La gestion des cyber-attaques au sein d’une grande entreprise, quels en sont les défis?

Face à l’augmentation constante des risques liés aux cyber-attaques, les entreprises doivent faire de la cyber-sécurité une priorité. De nos jours, la question n’est pas de savoir “si” une entreprise va subir une cyber-attaque, mais “quand” elle en sera la victime. Par conséquent, les organisations doivent implémenter des mesures permettant la prévention ainsi que la gestion des cyber-incidents. Cet article aborde les défis de la gestion d’incidents informatiques au sein des grandes entreprises.

Nous vivons actuellement dans une ère numérique où l’intégralité des actifs et des ressources des entreprises est connectée et accessible indépendamment de la localisation géographique. Les avantages de cette hyper-connectivité sont importants. Cependant, il en découle un inconvénient majeur. Ces informations et systèmes connectés à Internet peuvent être facilement accessibles et endommagés par tout tiers mal intentionné. Par conséquent, diminuer les risques générés par les attaques informatiques est devenu un enjeu incontournable pour toute entreprise.

Les cyber-attaques sont en constante augmentation. De plus, leur complexité et leur sophistication évoluent rapidement. Les organisations doivent assimiler que les cyber-attaques ne sont plus seulement un problème technologique mais une menace quotidienne susceptible d’affecter directement leur core business. En fonction du type d’attaques informatiques et de la motivation des auteurs, l’impact subi varie, mais peut avoir des conséquences dramatiques. Les cyber-attaques peuvent porter atteinte à la réputation, impliquer des pertes financières parfois importantes et des poursuites judiciaires, ou encore détruire des infrastructures informatiques, voire interrompre de manière complète les activités de l’entreprise. Par conséquent, les entreprises doivent impérativement mettre en place des mesures stratégiques, opérationnelles et techniques afin de protéger la confidentialité, l’intégrité et la disponibilité (Confidentiality, Integrity, Availability) de leurs systèmes d’informations et, ainsi, limiter les risques.

Particulièrement depuis l’émergence des cyber-attaques sophistiquées et persistantes, mieux connues sous l’acronyme APT (Advanced Persistence Threat), il est impossible de prévenir l’intégralité des cyber-attaques. Cependant, avec un inventaire des actifs à jour, l’identification des informations sensibles et une gestion des risques adaptée aux cyber-menaces actuelles, des mesures de sécurité appropriées peuvent être adoptées permettant d’empêcher la majorité des cyber-attaques. Étant donné qu’un risque résiduel persiste, il est indispensable d’élaborer un plan de gestion d’incidents informatiques afin de répondre au mieux aux cyber-attaques ayant déjoué les systèmes de prévention. La combinaison de mesures préventives et réactives permet aux organisations de réduire le nombre d’attaques et, en cas d’incident, de diminuer le temps de restauration, les coûts et les préjudices.

Le cycle des gestions d’incidents informatiques est composé de sept phases : Préparation, Détection, Identification, Isolement, Éradication, Restauration et Activités Post-Incident. Il est important de différencier la phase de Détection et d’Identification. La première étape consiste à découvrir la présence d’une cyber-attaque, alors que la deuxième est composée de l’ensemble des investigations et analyses forensiques permettant de déterminer le type d’attaque et son étendue, d’identifier l’ensemble des systèmes et comptes infectés, ainsi que de préparer un plan d’action pour répondre activement à la cyber-attaque (Isolation, Éradication et Restauration).

Il existe d’innombrables défis technologiques dans le processus de gestion des cyber-attaques. Cependant, la Détection reste un des défis les plus importants, car il est impossible de répondre à une cyber-attaques si elle n’est pas détectée dans un premier temps. Il est donc crucial d’augmenter les capacités de dépistage et de réduire le délai de détection. Pour ce faire, le renseignement sur les cyber-menaces (Cyber Threat Intelligence), des méthodes de déception, ainsi que des recherches proactives d’intrusions peuvent être implémentés (Threat Hunting).

Les standards de gestion d’incidents (NIST 800-6 et ISO/IEC 27035) recommandent d’isoler les systèmes infectés directement après leur détection. Cependant, dans le contexte d’une APT, il doit être supposé que de nombreux systèmes informatiques ont été compromis à l’aide de méthodes d’infection différentes. Ainsi, un confinement trop précoce sans analyse concrète de la cyber-intrusion n’aura pour conséquence que d’informer le cyber-criminel que sa cyber-attaque, ou une partie de cette dernière, a été découverte, alors même que celui-ci contrôle encore des ordinateurs dans le réseau du tiers attaqué. Le cyber-attaquant pourra donc réagir et prendre des contre-mesures telles qu’installer de nouveaux logiciels malveillants, détruire les traces numériques liées à son attaque (méthodes anti-forensiques) ou encore endommager l’environnement. Par conséquent, il faut impérativement identifier intégralement la cyber-menace avant d’isoler les systèmes infectés et d’éradiquer la menace.

En plus des nombreux défis technologiques, la gestion d’incidents informatiques est rendue plus difficile du fait de la structure, de la taille et de la complexité des grandes organisations. Les quatre points développés ci-dessous sont des facteurs qui complexifient la gestion des cyber-attaques au sein des grandes entreprises. Cependant, s’ils sont pris en considération, le processus de gestion des attaques informatiques peut être considérablement amélioré.

Un manque de stratégie sécuritaire

La cyber-sécurité n’est plus seulement un problème technologique, c’est aussi un problème pour l’ensemble des activités de l’entreprise. Par conséquent, le top management doit être conscient de ce risque et être impliqué dans la stratégie sécuritaire. A cause de la dimension des grandes entreprises, il est difficile, voire impossible, d’intégrer et d’aligner les mesures de cyber-sécurité avec la stratégie de l’entreprise sans l’appui de la direction.

Une adaptation rapide et continue

Les cyber-criminels évoluent constamment et rapidement. De plus, ils améliorent quotidiennement les méthodes utilisées. Par conséquent, la cyber-sécurité devrait être en constante évolution pour évoluer au moins aussi rapidement que les cyber-menaces. Si la dynamique de l’entreprise et la gestion des risques ne sont pas en permanence actualisées, les organisations vont se faire « distancer » par les cyber-criminels dans la course à la cyber-sécurité. Au sein des grandes organisations, les changements et les évolutions technologiques sont lents, notamment à cause des nombreuses procédures, de la ségrégation des équipes et du nombre d’employé-e-s impliqué-e-s dans la gestion de la sécurité.

Pour permettre une évolution rapide de la sécurité informatique, le développement de la culture sécuritaire précitée et une collaboration efficace entre toutes les parties impliquées sont indispensables.

Le manque de communication et de collaboration

Etant donné la complexité des structures organisationnelles où la cyber-sécurité est gérée par des centaines d’employé-e-s, répartie-e-s en des dizaines d’équipes, des silos sont créés, endiguant la coopération et la communication inter-équipe.

De plus, aucun groupe, y compris l’équipe de gestion d’incidents informatiques (Cyber Security Incident Response Team) ne dispose de l’intégralité des droits d’accès. Donc, aucun incident ne peut être entièrement géré par une seule et unique équipe. Cette ségrégation des droits d’accès présente des avantages comme, par exemple, éviter les problèmes liés à la concentration des pouvoirs. Simultanément, elle ralentit considérablement le délai de réaction aux incidents du fait que la gestion d’une cyber-attaque nécessite le soutien de plusieurs équipes.

Par conséquent, les responsabilités des équipes doivent être clairement déterminées, des canaux de comminations doivent être établis afin de permettre une meilleure collaboration entre les équipes et, par conséquent, d’améliorer le délai de détection, ainsi que les processus d’investigations et de réponse aux cyber-attaques. Ces mesures permettront de pallier les difficultés résultant de la complexité des structures organisationnelles.

Un manque de visibilité

L’inventaire des actifs (p.ex. information, systèmes, comptes d’utilisateurs, etc.), ainsi que la classification de ces derniers en fonction de leur sensibilité sont cruciaux dans la mise en œuvre de mesures de protection et de surveillance efficaces et adaptées.

Cette phase, souvent négligée, crée un manque de visibilité et de transparence en lien avec les étapes de Détection et d’Identification, car il n’est pas possible d’assurer la sécurité ou de détecter une cyber-attaque sur un système inconnu. Par conséquent, il est indispensable de disposer d’un inventaire des actifs à jour.

Les cyber-criminels exploitent des technologies et des méthodes de plus en plus sophistiquées et difficiles à contrer. Aucune organisation ne peut prévenir ou empêcher toutes les cyber-attaques. Cependant, elle peut anticiper les risques en prévoyant des procédures stratégiques, opérationnelles et techniques afin de réduire la probabilité de succès des cyber-attaques et les impacts liés à ces dernières. Il est indispensable de rappeler que les moyens des cyber-criminels sont en progression constante. Par conséquent, les procédures proactives et réactives implémentées doivent elles, aussi, continuellement évoluer.


Références

  1. Brewer, R., 2014. Advanced persistent threats: minimising the damage. Network Security 2014, 5-9.
  2. Brown, R., Roberts, S.J., 2017. Intelligence-Driven Incident Response. O’Reilly
  3. Cichonski (NIST), A.P., Millar (DHS), A.T., Grance (NIST), A.T., (Cybersecurity), A.K.S. (Scarfone), 2008. SP 800-61 Rev. 2, Computer Security Incident Handling Guide
  4. Ghernaouti-Helie, S., 2013. Cyber Power: Crime, Conflict and Security in Cyberspace, 1 edition. ed. EPFL Press, Lausanne.
    ENISA, 2017. ENISA Threat Landscape Report 2017 — ENISA
  5. Hirsch S., 2018, The value of digital traces in the cyberattack response process and cyberthreat intelligence, University of Lausanne
  6. Hendrick J., 2019 , Security Visibility in the Enterprise, SANS Institute Information Security Reading Room
  7. KrzysztofC et al. , 2018, Cybersecurity: trends, issues, and challenges, EURASIP Journal on Information Security

 

AUTOR/AUTORIN: Sylvain Hirsch

Sylvain Hirsch arbeitet im Cyber Security Incident Response Team (CSIRT) von Credit Suisse. Er schloss 2018 das interdisziplinäre Masterstudium "Digital Investigation and Identification" an der Berner Fachhochschule TI, der EPF Lausanne sowie an den Universitäten von Lausanne und Neuenburg ab.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.