 1, September Executive Companion: 10 Steps to Cyber Security, Dept. for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Office of Cyber Security & Information Assurance, p. 1, September 2012

8 Plus de vigilance, moins de risques. En savoir plus Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, NIST SP rev. 2. Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology, NIST SP BS ISO/IEC 27002:2005 Technologies de l'information Techniques de sécurité Code de bonne pratique pour le management de la sécurité de l'information. BS ISO/IEC 27035:2011 Technologies de l'information Techniques de sécurité Gestion des incidents de sécurité de l information PD ISO/IEC 18044:2004 Technologies de l'information Techniques de sécurité Gestion des incidents de sécurité de l informationbs ISO/IEC 27031:2011 Technologies de l'information Techniques de sécurité Lignes directrices pour la préparation des technologies de la communication et de l information pour la continuité d activité Best Practices for Troubleshooting Viruses on a Network, Base de connaissances Symantec Symantec FranceTour Egée 17, avenue de l Arche Courbevoie CedexTél. : Symantec est un leader mondial de solutions de gestion de la sécurité, du stockage et des systèmes, permettant aux clients de sécuriser et de gérer leurs informations et leurs identités. Copyright 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. 12/12 B. Nahorney & E. Maengkom, Containing an Outbreak. How to clean your network after an incident., Livre blanc Symantec Security Response. Symantec Security Response, Bonnes pratiques en matière de sécurité Formation Symantec, Security Awareness Program Brochure: Symantec Managed Security Services, Symantec Security Monitoring Services : Gestion, surveillance et analyse du journal de sécurité par des experts certifiés Brochure: Symantec Managed Security Services, Symantec Security Monitoring Services : Optimiser la protection et la sécurité de l'entreprise tout en gardant le contrôle " Pour consulter ces documents et d'autres ressources supplémentaires, visitez le site