7 questions sur la réponse aux incidents auxquelles tout directeur de la sécurité informatique doit être capable de répondre.
Stéphane Estevez,
responsable marketing senior Quantum (EMEA)
Planifier la réponse aux cyberattaques ne revient-il pas à admettre son échec ? Non, affirme Stéphane Estevez.
1 Comment pirateriez-vous une entreprise ?
L’université de Stanford a récemment accueilli le sommet de la Maison-Blanche sur la cyber-sécurité et la protection du consommateur. Étaient présents des chefs d’entreprises de haute technologie, du gouvernement et des forces de l’ordre, des défenseurs de la vie privée et des droits des consommateurs, des professeurs de droit, ainsi que des étudiants. Lors des discussions sur l’application du droit international, Kevin Mandia, fondateur de Mandiant et président de la société de cyber-sécurité FireEye, a été interrogé sur les questions à poser à un directeur de la sécurité informatique pour évaluer ses compétences. Selon Kevin Mandia, la première question qu’un chef d’entreprise doit poser à son directeur de la sécurité informatique est : “Comment pirateriez-vous une entreprise ?”.
A priori, la question comment pirateriez-vous une entreprise semble peu en rapport avec la réponse aux incidents.
Rien n’est pourtant moins sûr. Car la réponse du directeur de la sécurité informatique indiquera s’il a déjà tenté de se mettre à la place de l’attaquant. Elle déterminera s’il pense qu’un pirate peut violer la sécurité de son entreprise. Il s’agit d’une première étape cruciale pour prendre conscience de la nécessité d’un plan de réponse aux incidents.
2 Seriez-vous capable de détecter une intrusion ?
La deuxième question peut aider un PDG ou un membre du conseil d’administration à déterminer si un directeur de la sécurité informatique réalise la nécessité d’investir dans la détection et la prévention.
Le récent rapport sur les menaces M-Trends de Mandiant indique qu’en 2014, 69 % des entreprises ont appris par une entité extérieure, telle que les forces de l’ordre, qu’elles avaient été victimes d’une intrusion. La détection, c’est-à-dire la détection précoce par l’entreprise elle-même, est un domaine qui mérite clairement d’être amélioré.
3 Quand avez-vous testé votre plan de réponse aux incidents ?
Après avoir admis l’inéluctabilité des intrusions, la prochaine étape consiste à réfléchir à la façon de s’y préparer. Vous avez bien entendu besoin d’un plan. Un plan de réponse aux incidents. Une fois le plan défini, comment savoir s’il est complet ? S’il tient compte de toutes les éventualités ? De plus en plus d’entreprises s’adonnent à des simulations de cyberattaques pour identifier les lacunes dans leurs plans de réponse aux incidents et ainsi voir ce qui fonctionne bien, à peu près, pas du tout ou a été occulté du plan.
Alors, quand avez-vous testé votre plan de réponse aux incidents pour la dernière fois ? Vous ne souhaitez certainement pas attendre d’être attaqué pour le tester.
Les rapports les plus récents indiquent que de nombreuses cyber-intrusions sont présentes sur le réseau de la victime plusieurs semaines ou mois avant d’être détectées. Selon le rapport sur les menaces M-Trends 2015 de Mandiant, le délai moyen entre le premier signe de compromission et la détection est de 205 jours. Et d’après l’édition 2014 du rapport d’enquête de Verizon sur les compromissions de données, plusieurs mois s’écoulent entre l’intrusion et la découverte dans 41 % des attaques ciblant les applications Web et dans 62 % des incidents de cyber-espionnage.
Cela signifie que les attaques qui franchissent vos défenses ont souvent eu plus de temps pour causer davantage de préjudices, ce qui complique l’enquête. Et chaque jour de cyber-enquête coûte cher.
D’où l’importance des simulations de cyberattaques pour identifier et combler les lacunes de votre plan de réponse aux incidents.
4 Le plan de réponse comprend-il une investigation réseau ?
Lorsque vous évaluez le plan de réponse aux incidents de votre entreprise, vous pouvez également vous demander si vous collectez les données télémétriques nécessaires aux investigations. Les données du trafic réseau sont les plus utiles pour comprendre ce qui s’est passé. Elles indiquent quels systèmes ont communiqué, quand et quelles données ils ont échangées.
L’investigation réseau, parfois appelée “capture de paquets”, consiste à capturer, stocker et analyser les données du trafic réseau. Chaque plan de réponse aux incidents doit inclure une stratégie d’investigation réseau de sorte que vous disposiez des données requises pour mener l’enquête. Vous pouvez ainsi “remonter dans le temps” pour comprendre ce qui s’est passé.
À défaut de données vous permettant d’identifier le trafic entrant et sortant qui a transité sur votre réseau et via quelles adresses IP, vous aurez du mal à savoir comment l’attaquant a pu s’infiltrer et se maintenir en place, et à identifier les données dérobées.
Sans données sur lesquelles vous appuyer pour mener l’enquête, vous risquez de ne jamais obtenir de réponses à vos questions.
5 Pouvez-vous analyser vite les données du trafic réseau ?
À supposer que vous ayez collecté et stocké les données du trafic réseau, les questions suivantes sont : pouvez-vous les analyser rapidement ? Combien de temps faut-il pour exécuter une requête ? Quelle est la durée des requêtes exécutées en même temps que la capture continue du trafic réseau ?
Certaines solutions d’investigation réseau peinent à capturer le trafic et à répondre simultanément aux requêtes. Elles perdent des paquets. Pire encore, certaines perdent des paquets sans le signaler. La perte de paquets signifie que vous risquez de ne pas disposer des données dont vous avez besoin pour mener l’enquête.
Raison de plus pour procéder à des simulations de cyberattaques. C’est un excellent moyen de mesurer la durée d’exécution des requêtes et de déterminer si votre solution d’investigation réseau actuelle répond à vos besoins.
6 Investigations : jusqu’où remontez-vous dans le temps ?
Bien entendu, les données du trafic réseau ne sont utiles que si elles sont disponibles au moment où vous menez votre enquête. Autrement dit, si vous les avez capturées avant l’attaque. Et à condition que vous ne vous en soyez pas débarrassé.
Nombre d’attaques qui franchissent les défenses de l’entreprise sont présentes sur le réseau plusieurs semaines ou mois avant d’être détectées. La banque américaine JPMorgan Chase a avoué qu’il lui avait fallu deux mois pour s’apercevoir que des pirates s’étaient introduits dans ses systèmes.
Combien de jours de trafic réseau capturez ou stockez-vous en prévision d’analyses criminalistiques ultérieures ?
7 Jusqu’où devez-vous remonter dans le temps ?
Les équipes chargées de la sécurité cherchent à conserver un plus grand volume de données de trafic réseau. Cela est probablement dû à une prise de conscience croissante du délai qui sépare l’intrusion et sa détection. Les entreprises veulent pouvoir remonter beaucoup plus loin dans le temps afin de comprendre ce qui s’est passé. S’il vous faut deux mois pour réaliser que vous avez fait l’objet d’une intrusion, disposerez-vous des données nécessaires pour mener l’enquête ?
