Naviguer en regardant dans le rétroviseur Naviguer en regardant dans le rétroviseur Naviguer en regardant dans le rétroviseur

Le pire est arrivé. Vous avez été victime d'une cyberattaque et en êtes ressorti. L'incident a été contenu et réglé, mais il a nui à vos ressources et à votre revenu. Bien que vous vouliez passer à l'étape suivante, il reste encore beaucoup de travail à faire.

Les mesures prises après un incident sont l'un des plus importants aspects du cycle de la réponse aux incidents. Que ce soit l'analyse des causes profondes, la rétrospection en profondeur ou l'élaboration d'une feuille de route de correction, les mesures suivant un incident, lorsqu'elles sont exercées correctement, contribuent non seulement à assurer la résilience organisationnelle, mais aussi à veiller à ce que l'expérience de l'incident mène à des améliorations de l'état de votre programme de cybersécurité.

Les causes profondes du problème
Il faut d'abord analyser les causes profondes afin de comprendre parfaitement comment et pourquoi un incident est survenu. Pour ce faire, on peut se poser des questions telles que « Comment un courriel d'hameçonnage a-t-il atteint la boîte de réception d'un employé? », « Pourquoi n'a-t-il pas été détecté par le filtre? », « Pourquoi l'employé a-t-il cliqué sur le lien? » et « Y a-t-il des lacunes dans la formation et la sensibilisation? »

Cette analyse doit comprendre un examen des technologies de cybersécurité qui ont réussi, de ce qui a échoué et de ce qui manquait, et, idéalement, servir à retracer les pas de l'attaquant dans l'organisation jusqu'à ce qu'on appelle le « cas primaire ». Il est important de déterminer si et comment les attaquants ont accédé à des privilèges avancés comme les droits d'administrateur. Il faut aussi découvrir comment ils ont navigué dans votre réseau et s'ils ont réussi à installer un logiciel, puis à trouver et à exfiltrer des données.

Lorsque nous réalisons ces analyses, nous traçons souvent le mouvement à l'aide d'un cadre ATT&CK de MITRE, « une base de connaissances accessible mondialement, portant sur les tactiques et techniques des adversaires selon de réelles observations ». Quand il est appliqué aux mesures de contrôle et aux technologies informatiques déjà en place, il contribue à déterminer les lacunes et à tracer la feuille de route vers une éventuelle remise en état.

Ensuite, il est essentiel de réaliser une rétrospection en profondeur et de poser des questions précises :

• Les intervenants n'ont-ils pas pris les mesures à temps?
• Y a-t-il eu un manque de communication ou une discordance des mesures à prendre (entre ce qui a été discuté et la façon dont elles ont été prises)?
• Y a-t-il des étapes qui n'ont pas été suivies? Dans l'affirmative, pourquoi n'ont-elles pas été suivies?
• Est-ce que certains des aspects du plan ou de la procédure de réponse aux incidents ne fonctionnaient pas?

Une autre question très importante est souvent omise : qu'est-ce qui s'est bien déroulé? Il est primordial que vous souligniez cela, autant pour produire un rapport exhaustif que pour conserver le moral dans l'organisation.

On néglige souvent de créer un registre d'incident, mais ce dernier peut jouer un rôle important dans une rétrospection efficace. L'idéal est qu'il y ait eu une personne spécialement affectée au suivi et à l'entrée des activités pendant l'incident. Quand les renseignements sont prêts pour l'analyse, on peut déterminer la voie à suivre, entre autres pour la révision du plan de réponse, le cas échéant, ou pour procéder à des exercices en cas d'incident.

Reprendre la route
Une feuille de route de correction est une représentation exhaustive des étapes nécessaires au renforcement de votre cybersécurité. Elle peut varier selon le type d'attaque et les contrôles déjà en place. Vous devriez séparer les articles selon les personnes, les processus et la technologie. Ensuite, chaque article aura sa propre description de projet détaillée, notamment le niveau de priorité et le budget accordé. Les articles devraient également être regroupés en mesures préventives à court terme, en surveillance et en intervention de faible niveau à moyen terme et en projets à grande échelle servant à corriger des problèmes de longue date, comme le réseau et la segmentation, les questions liées à la structure Active Directory et à l'identité, les inventaires des actifs incomplets, la surveillance et la protection inadéquates des terminaux et la gestion des données.

Voici quelques exemples des points qui sont probablement les plus importants à examiner et à corriger, autant avant qu'après une atteinte à la sécurité :

• Gestion rigoureuse des correctifs et évaluation continue de la vulnérabilité. Cela nécessite qu'une organisation ait un programme complet de gestion des actifs et accorde la priorité aux actifs et aux renseignements importants à protéger, ce qui peut être difficile.
• Gestion des droits d'accès privilégiés. Si un pirate informatique ou un ennemi accède à votre environnement, il doit généralement obtenir des droits d'accès avancés, comme les droits d'administrateur, pour mener à bien son attaque. Le fait d'avoir une solution et un programme de gestion des droits d'accès privilégiés robustes empêche les pirates d'obtenir ces droits d'accès et, dans certains cas, aide à la conformité.
• Segmentation des réseaux. De nombreuses entreprises ont des réseaux plats qui se sont étendus au fil du temps et qui permettent à un attaquant de passer facilement d'un référentiel ou d'une application à l'autre. En segmentant ce type de réseau en zones de sécurité comprenant des groupes d'actifs ou de données, on peut ralentir la vitesse d'une attaque, augmenter la sécurité des données dans son ensemble et faciliter la surveillance et l'alerte des comportements malveillants. De plus, la segmentation peut souvent réduire les dommages d'une attaque réussie ou empêcher l'attaque tout court.
• Programme de prévention de perte de données. Les données font partie de vos actifs clés, et le vol, l'indisponibilité ou la perte d'intégrité de celles-ci peuvent être catastrophiques. Un programme complet comprend non seulement le catalogage et la classification de vos données à des fins de sécurité et de rétention, mais également la sécurisation de tous les terminaux, comme les ordinateurs portables et de bureau, les téléphones cellulaires et les dépôts de données. Si possible, activez également la vérification et l'enregistrement complets, et utilisez des outils d'analyse du comportement des utilisateurs pour chercher des anomalies, comme des vidages de données majeurs ou un chiffrement massif non autorisé.

Au bout du compte, s'il y a bien une chose qu'aucune organisation ne peut se permettre aujourd'hui, c'est de ne pas prendre de mesures à la suite d'un incident de sécurité informatique. Ne ménagez aucun effort. Après tout, vous avez déjà subi les conséquences de l'incident. Pourquoi ne pas en tirer la meilleure valeur possible?