Cyber-résilience : quelles mesures d’urgence pour les CIO en cas de défaillance totale de l’IT ?

Un article proposé par Cohesity dans le cadre de « What’s Next, CIO ? », l’observatoire DSI d’Alliancy. Tout au long de l’année, les partenaires de l’observatoire s’engagent à faire progresser l’écosystème du numérique par le partage de pratiques et la confrontation d’avis. Ils se mettent au service de la communauté des CIO pour leur permettre d’anticiper et d’incarner le changement dans leurs organisations.

En cas de scénario catastrophe, à savoir une cyberattaque de type wiper (qui détruit les systèmes) ou une attaque par ransomware (qui les chiffre), plus rien ne fonctionne. Pour un CIO, cela peut signifier ne plus avoir de moyens de communication pour prévenir les collaborateurs, partenaires commerciaux, l’assurance, les forces de l’ordre ou encore la presse… Mais également, plus d’outils informatiques pour commencer à réagir, ou même plus d’accès aux bureaux si les systèmes de contrôle d’accès ne sont plus opérants. En cas d’urgence, un chief information officer doit pouvoir compter sur une salle blanche, que ce soit pour identifier les artefacts d’attaque ou renforcer les systèmes avant de les restaurer, explique François-Christophe Jean, Directeur Technique France chez Cohesity.

François-Christophe Jean de CohesityConsidérant la créativité et l’imprévisibilité des cybercriminels, il est souvent difficile de prévenir une cyberattaque et le cas échéant, de contenir son champ d’action. S’il est possible de définir clairement la cause première et ses effets dans un scénario traditionnel de reprise après sinistre (par exemple une inondation ou un incendie), les pirates informatiques élaborent leurs attaques en assemblant des milliers de pièces de puzzle connues ou inconnues en séquences aléatoires qui peuvent s’étendre sur des centaines de jours.

Dans le secteur informatique, nous sommes nombreux à utiliser le cadre MITRE ATT&CK pour cartographier la complexité des cyberattaques en 14 catégories de tactiques. Ces connaissances reposent sur des analyses d’attaques réelles et sont constamment mises à jour. On y trouve une mine d’informations, entre tactiques de reconnaissance des cibles, tactiques d’exfiltration, de suppression ou encore de chiffrement des données. Le cadre recense près de 300 des techniques cybercriminelles les plus courantes et décrit les liens entre certaines.

Les acteurs malveillants ne suivent pas de script. Ils réinventent en permanence leurs approches pour passer sous les radars. Il existe des millions de façons de s’introduire dans un système, et autant de manières de les recombiner pour créer des méthodes d’attaque encore inconnues. Dans MITRE ATT&CK, la section Defense Evasion est la plus complète. Elle décrit les techniques qui empêchent les outils de sécurité des terminaux et des réseaux de prévenir ou de détecter les attaques. Une fois que l’attaquant s’est infiltré, il peut exercer tous types de pressions sur sa victime. Un groupe de ransomware a par exemple récemment dénoncé sa victime aux autorités parce que celle-ci n’avait pas signalé la violation, comme la loi l’exige !

Tous les récits d’attaques réussies montrent qu’en dépit d’investissements importants dans des technologies de défense ou des ressources, et malgré une plus grande attention des conseils d’administration sur les sujets de cybersécurité, les acteurs de la menace parviennent bien trop souvent à leurs fins. L’incident survenu à la MGM, qui a entraîné une perte potentielle de 110 millions d’euros, n’est que l’un des nombreux exemples récents.

Le danger est réel

Dans la gestion de crise, on sous-estime souvent à quel point une cyberattaque peut limiter les capacités de l’entreprise cible. On part souvent du principe que les équipes peuvent communiquer entre elles, organiser des réunions de crise et lancer leurs analyses depuis leurs outils informatiques.

Or, une attaque par ransomware peut impacter une grande partie de l’infrastructure, comme les systèmes de VoIP, les CMDB et l’ensemble des services et outils informatiques. En cas d’incident majeur, les employés, partenaires et clients sont isolés, et chacun ignore ce que font les autres. Même les systèmes de contrôle d’accès peuvent être mis hors service, empêchant les employés d’ouvrir les portes pour entrer dans les bâtiments ou quitter les pièces. Il faut comprendre que ces impacts sont réels : les perturbations causées par de nombreuses attaques réussies le prouvent.

Terrain de jeu isolé

Les entreprises concentrent souvent leurs efforts sur la restauration rapide de leurs systèmes de production, mais accordent peu d’attention aux systèmes nécessaires pour que la réponse aux incidents atténue les risques à l’origine de l’incident avant que les systèmes ne soient remis en production.

La salle blanche est le premier élément de réponse en cas d’urgence, car elle permet d’agir sans être interrompu ou observé par l’attaquant. Elle contient tous les outils et ensembles de données de base dont une entreprise a besoin pour réagir à un incident. Elle fournit les services essentiels pour communiquer et collaborer, enquêter sur l’incident et contenir la menace avant de restaurer.

Différents groupes peuvent travailler en parallèle sur des copies de snapshots des systèmes affectés, et les analyser. Des équipes peuvent rechercher « passivement » des indicateurs de compromission pendant toute la durée de l’incident. Il est également possible d’informer les régulateurs et les autorités compétentes même si les données ont été effacées ou chiffrées.

Par définition, la salle blanche est une zone isolée, très sécurisée et séparée du reste du réseau. L’infrastructure sous-jacente doit être composée d’un stockage immuable et suivre les principes du Zero Trust. Toutes les données, qu’elles soient en transit ou stockées, doivent être chiffrées. Idéalement, la salle blanche doit pouvoir tirer parti des données déjà gérées pour qu’il soit possible de rechercher, analyser et classer sans avoir à déployer encore plus d’outils de sécurité.

Vous l’aurez compris, déployer une salle blanche est la première mesure qu’un CIO devrait mettre en œuvre pour se prémunir contre les dégâts d’une cyberattaque. Les plateformes de sécurité et de gestion des données telles que Cohesity peuvent vous aider dans cette mission, en générant des snapshots permanents de toutes vos données de production, pour en assurer la sauvegarde et la restauration après sinistre.

Un article proposé par Cohesity

Cohesity_logo_color