Upload
symantec
View
314
Download
0
Embed Size (px)
Citation preview
Se préparer aux cyber-
attaques
www.emea.symantec.com/cyber-resilience
Plus de vigilance, moins de risques.
Brochure :
Mettre en œuvre
la bonne stratégie
de sécurité
Brochure : Mettre en œuvre la bonne stratégie de sécurité
Introduction
Des incidents récents liés à des logiciels
malveillants ont démontré le coût et
les dommages que les cyber-attaques
peuvent engendrer.
On considère que le ver Stuxnet a affecté de manière significative les usines
d’enrichissement nucléaire iraniennes, et il a été largement reconnu comme
la première cyber-arme opérationnelle1. Shamoon a pu compromettre et
neutraliser 30 000 stations de travail chez un producteur de pétrole2. Une
autre attaque ciblée à l'encontre d'une organisation publique a causé 66 millions
de dollars de perte3.
De telles attaques ne réussissent pas toujours, mais lorsque les attaquants
arrivent à s'immiscer dans les systèmes d'une organisation, une réponse prompte
et bien préparée peut rapidement minimiser les dommages et restaurer les
systèmes avant que des préjudices importants ne soient générés.
Pour bien réagir, les entreprises doivent comprendre la progression des attaques,
développer une stratégie de défense, définir les responsabilités et les actions à
mener de chacun, mettre en pratique et ajuster leur plan.
www.emea.symantec.com/cyber-resilience
Comprendre les attaques
Une attaque commence par un point d'entrée dans l'organisation. Il peut s'agir
d'un système non sécurisé auquel les pirates peuvent accéder, un ordinateur
vulnérable sur lequel on peut exécuter des logiciels malveillants ou encore
un utilisateur manipulé qui a installé un logiciel malveillant. Ce point d'entrée
peut ensuite être exploité pour déployer des attaques sur tout le réseau,
soit en piratant d'autres systèmes soit en utilisant des logiciels malveillants
pour exploiter des vulnérabilités non corrigées du système et pour s'installer
sur d'autres systèmes.
Une fois qu'un système est touché, les pirates peuvent y installer d'autres
logiciels malveillants ou prendre le contrôle du système et y envoyer des
commandes à exécuter. Les attaquants peuvent chercher à extraire des informations
comme des fichiers confidentiels ou des noms d'utilisateurs et des mots de
passe enregistrés dans le système.
Protection contre les attaques
On peut se protéger contre la plupart des attaques en mettant en œuvre
des pratiques de base pour la sécurité des informations. Le Ministère de la
Défense australien a déterminé que la mise en œuvre de quatre stratégies
de réduction des risques suffisait à éviter 85 % des attaques ciblées4. Le
gouvernement britannique a annoncé que cibler dix domaines clés suffisait
à contrer la plupart des cyber-menaces5.
Une organisation doit s'assurer, au minimum, que le trafic et les systèmes
réseau sont analysés pour déceler la présence de logiciels malveillants et que
les journaux d’activité (logs) du système et du réseau sont conservés pour pouvoir
effectuer une analyse d'investigation si nécessaire. De plus, des sauvegardes
régulières sont indispensables pour pouvoir garantir une restauration des
systèmes endommagés à un état de fonctionnement normal.
Brochure : Mettre en œuvre la bonne stratégie de sécurité
Point d’entrée Développement de l'attaque Exfiltration
Attaquant
Utilisateur
Attaquant
Envoi de commandes
www.emea.symantec.com/cyber-resilience
Brochure : Mettre en œuvre la bonne stratégie de sécurité
Des stratégies de défense pour la sécurité des informations réduisent la
probabilité de succès des attaques. Cependant, derrière chaque cyber-attaque
recensée, on trouve une organisation qui pensait que ses défenses étaient
suffisantes. Des incidents majeurs peuvent toujours se produire et leur
éventualité doit être envisagée, pour pouvoir réduire les interruptions de
service, minimiser les préjudices et limiter le temps nécessaire au retour à
la normale.
Se préparer aux incidents
Les entreprises doivent s'attendre à des attaques sophistiquées à l'encontre
de leurs systèmes et doivent s'y préparer de manière appropriée. En pratique,
ce type d'attaques est rare. Cependant, en se tenant au courant des dernières
attaques et des techniques employées, les entreprises peuvent vérifier que
leurs systèmes sont capables de détecter et de repousser de telles menaces.
Un processus de préparation minutieux garantit une détection rapide en cas
d'attaque. En les analysant en détail, de nombreux incidents détectés se
révèleront être des faux positifs ou mineurs et ne nécessiteront pas de réaction
conséquente. Néanmoins, les organisations doivent s'assurer qu'elles détectent
et enregistrent tous les incidents pour que les attaques qui nécessitent une
réaction soient rapidement identifiées et traitées. Pour cela, il est important
de déterminer les critères d’escalade et la procédure par laquelle un incident
détecté activera un plan d’intervention.
La première étape du plan d'intervention doit être une évaluation de la situation.
Elle doit être suivie d'actions pour éviter le développement de l'attaque
à davantage de systèmes et pour éviter des préjudices supplémentaires.
Les systèmes infectés devront être isolés pour pouvoir contenir l'attaque.
Les systèmes qui ne sont pas encore infectés pourront être désactivés
temporairement pour éviter le développement interne de l'attaque, et l'accès
au réseau pourra être suspendu.
Se préparer aux attaques Mettre en œuvre un plan d'action Affiner le plan d'action
Figure 2 : Phases d'intervention
Préparation Réponse RestaurationDétection Vérification
Temps
Entrée d
e
l’att
aquant
Pirate
détect
é
Systè
mes
sécu
risé
s
Reto
ur au
fonct
ionnem
ent
normal
www.emea.symantec.com/cyber-resilience
La phase de récupération consiste à restaurer les systèmes à leur état initial.
L'accès à des sauvegardes récentes des systèmes affectés peut faciliter
grandement ce processus, en supposant qu'elles n'ont pas été touchées par
des logiciels malveillants. On veillera bien à ce que les systèmes soient
restaurés à un état sain.
Chaque incident devra ensuite être analysé pour identifier les procédures
qui ont bien fonctionné et les pratiques existantes à revoir. Ce sera l'occasion
de tirer les enseignements de l'incident et d'améliorer les procédures pour
accroître la sécurité de l'organisation.
Créer une équipe d'intervention
Toutes les entreprises ont besoin d'un plan d'intervention mais également
d'une équipe qui sera chargée de sa mise en œuvre. Un facteur clé de réussite
sera donc le soutien de l'équipe dirigeante. En effet, lorsqu'un incident évolue
rapidement, l'implication des dirigeants qui ont le pouvoir d'autoriser les
mesures à prendre pour contenir et résoudre l'incident peut s'avérer cruciale
pour gagner du temps sur les attaquants.
Les différentes parties prenantes des services susceptibles d'être affectés
par un incident doivent faire partie de l'équipe d'intervention. Cependant,
c'est le personnel technique qui mènera l'équipe. Il mettra en œuvre le plan
et possède les aptitudes à limiter les dommages.
L’équipe d’intervention ne doit pas obligatoirement compter que du personnel
interne à l’entreprise. Il faut également considérer qu’une expertise extérieure
pourra apporter à l’équipe des connaissances spécialisées et une expérience
d’incidents similaires.
Brochure : Mettre en œuvre la bonne stratégie de sécurité
www.emea.symantec.com/cyber-resilience
Ces actions peuvent avoir un impact sur les utilisateurs et les services de toute
l'entreprise. Elles peuvent notamment avoir un effet sur la manière dont les
utilisateurs, et donc l'équipe d'intervention, communiquent. C'est la raison
pour laquelle il faut penser à la manière selon laquelle la communication
sera assurée et à la manière d'informer les utilisateurs et les dirigeants des
progrès et de la résolution de l'incident.
Une analyse d'investigation devra être mise en œuvre, non seulement pour
identifier la perte ou le vol éventuels de données, mais aussi pour connaître
la méthode de pénétration initiale des attaquants dans les systèmes. Il faudra,
en priorité, résoudre la vulnérabilité qui a été exploitée pour accéder au
système pour éviter que l'attaque ne se reproduise dès sa résolution. La
collecte et la conservation des informations d'investigation peuvent également
faciliter l'identification et la poursuite des personnes responsables de l'attaque.
La composition de l’équipe devra également être revue régulièrement. Une
astreinte pourrait être exigée de la part des membres sur de longues périodes
de temps ; ils devraient donc bénéficier d’une rotation hors de l’équipe
d’intervention pour se reposer. De même, des exercices et des tests pourraient
identifier les compétences supplémentaires qui devraient être ajoutées à l’équipe.
Tester le plan
Les attaques de grande ampleur sont rares. La situation est idéale lorsque
le plan d'intervention et les compétences de l'équipe ne sont jamais mis
à contribution. Cependant, cette situation comporte des risques. Le test
régulier du plan d'intervention révèlera des points faibles et évitera que les
compétences ne se perdent par manque d'entraînement.
Les exercices de test pourront se faire sur le papier. On pourra simuler la réaction
face à une attaque qui évolue et sa résolution, sur une base théorique. On
peut également planifier ce genre de test sous forme d'exercice réel en
impliquant des experts en test de pénétration qui simuleront comment les
attaquants peuvent compromettre les systèmes.
Des exercices réguliers permettent de mettre à l'aise les membres de l'équipe
vis-à-vis de leurs rôles et de leurs responsabilités. Des tests de différents
scénarios d'attaques permettront de vérifier que les procédures sont
suffisamment complètes et flexibles pour pouvoir répondre aux attaques futures.
Les équipes doivent adopter le modèle PDCA (Plan-Do-Check-Act) : planifier,
développer, contrôler, agir.
Brochure : Mettre en œuvre la bonne stratégie de sécurité
P
lanifie
r
D
évelo
pp
er
Agir
Contr
ôle
r
www.emea.symantec.com/cyber-resilience
Conclusion
Grâce à la compréhention des attaques,
la mise en œuvre des bonnes
procédures et au développement d'une
stratégie claire d'intervention, les
entreprises peuvent lutter contre les
menaces futures et se remettre plus
rapidement des incidents.
Références
1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier”, Symantec
Security Response Whitepaper, February 2007 S. Davies, “Out of Control”,
Engineering & Technology v.6 (6) p.60-62, July 2011
2 D. Walker “Saudi Oil Company Back Online After Cyber Sabotage Attempt”,
SC Magazine, 27 Aug 2012
3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million”, The Washington
Post, 26 Jul 2011
4 “Top Four Mitigation Strategies to Protect Your ICT System”, Australian
Government Department of Defence Intelligence and Security, p. 1,
September 2011
5 “Executive Companion: 10 Steps to Cyber Security”, Dept. for Business
Innovation & Skills, Centre for the Protection of National Infrastructure,
Office of Cyber Security & Information Assurance, p. 1, September 2012
Brochure : Mettre en œuvre la bonne stratégie de sécurité
www.emea.symantec.com/cyber-resilience
Planifier Etablir les objectifs, les politiques et les procédures pour
répondre aux besoins de l'entreprise.
Développer Mettre en œuvre ces politiques et ces procédures.
Contrôler Vérifier si elles sont efficaces en pratique pour répondre aux
objectifs.
Agir Prendre des mesures pour modifier les plans selon
l'expérience acquise pour affiner et améliorer.
Plus de vigilance, moins de risques.
En savoir plus
“Computer Security Incident Handling Guide. Recommendations of
the National Institute of Standards and Technology”, NIST SP 800-61 rev. 2.
“Guide to Malware Incident Prevention and Handling. Recommendations of
the National Institute of Standards and Technology”, NIST SP 800-83.
BS ISO/IEC 27002:2005 Technologies de l'information – Techniques de sécurité
Code de bonne pratique pour le management de la sécurité de l'information.
BS ISO/IEC 27035:2011 Technologies de l'information – Techniques de sécurité
– Gestion des incidents de sécurité de l’information
PD ISO/IEC 18044:2004 Technologies de l'information – Techniques de sécurité
– Gestion des incidents de sécurité de l’informationBS ISO/IEC 27031:2011
Technologies de l'information – Techniques de sécurité
– Lignes directrices pour la préparation des technologies de la
communication et de l’information pour la continuité d’activité
“Best Practices for Troubleshooting Viruses on a Network”,
Base de connaissances Symantec
B. Nahorney & E. Maengkom, “Containing an Outbreak.
How to clean your network after an incident.”, Livre blanc Symantec Security
Response.
Symantec Security Response, “Bonnes pratiques en matière de sécurité”
Formation Symantec, “Security Awareness Program”
Brochure: Symantec Managed Security Services, “Symantec Security Monitoring
Services : Gestion, surveillance et analyse du journal de sécurité par des experts
certifiés”
Brochure: Symantec Managed Security Services, “Symantec Security
Monitoring Services : Optimiser la protection et la sécurité de l'entreprise
tout en gardant le contrôle "
Symantec FranceTour Egée
17, avenue de l’Arche
92671 Courbevoie CedexTél. :
01 41 38 57 00
Symantec est un leader mondial de solutions
de gestion de la sécurité, du stockage et des
systèmes, permettant aux clients de sécuriser
et de gérer leurs informations et leurs identités.
Copyright © 2013 Symantec Corporation.
Tous droits réservés. Symantec, le logo
Symantec et le logo en forme de coche sont
des marques commerciales ou des marques
déposées de Symantec Corporation ou de
ses filiales aux Etats-Unis et dans d'autres
pays. Les autres noms peuvent être des
marques commerciales de leurs détenteurs
respectifs. 12/12 Pour consulter ces documents et d'autres ressources supplémentaires,
visitez le site http://www.symantec.com/fr/fr/security_response/
www.emea.symantec.com/cyber-resilience
Plus de vigilance, moins de risques.