Que faire lors de l’intrusion d’un pirate dans votre réseau?

Q : La semaine dernière, nous avons découvert qu’un pirate s’était introduit
dans l’un de nos postes et qu’il l’utilisait pour sonder notre réseau.
C’est notre IDS (intrusion detection system) qui nous a signalé la présence
de l’intrus, mais nous ne savons toujours pas comment le pirate a
pris le contrôle de la machine. Après quelques minutes d’affolement,
nous avons arrêté l’ordinateur. Mais maintenant, nous ne savons trop
que faire. Est-il possible d’inspecter l’ordinateur (une boîte Windows
XP) pour déterminer comment le pirate s’est introduit ? Existe-t-il une
procédure standard pour cela ?

R : Il existe bien sûr une procédure standard pour contrer l’intrusion d’un pirate.
Le processus, appelé computer security incident response, est bien décrit
dans l’excellent (et gratuit) tutoriel du Computer Emergency Response
Team « Creating a Computer Security Incident Response Team », disponible
online à  http://www.cert.org/csirts/Creating-A-CSIRT.html.

Pour l’essentiel, ce processus consiste à  anticiper les attaques, afin que
votre personnel sache immédiatement quoi faire. Le document du Response
Team décrit cette préparation. Si vous voulez voir ce que vous auriez dû faire
pour l’incident que vous avez subi, passez directement au chapitre 6,
« Responding to Intrusions » (www.cert.org/security-improvement/modules/
m06.html).

En bref, la réponse comporte trois étapes : (1) analyser, (2) communiquer
et (3) collecter et protéger. Avant de faire quoi que ce soit sur le système
en question, analysez la situation pour déterminer le degré de l’intrusion.

Ensuite, informez tous les membres de l’entreprise qui doivent participer à 
la réponse. Enfin, collectez l’information « d’autopsie » et isolez le système
piraté pour qu’il ne contamine pas le reste du réseau.

Bien entendu, les étapes 1 et 2 doivent être menées rapidement, sous
peine de perdre le contrôle de la situation. C’est là  qu’intervient la préparation
: établissez des règles et des procédures de réaction immédiate aux intrusions.

Vous comprenez probablement les raisons techniques d’une réponse organisée
aux incidents. Mais vous ignorez peut-être les raisons légales. Aux
Etats-Unis, des lois récentes concernant la gouvernance et la responsabilité
d’entreprise, comme le Sarbanes-Oxley Act et le HIPPA (Health Insurance
Portability and Accountability Act) placent plus haut la barre de la préparation
IT pour traiter les incidents de piratage. Et la législation de certains
Etats, comme la loi de divulgation des pirates (2003 California hacker disclosure
law), peut vous obliger à  signaler aux clients et aux actionnaires les incidents
touchant à  la sécurité.

Pour éviter la panique et le tapage qui accompagnent souvent les poursuites
pour délit d’entreprise, je vous conseille d’entamer dès aujourd’hui
l’élaboration de votre plan de réaction aux incidents.