En fonction de sa gravité et du périmètre concerné, une cyberattaque peut entraîner une interruption totale ou partielle de certains services et composants du système d’information. Cette situation rend d’autant plus difficile la gestion de la crise cyber et la communication autour de l’événement.
Quelles sont les premières actions à réaliser pour stopper la propagation d’une cyberattaque ? Quels outils utiliser ? Comment bien communiquer sur la crise cyber en cours alors que certains outils ne sont plus accessibles ? Quelles leçons tirer d’une telle crise pour renforcer sa sécurité informatique ?
3 grands exemples de cyberattaques
Il n’est évidemment pas possible de lister les différentes formes de cyberattaques, tant les menaces sont nombreuses et les modes opératoires variés. Voici 3 exemples.
L'intrusion
L’intrusion au sein d’un système d’information se définit comme un accès non autorisé par un tiers à un système informatique (serveur, réseau, appareil mobile, etc.). Différentes méthodes peuvent être utilisées pour réussir une intrusion au sein d’un système d’information, telles que le défaut de configuration, l’exploitation de vulnérabilités connues ou encore le vol d’identifiants.
Une fois introduit au sein du système d’information, l’acteur malveillant peut chercher à accéder à d’autres zones, à réaliser une élévation de privilèges, à voler des informations, à perturber le fonctionnement de certains services, etc.
Le ransomware
Une cyberattaque par ransomware (ou rançongiciel) se déroule via l’envoi d’un programme malveillant sur un appareil afin d’en chiffrer les données. Les attaquants exigent ensuite le paiement d’une somme d’argent afin de restituer la clé de déchiffrement. Le programme malveillant peut infecter un appareil de différentes manières : ouverture d’une pièce jointe frauduleuse ou clic sur un lien malveillant permettant d’exécuter le programme, intrusion informatique, etc.
L'attaque par déni de service distribué (DDoS)
Les attaques de type DDoS visent à saturer de requêtes un site Internet afin de le ralentir ou de le rendre inaccessible. Relativement simples à mettre en œuvre, les attaques par déni de service distribué peuvent engendrer des pertes financières pour l’organisation qui en est victime (en lien avec l’interruption de service qui en résulte). Elles peuvent également porter atteinte à son image.
Les premières étapes à suivre face à une cyberattaque
1. Isoler les systèmes compromis
Le premier réflexe à mettre en œuvre face à un système d’information compromis est de chercher à endiguer et circonscrire l’attaque pour éviter sa propagation à d’autres éléments du SI. Concrètement, cela consiste à cloisonner ou à déconnecter du réseau les éléments compromis (applications, serveurs), mais sans les éteindre.
Certaines de ces mesures d’isolation du réseau peuvent avoir des conséquences sur la continuité de l’activité. Elles doivent donc être étudiées et validées par la cellule de crise.
2. Évaluer les impacts de la cyberattaque sur le système d’information
Réagir efficacement face à une cyberattaque implique de pouvoir identifier le périmètre concerné, le chemin pris par l’attaquant ainsi que l’impact de l’attaque sur les différents actifs qui composent le système d’information.
Exemples de questions à se poser pour évaluer les impacts d’une cyberattaque sur un SI et prendre l’ampleur des dysfonctionnements informatiques :
• Quels sont les systèmes affectés par la cyberattaque ou suspectés de l’être ?
• Ces systèmes ont-ils été identifiés comme critiques pour l’organisation, supportent-ils des données sensibles ?
• Ces systèmes sont-ils soumis à des obligations réglementaires et/ou contractuelles ?
• Quel est le niveau de perturbation du système d’information ?
• Les métiers sont-ils impactés par la cyberattaque ?
• Certains services sont-ils arrêtés/inaccessibles ?
• Certains fichiers sont-ils impossibles à lire ?
Cette étape destinée à évaluer les impacts sera facilitée si les équipes chargées de gérer la crise peuvent s’appuyer sur une cartographie de leur système d’information, qui liste notamment les différents actifs et les services identifiés comme critiques, les interdépendances entre les différents actifs et services, et les interdépendants entre le SI et des entités externes à l'organisation, comme des sous-traintant, des prestataires, etc.
En identifiant les services considérés comme critiques, la cartographie aide à prioriser les actions. Elle permet par exemple de déterminer quels actifs isoler, surveiller ou protéger en priorité.
3. Collecter et conserver des traces
Cette collecte d’informations est indispensable dans le cadre de la compréhension globale de l’incident et particulièrement utile pour la phase d’investigation. Les systèmes infectés doivent être maintenus sous-tension (mais déconnectés du réseau) afin de conserver des traces sur les attaquants.
Les éléments de preuve récoltés permettront également d’effectuer le signalement de la cyberattaque aux autorités compétentes. Tenir un registre des événements, des mesures prises et des actions menées aide à tirer les enseignements de la gestion de la crise. L’objectif est de capitaliser sur l’ensemble de ces éléments afin d’améliorer sa posture de réponse à incident.
Exemples de preuves à collecter et à conserver :
• Les différents types de journaux (sécurité, systèmes, serveurs, postes de travail, équipements d’infrastructure), à mettre en sécurité en effectuant des copies hors ligne ou sur des systèmes isolés
• Disques durs des postes et serveurs infectés
• Emails piégés
• Contacts avec les attaquants (le cas échéant)
• Fichiers chiffrés
Cette phase de collecte d’informations doit également empêcher l’attaquant de détruire ses propres traces.
Renforcer sa sécurité informatique après une cyberattaque : 3 étapes clés
Reconstruire son système d’information
• Corriger les vulnérabilités exploitées par l’attaquant, supprimer ses accès.
• Définir une stratégie de reconstruction des systèmes infectés et de reprise des activités, prioriser pour redémarrer progressivement.
• Mettre en place des actions de récupération des données.
Capitaliser sur l’incident pour améliorer sa posture
• Appréhender la cyberattaque comme une étape pivot permettant d’améliorer durablement la sécurité du système d’information afin d’éviter la survenue d’une nouvelle crise.
• Passer en revue sa politique de sécurité du système d’information (PSSI) et identifier les éléments inadaptés/insuffisants.
• Définir des actions de sécurité à engager, les déployer et les suivre dans le temps pour mettre en place des standards de sécurité plus élevés.
• Passer en revue la gestion de crise cyber afin d’identifier les éléments à améliorer dans le dispositif de gestion de crise.
• Élaborer ou mettre à jour son plan de reprise d’activité (PRA).
Gagner en visibilité sur son système d’information
• Améliorer la surveillance du SI et les capacités de détection.
• Réaliser une cartographie de son SI ou mettre à jour la cartographie existante afin d’identifier ses services et ses ressources critiques.
• Partager les outils et informations avec l’ensemble des équipes.
Une cyberattaque est déstabilisante par nature. Elle l’est d’autant plus lorsque le système d’information est durablement impacté et perturbé, ce qui complique la réponse à incident.
L’anticipation et la préparation sont essentielles pour prendre rapidement les premières mesures et savoir communiquer autour de l’incident. Être outillé correctement est également indispensable pour réagir efficacement. L’analyse de la gestion de crise peut être l’occasion d’améliorer sa posture et de renforcer sa sécurité informatique.
Vous aimeriez savoir comment OverSOC peut vous aider à mieux organiser votre réponse à incident ? Contactez-nous.