< Back
Is your organisation ready for a security incident?

Tags:

CERT Incident response Detect and respond Threat intelligence
05 November 2024

Votre organisation est-elle prête pour un incident de sécurité ?

Des incidents de sécurité peuvent se produire à tout moment, comme le relate régulièrement la presse spécialisée. Des exemples foisonnent d’attaques dites de type « rançongiciel », où des adversaires compromettent et chiffrent les données d’une organisation, puis exigent une rançon pour les déchiffrer. D’autres exemples sont les cyberattaques perpétrées par des groupes sophistiqués dit « APT » (Advanced Persistent Threat), où des attaquants parviennent à infiltrer le réseau d’une organisation indétectée, et s’y maintiennent, pour y extraire des données sensibles.

Il existe cependant de nombreux autres types d’incidents moins médiatisés pouvant à terme avoir un impact important. Ces incidents, qui sont pourtant en termes de volume les plus nombreux, sont souvent négligés.

Un incident bénin peut avoir de lourdes conséquences

Prenons le cas d’un simple hameçonnage, où des adversaires piègent leurs victimes en les faisant naviguer sur un site web qu’ils contrôlent et qui imite un site de confiance. Le but des attaquants est de pousser les victimes à divulguer des informations personnelles, financières ou leurs identifiants. Ces identifiants sont généralement revendus à d’autres acteurs qui à leur tour les utilisent pour gagner frauduleusement accès au réseau d’une entreprise. 

L’hameçonnage est une technique simple, fréquemment utilisée, et contre laquelle il est cependant difficile de se prémunir complétement. Les conséquences d’une telle attaque peuvent être dévastatrices: en 2023; un tier des attaques de type rançongiciel traitées par les équipes de réponse aux incidents de THALES, avait pour origine ce vecteur d’attaque.

Il en va de même pour toute une famille de maliciels qui sont souvent installés par des utilisateurs imprudents au sein du système d’information d’une entreprise. Ainsi, les « Stealers » sont spécifiquement conçus pour voler des informations d’identification telles que les mots de passe, contrairement aux Chevaux de Troie qui permettent aux attaquants de contrôler un système infecté.

Ces maliciels peuvent récupérer des informations depuis les navigateurs web, les fichiers de configuration des applications ou le système d’exploitation. Ils sont dès lors transmis aux attaquants. 


Un incident insignifiant est toujours source d'amélioration

Il est important d’être attentif à toutes ces attaques bégnines ; non seulement à cause de leur impact potentiel, mais aussi dans une optique d’amélioration continue de la capacité de réponse. Ces incidents « mineurs » sont une opportunité pour gagner en maturité et pouvoir gérer des incidents majeurs de façon efficace.

En effet, ce n’est que par la pratique que pourront être découverts des disfonctionnements dans les procédures d’urgences ou des lacunes dans les informations nécessaires au traitement des incidents. Se préparer à faire face à un incident majeur en utilisant des incidents à faible impact immédiat contribue donc à l’amélioration de votre capacité de résilience globale.

Quels sont les problèmes récurrents ?

Les équipes de réponse aux incidents rencontrent fréquemment les mêmes problèmes lorsqu’elles interviennent dans des organisations non-préparées. Ainsi, l’acquisition des preuves nécessaires aux investigations est souvent soit ralentie par un défaut de procédures ou un manque de connaissance de l’environnement des équipes locales, soit tout simplement impossible car aucune mise en place pour les préserver n’a été effectuée en amont.

Ces mêmes problématiques vont se retrouver tout au long des étapes de réponse aux incidents, du confinement jusqu’à sa remédiation. Elles débouchent sur une phase de « lessons learned », durant laquelle les recommandations produites peuvent paraitre insurmontables si le niveau de maturité n’a pas été travaillé auparavant.

En quoi les "lessons learned" améliorent la réponse aux incidents ?

Prenons le cas du traitement d’une campagne d’hameçonnage à l’encontre des utilisateurs d’une entreprise. Une partie de ces courriels va malheureusement toujours parvenir dans la boite de réception des utilisateurs. Cependant, une fois l’attaque détectée, reste à déterminer quels sont les utilisateurs qui ont été piégés. Avec une défense en profondeur adéquate, via, dans ce cas, une passerelle de courriels et un serveur mandataire correctement configuré, il est possible rapidement et aisément de confirmer quels sont les utilisateurs qui ont reçu le courriel, ceux qui ont visités le site frauduleux, et les actions qu’ils y ont effectués, comme transmettre leurs identifiants.

En traitant ce genre d’incidents, en notant les dysfonctionnements rencontrés et en suivant les recommandations données lors des « lessons learned », il devient possible d’acquérir graduellement une meilleure capacité d’analyse et de réponse au sein de l’entreprise.

A terme, en cas d’incident majeur, il sera possible aux équipes de réponse de déterminer les actions exactes des attaquants, de détecter d’éventuelles porte dérobées laissées sur place, et ce malgré les tentatives de dissimulations mise en place par les attaquants.

Les « lessons learned » incluent bien d’autres points nécessaires pour pouvoir traiter tout type d’incident, tant au niveau technique (accès et analyses des preuves) qu’organisationnel (comment et à qui transmettre ces preuves).

Comment les équipes de réponse aux incidents Thales peuvent-elles vous aider ?

Les « lessons learned » sont un outil efficace mais qui ne peut pas couvrir tous les aspects de la réponse. D’une part parce que la mise en place systématique de cet exercice est coûteuse pour les entreprises, mais aussi parce que ce même exercice couvre uniquement les incidents rencontrés, laissant donc des lacunes dans la préparation.

Pour pallier ces manques, nous proposons à nos clients une préparation annuelle à la réponse aux incidents afin de les aider à devenir plus autonomes. Nous assistons nos clients en validant les points critiques qui réduiront leur surface d’attaque et amélioreront leur capacité à réagir et à réaliser des investigations.

Fort de notre expertise et de nos connaissances des écueils éventuels que nos clients vont rencontrer lors de la réponse aux incidents, nous sommes en mesure de leur fournir des rapports détaillés avec des recommandations concrètes et adaptées à leurs forces et faiblesses. L’objectif final est de renforcer leur résilience face aux menaces, en réduisant leur temps de réaction, et en améliorant leurs capacités d’analyse et de remédiation.

Pour compléter cette préparation, nous proposons également des simulations d’incidents opérationnelles, afin de valider dans des conditions quasi-réelles les capacités des réponses face à des scénarios d’incidents adaptés à leur infrastructure.

Qui sommes-nous ?

Notre service d’investigation numérique et de réponse aux incidents vise à soutenir les clients dans l'intégralité du processus de réponse aux incidents de cybersécurité. Cela comprend la collecte, la préservation, l’examen et l’analyse de données numériques afin de découvrir les causes et l’étendue d’un incident de sécurité, et d’appuyer le processus de remédiation.

Pour vous accompagner : 

  • Expertise et connaissances spécialisées : une équipe de professionnels hautement qualifiés et certifiés possédant des connaissances spécialisées en investigation numérique et en réponse aux incidents. La mise à profit de cette expertise permet au client de bénéficier des meilleures pratiques de l’industrie. 
  • Réponse rapide 24h/24 et 7j/7 : en cas d’incident de sécurité, un gestionnaire d’incidents intervient immédiatement, évalue la situation et démarre le processus de réponse aux incidents. 
  • Outils et technologies avancés : accès à des outils, des technologies et des logiciels avancés spécialement conçus pour l’investigation numérique et la réponse aux incidents. Ces outils peuvent faciliter la collecte, l’analyse et la conservation des éléments de preuve, améliorant l’efficacité globale de l’investigation.
  • Conformité et considérations juridiques : respect des exigences et de la conformité liées à la réponse aux incidents et au traitement des preuves numériques. Cela garantit que l’enquête et la collecte de preuves soient conformes aux normes juridiques et réglementaires pertinentes, réduisant ainsi le risque de manipulation des preuves et aidant les organisations à maintenir la conformité avec les réglementations en matière de protection des données et de confidentialité.
  • Des équipes expérimentées : nos équipes ont traité des milliers d’incidents depuis leur création.

N’hésitez pas à nous contacter !