En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Jalios_Digital Summit 2017_leaderboard

7 questions sur la réponse aux incidents auxquelles tout directeur de la sécurité informatique doit être capable de répondre

Vertiv_Power_300x250_FR


Pourquoi écrire un article sur la réponse aux incidents ? Planifier la réponse aux cyberattaques ne revient-il pas à admettre son échec ? Non, affirme Stéphane Estevez, responsable senior du marketing produits pour les régions EMEA chez Quantum, spécialiste du stockage des flux de travail, de l’archivage et de la protection des données.

Dans le monde d’aujourd’hui, les pirates utilisent une grande diversité d’outils et de techniques pour parvenir à leurs fins. Lorsqu’ils rencontrent un obstacle, ils n’abandonnent pas. Ils tentent juste de trouver un autre moyen. Puis un autre. Et encore un autre.
Rafal Los, membre de l’équipe Office of the CISO d’Accuvant, décrit en ces termes les pirates actuels : « Ils convoitent l’un de vos biens et mettent tout en œuvre pour s’en emparer ».
Aujourd’hui, le rôle du directeur de la sécurité informatique ne s’arrête pas à la prévention. Certaines intrusions déjoueront fatalement vos défenses. La question n’est plus de savoir si, mais quand vous serez piraté. C’est la nouvelle réalité à laquelle sont confrontées les entreprises. En prendre conscience constitue une étape importante pour être prêt à réagir.
De l’efficacité de votre réponse à un incident dépend la vitesse à laquelle vous pourrez neutraliser l’attaque, fermer les points d’entrée de l’attaquant et identifier les données qui ont été dérobées.
La façon dont vous gérez les communications avec vos clients, partenaires et employés en cas de cyberattaque a par ailleurs une incidence sur votre marque et votre réputation.
Planifier la réponse aux incidents avant de subir une intrusion est une simple question de bon sens.

1 Comment pirateriez-vous une entreprise ?

L’université de Stanford a récemment accueilli le sommet de la Maison-Blanche sur la cyber-sécurité et la protection du consommateur. Étaient présents des chefs d’entreprises de haute technologie, du gouvernement et des forces de l’ordre, des défenseurs de la vie privée et des droits des consommateurs, des professeurs de droit, ainsi que des étudiants. Lors des discussions sur l’application du droit international, Kevin Mandia, fondateur de Mandiant et président de la société de cyber-sécurité FireEye, a été interrogé sur les questions à poser à un directeur de la sécurité informatique pour évaluer ses compétences. Selon Kevin Mandia, la première question qu’un chef d’entreprise doit poser à son directeur de la sécurité informatique est : « Comment pirateriez-vous une entreprise ? ».
A priori, la question comment pirateriez-vous une entreprise semble peu en rapport avec la réponse aux incidents.
Rien n’est pourtant moins sûr. Car la réponse du directeur de la sécurité informatique indiquera s’il a déjà tenté de se mettre à la place de l’attaquant. Elle déterminera s’il pense qu’un pirate peut violer la sécurité de son entreprise. Il s’agit d’une première étape cruciale pour prendre conscience de la nécessité d’un plan de réponse aux incidents.

2 Seriez-vous capable de détecter une intrusion ?

La deuxième question peut aider un PDG ou un membre du conseil d’administration à déterminer si un directeur de la sécurité informatique réalise la nécessité d’investir dans la détection et la prévention.
Le récent rapport sur les menaces M-Trends de Mandiant indique qu’en 2014, 69 % des entreprises ont appris par une entité extérieure, telle que les forces de l’ordre, qu’elles avaient été victimes d’une intrusion. La détection, c’est-à-dire la détection précoce par l’entreprise elle-même, est un domaine qui mérite clairement d’être amélioré.

3 Quand avez-vous testé votre plan de réponse aux incidents pour la dernière fois ?

Après avoir admis l’inéluctabilité des intrusions, la prochaine étape consiste à réfléchir à la façon de s’y préparer. Vous avez bien entendu besoin d’un plan. Un plan de réponse aux incidents. Une fois le plan défini, comment savoir s’il est complet ? S’il tient compte de toutes les éventualités ? De plus en plus d’entreprises s’adonnent à des simulations de cyberattaques pour identifier les lacunes dans leurs plans de réponse aux incidents et ainsi voir ce qui fonctionne bien, à peu près, pas du tout ou a été occulté du plan.
Alors, quand avez-vous testé votre plan de réponse aux incidents pour la dernière fois ? Vous ne souhaitez certainement pas attendre d’être attaqué pour le tester.
Les rapports les plus récents indiquent que de nombreuses cyber-intrusions sont présentes sur le réseau de la victime plusieurs semaines ou mois avant d’être détectées. Selon le rapport sur les menaces M-Trends 2015 de Mandiant, le délai moyen entre le premier signe de compromission et la détection est de 205 jours. Et d’après l’édition 2014 du rapport d’enquête de Verizon sur les compromissions de données, plusieurs mois s’écoulent entre l’intrusion et la découverte dans 41 % des attaques ciblant les applications Web et dans 62 % des incidents de cyber-espionnage.
Cela signifie que les attaques qui franchissent vos défenses ont souvent eu plus de temps pour causer davantage de préjudices, ce qui complique l’enquête. Et chaque jour de cyber-enquête coûte cher.
D’où l’importance des simulations de cyberattaques pour identifier et combler les lacunes de votre plan de réponse aux incidents en prévision d’une attaque.

4 Votre plan de réponse aux incidents comprend-il une investigation réseau ?

Lorsque vous évaluez le plan de réponse aux incidents de votre entreprise, vous pouvez également vous demander si vous collectez les données télémétriques nécessaires aux investigations. Les données du trafic réseau sont les plus utiles pour comprendre ce qui s’est passé. Elles indiquent quels systèmes ont communiqué, quand et quelles données ils ont échangées.
L’investigation réseau, parfois appelée « capture de paquets », consiste à capturer, stocker et analyser les données du trafic réseau. Chaque plan de réponse aux incidents doit inclure une stratégie d’investigation réseau de sorte que vous disposiez des données requises pour mener l’enquête. Vous pouvez ainsi « remonter dans le temps » pour comprendre ce qui s’est passé.
À défaut de données vous permettant d’identifier le trafic entrant et sortant qui a transité sur votre réseau et via quelles adresses IP, vous aurez du mal à savoir comment l’attaquant a pu s’infiltrer et se maintenir en place, et à identifier les données dérobées.

Sans données sur lesquelles vous appuyer pour mener l’enquête, vous risquez de ne jamais obtenir de réponses à vos questions.

5 Pouvez-vous analyser rapidement les données du trafic réseau ?

À supposer que vous ayez collecté et stocké les données du trafic réseau, les questions suivantes sont : pouvez-vous les analyser rapidement ? Combien de temps faut-il pour exécuter une requête ? Quelle est la durée des requêtes exécutées en même temps que la capture continue du trafic réseau ?
Certaines solutions d’investigation réseau peinent à capturer le trafic et à répondre simultanément aux requêtes. Elles perdent des paquets. Pire encore, certaines perdent des paquets sans le signaler. La perte de paquets signifie que vous risquez de ne pas disposer des données dont vous avez besoin pour mener l’enquête.
Raison de plus pour procéder à des simulations de cyberattaques. C’est un excellent moyen de mesurer la durée d’exécution des requêtes et de déterminer si votre solution d’investigation réseau actuelle répond à vos besoins.

6 Jusqu’où pouvez-vous remonter dans le temps pour conduire vos investigations ?

Bien entendu, les données du trafic réseau ne sont utiles que si elles sont disponibles au moment où vous menez votre enquête. Autrement dit, si vous les avez capturées avant l’attaque. Et à condition que vous ne vous en soyez pas débarrassé.
Nombre d’attaques qui franchissent les défenses de l’entreprise sont présentes sur le réseau plusieurs semaines ou mois avant d’être détectées. La banque américaine JPMorgan Chase a avoué qu’il lui avait fallu deux mois pour s’apercevoir que des pirates s’étaient introduits dans ses systèmes.
Combien de jours de trafic réseau capturez ou stockez-vous en prévision d’analyses criminalistiques ultérieures ?

7 Jusqu’où devez-vous remonter dans le temps pour conduire vos investigations ?

Les équipes chargées de la sécurité cherchent à conserver un plus grand volume de données de trafic réseau.
Cela est probablement dû à une prise de conscience croissante du délai qui sépare l’intrusion et sa détection. Les entreprises veulent pouvoir remonter beaucoup plus loin dans le temps afin de comprendre ce qui s’est passé.
S’il vous faut deux mois pour réaliser que vous avez fait l’objet d’une intrusion, disposerez-vous des données nécessaires pour mener l’enquête ?

Vos réponses aux questions sur la réponse aux incidents sont-elles concluantes ?

Les directeurs de la sécurité informatique jouent un rôle majeur, et le paysage actuel des cyber-menaces rend leur mission d’autant plus difficile. Je n’ai pas la prétention de leur dire comment faire leur travail. Ce sont eux les experts en sécurité. Mais il me semble important de souligner la nécessité d’un plan efficace de réponse aux incidents. Ainsi, lorsque (et non pas si) votre entreprise est victime d’une intrusion, elle est parfaitement préparée à enquêter et à neutraliser l’attaque.

 

Auteur : Juliette Paoli

7 questions sur la réponse aux incidents auxquelles tout directeur de la sécurité informatique doit être capable de répondre
Notez cet article

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - L'Assistance Publique des Hôpitaux de Marseille organise sa gestion de crise

    Pour Philippe Tourron, le RSSI de l’APHM, réagir vite en cas de crise est primordial. …

    > En savoir plus...
Etudes/Enquêtes
  • Edition logicielle française : +12 % en 2016

    Syntec Numérique et EY ont présenté les résultats de la nouvelle édition du Top 250…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
Global Knowledge_Docker_Skycraper