Toutes les personnes qui ont déjà vécu une crise cyber sont unanimes : durant la phase de réponse à incident, chaque seconde compte. Visualiser l’attaque en temps réel, partager les données dont on dispose avec tous les acteurs concernés, définir une stratégie de remédiation et prioriser les actions à réaliser… Voilà autant d’opérations à réaliser dans un délai (très) contraint.
Le rapport de force entre les défenseurs et les attaquants est asymétrique, et penche clairement en faveur des seconds. La gestion de crise cyber reste un moment délicat, mais en s’y préparant correctement (notamment en cartographiant son SI), il est heureusement possible d’anticiper un incident, puis de réagir vite et efficacement lorsque celui-ci survient. Voyons cela en détail.
Cartographier son SI pour prévenir l’incident
Connaître son SI : la clé de voûte d’une bonne stratégie de défense
Comment résumer en une seule phrase l’intérêt de la cartographie des systèmes d’information en matière de cybersécurité ?
Réponse : « On ne peut pas défendre correctement ce qu’on ne connaît pas. »
Comment protéger correctement son SI si l’on ne connaît pas les différents actifs numériques qui le composent ? Comment protéger correctement ses actifs les plus critiques s’ils n’ont pas été définis en amont ? Comment empêcher qu’une attaque ne se (re)produise si l’on ne connaît pas ses propres vulnérabilités ?
Mettre en place une bonne stratégie de défense nécessite de rassembler toutes les données de son SI, de les corréler et de les visualiser afin de pouvoir répondre précisément à toutes ces questions :
- Que verrait un cybercriminel s’il accédait à mon SI ?
- Tous les points d’entrée du SI sont-ils identifiés et sécurisés ?
- Où serais-je potentiellement impacté par une cyberattaque ?
- Quels sont les scénarios d’attaque possibles dans mon SI ?
- Quelles sont les vulnérabilités de mon SI et lesquelles puis-je corriger ?
Il s’agit là d’une démarche de prévention. Pour l’ANSSI, la cartographie du système d’information participe à la résilience du SI et s’impose comme un outil indispensable à la gestion de crise. Il ne s’agit pas seulement de « gagner du temps » lors de la réponse à incident, mais de ne pas perdre de temps tout court, en évitant l’incident. Passer une heure à patcher une vulnérabilité ou perdre plusieurs semaines à remonter son SI suite à un ransomware ? Le choix est vite fait.
Identifier les assets les plus critiques pour mieux les protéger
« Pouvez-vous me donner un schéma d’architecture de votre réseau à jour ? » : voilà l’une des premières questions que pose un prestataire chargé de vous soutenir dans votre processus de réponse à incident. Et le fait de ne pas pouvoir répondre instantanément à cette question est déjà une perte de temps, d’où l’intérêt de pouvoir disposer d’une cartographie exhaustive et à jour de son SI.
C’est particulièrement vrai (mais pas uniquement) dans le cas des ransomwares, qui peuvent se propager sur une bonne partie d’un SI en seulement quelques heures.
À l’inverse, le fait d’avoir cartographié son SI, listé l’ensemble des points d’entrée et identifié les interconnexions entre les différents actifs numériques (réseaux, applications, équipements physiques, utilisateurs et administrateurs avec leurs différents niveaux de privilèges, etc.) permet de réagir beaucoup plus rapidement et de manière beaucoup plus efficace en cas d’incident. Quelques minutes suffisent pour commencer à bien cerner l’attaque. Cela permet par exemple de couper les flux au bon endroit ou encore d’isoler les machines concernées afin d’éviter que l’attaque ne se propage davantage.
Et que faire une fois que cet inventaire complet a été réalisé ? Reste à le mettre à jour en permanence, à identifier les assets les plus critiques pour son activité (site e-commerce, données clients, chaîne logistique, etc.) et à les intégrer au plan de continuité d’activité.
Les fondamentaux de la réponse à incident
Gagner du temps en identifiant et en bloquant l’attaque
Comme le décrit l’ANSSI dans son « Panorama de la cybermenace 2022 », les attaquants sont de plus en plus furtifs. Ils peuvent parfois rester plusieurs jours (ou semaines) dans un système d’information sans être repérés. En revanche, une fois l’incident déclenché, les étapes s’enchaînent très vite : identifier et comprendre l’attaque, la contenir, mettre en place des actions de remédiation, instaurer un mode de fonctionnement dégradé pour les métiers impactés… et enfin remettre en état le SI.
Le temps moyen de réponse à un incident de sécurité par les équipes SecOps est de 20,9 heures (source : Rapport « Voice of SecOps », DeepInstinct, 2021).
Tenter de circonscrire un incident nécessite de bien comprendre le mode opératoire utilisé par l’attaquant : quelle Tactique,quelle Technique, quelle Procédure a-t-il utilisées ? (ou « TTP » de la matrice MITRE ATT&CK®). De là découle toute une série de questions :
- À quel moment l’attaque a-t-elle commencé ?
- Quelles sont les vulnérabilités et/ou les points d’entrée utilisés par les cybercriminels ?
- Que cherchent-ils à faire ?
- Quelles sont leurs cibles ?
- Quelles machines doit-on isoler du réseau pour éviter la propagation de l’attaque ?
- Quels sont les éléments à protéger en priorité ?
Améliorer la prise de décision
L’efficacité d’un processus de réponse à incident repose en grande partie sur la capacité des équipes à prendre les bonnes décisions au bon moment et à prioriser les actions à mener. Et pour cela, il est indispensable de pouvoir s’appuyer sur des données mises à jour en temps réel.
Cela permet de réunir autour de la table les différents acteurs concernés par le processus de réponse à incident, aussi bien les équipes techniques que les dirigeants. La communication entre les différentes parties prenantes est un élément clé du processus de réponse à incident. Chacun doit avoir accès aux mêmes informations et pouvoir suivre en temps réel la progression de l’attaque, puis l’évolution des gestes de remédiation.
Partager les informations relatives à l’attaque en cours est certes indispensable, mais communiquer des données brutes ne suffit pas, encore faut-il pouvoir les diffuser d’une manière lisible. Le fait de disposer d’une cartographie de son SI en 3D montre ici toute son utilité. Les équipes mobilisées dans le processus de réponse à incident peuvent ainsi visualiser (avec des formes, des couleurs, etc.) ce qui est en train de se produire, en ayant sous les yeux les relations (parfois complexes) entre les différents éléments.
Et de là découle une prise de décision efficace concernant les éléments à isoler et les flux à bloquer en priorité (pour limiter la quantité de données exfiltrées, par exemple).
Et ensuite ? Une fois passée l’étape de réponse à incident à proprement parler, vient le temps des questions :
- Si l'une de mes business units a été attaquée, les autres unités de mon entreprise sont-elles vulnérables à la même attaque ?
- Si l'un de mes concurrents dans mon secteur d'activité a été attaqué d'une manière spécifique, suis-je vulnérable également ?
Le système de cartographie permet d’aller vérifier si d’autres points du SI disposent effectivement de vulnérabilités connues, et le cas échéant, de les patcher.
Vous aimeriez cartographier votre surface d’attaque pour gagner du temps lors d’une phase de réponse à incident ? Contactez les équipes OverSOC.