Sécurité des SI : préparez votre plan réponse incident !

Aux côtés des SOC, des outils de SIEM et autres contrôles d’accès et traçabilité, le Plan Réponse Incident est un point-clé de la stratégie de protection et sécurité Internet.

Tous les deux ans, AON, important courtier mondial en assurance, sonde les chefs d’entreprise, DAF et risk managers de tous les secteurs économiques sur leur perception des risques visant leur entreprise. Ce retour business et métier reflète leurs préoccupations. Pour la première fois, l’étude 2015 place le cyber-risque – délits informatiques, piratage, menaces de virus et codes malveillants, vols de données et cyber-espionnage – dans le top 10 des risques. A noter que le risque IT figure déjà au top 5 des inquiétudes des risk-managers d’Allianz, autre géant de l’assurance, depuis janvier 2015. En plus de l’intérêt de ce retour de panel business métier étendu et hétérogène, les assureurs possèdent les vrais chiffres, eux, et leur modèle économique est très fiable.

Cela nous pousse à réfléchir à notre réalité : augmentation exponentielle des attaques, sabotages, vols d’informations… touchant les systèmes d’information des entreprises et des administrations, augmentation des risques de fuite et vol de données sensibles et personnelles, augmentation des litiges liés à ces incidents et besoin croissant d’investissements en sécurité du SI et en compétences (rares) !

La situation actuelle démontre que la plupart des entreprises vont subir des cyber-attaques et des cyber-sabotages. C’est inéluctable. Malgré l’effort, l’implication et le travail des RSSI et DSI, des attaques se produiront. Des systèmes seront indisponibles avec leur lot de pertes, de contentieux et la nécessité d’investissements en remédiation des systèmes impactés.

« Le hasard profite aux esprits préparés » (Louis Pasteur)

La probabilité d’être victime d’une cyber-attaque étant forte, l’entreprise doit se préparer à la contenir, apporter l’action curative adaptée, rétablir la situation saine normale et le cas échéant, porter l’affaire en justice avec des preuves…Dans cette perspective, chaque entreprise et chaque service public – non seulement les quelques 200 OIV (Organisme d’Intérêt Vital) – doivent se doter d’un processus de Réponse Incident.

Un Plan Réponse Incident est une démarche méthodique à suivre en cas d’attaque ou d’incident, reposant sur les larges épaules du RSSI, lui-même s’appuyant sur les équipes internes de sécurité SI opérationnelle, sur des entités externes et des équipes de SOC (Security Operations Center) pour les entreprises de taille importante.

Un plan RI n’est pas un antidote universel, totalement efficace. Les surprises du moment sont monnaie courante. Combien de fois le RSSI a-t-il découvert en plein traitement d’une attaque, que sur un système ou une base, les logs n’étaient pas générés pour des problèmes de perf ou qu’un système n’avait aucune trace des authentifications utilisateurs ou qu’il n’y avait pas de gestion centralisée des règles de filtrage et des cartographies des flux ?

Le plan RI permet de se poser les questions en amont et définir une marche à suivre en cas d’attaque. Il pousse à conserver une documentation et des cartographies des systèmes d’information à jour, à définir les actions, les personnes impliquées, les axes de communication… Et, à travers des exercices et tests réguliers, il permet de s’entraîner et de le maintenir à jour tout en l’améliorant en permanence.

Les compétences internes et externes sont à prendre en compte. Si l’entreprise ne possède pas les expertises nécessaires, le DSI et le RSSI feront appel à des expertises externes, le moment voulu. Cela passe souvent par la mise en place de contrats, cadres d’Audit Forensic et Réponse Incident.

Un plan IR classique comporte plusieurs phases : détection de l’attaque et confirmation qu’il s’agit d’une action malveillante, analyse de l’incident avec conservation des traces et preuves (et information des Services de l’Etat pour certaines entreprises), collecte des logs et traces pour une analyse forensic, isolement et éradication de l’attaque, conduite de la remédiation et enfin retour d’activité.

Bien sûr, il faut des outils de prévention et d’analyse et remédiation. La collecte et l’exploitation des logs (logs et traces des systèmes réseaux, serveurs, dispositifs de sécurité en place), l’analyse de bout en bout, la corrélation dans des fenêtres de temps de l’incident, mais aussi audelà (le dernier rapport Mandiant M-Trends 2015 indique un laps de temps moyen de 205 jours entre la première preuve tangible d’une compromission et sa découverte) fourniront des réponses factuelles aux analystes.

Les outils de SIEM pour la corrélation des logs et les traces, les outils d’analyse forensic, les outils d’analyse et remédiation de type desktop, sont quelques exemples de solutions nécessaires.

Les outils de surveillance en temps réel et d’analyse forensic sur tous les types de terminaux (smartphones inclus) sont indispensables car les auteurs d’APT (Advanced Persistent Threats, attaques ciblées par mail/phishing ou par navigation web, souvent indétectables par les antivirus classiques) ne cessent de les améliorer pour laisser un minimum de traces.

Enfin, une démarche Incident Response recherche aussi à comprendre les intentions et les motivations de chaque attaque, préparant mieux l’avenir pour contrer les cyberattaques futures.

Nous sommes tous des cibles d’attaque et de plus en plus souvent victimes d’incidents de sécurité. A l’instar des accidents de la route, il n’est pas honteux d’en subir un (surtout s’il est provoqué par un tiers). Par contre, il est inconséquent et dangereux d’accepter de prendre la route sans clignotant, avec des pneus lisses ou en état d’ivresse ! En complément aux investissements en sécurité préventive et de protection, les organisations devront préparer et organiser des plans de Réponse Incident.