Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégie de sécurité

Se préparer aux cyber-

attaques

www.emea.symantec.com/cyber-resilience

Plus de vigilance, moins de risques.

Brochure :

Mettre en œuvre

la bonne stratégie

de sécurité

Brochure : Mettre en œuvre la bonne stratégie de sécurité

Introduction

Des incidents récents liés à des logiciels

malveillants ont démontré le coût et

les dommages que les cyber-attaques

peuvent engendrer.

On considère que le ver Stuxnet a affecté de manière significative les usines

d’enrichissement nucléaire iraniennes, et il a été largement reconnu comme

la première cyber-arme opérationnelle1. Shamoon a pu compromettre et

neutraliser 30 000 stations de travail chez un producteur de pétrole2. Une

autre attaque ciblée à l'encontre d'une organisation publique a causé 66 millions

de dollars de perte3.

De telles attaques ne réussissent pas toujours, mais lorsque les attaquants

arrivent à s'immiscer dans les systèmes d'une organisation, une réponse prompte

et bien préparée peut rapidement minimiser les dommages et restaurer les

systèmes avant que des préjudices importants ne soient générés.

Pour bien réagir, les entreprises doivent comprendre la progression des attaques,

développer une stratégie de défense, définir les responsabilités et les actions à

mener de chacun, mettre en pratique et ajuster leur plan.


Comprendre les attaques

Une attaque commence par un point d'entrée dans l'organisation. Il peut s'agir

d'un système non sécurisé auquel les pirates peuvent accéder, un ordinateur

vulnérable sur lequel on peut exécuter des logiciels malveillants ou encore

un utilisateur manipulé qui a installé un logiciel malveillant. Ce point d'entrée

peut ensuite être exploité pour déployer des attaques sur tout le réseau,

soit en piratant d'autres systèmes soit en utilisant des logiciels malveillants

pour exploiter des vulnérabilités non corrigées du système et pour s'installer

sur d'autres systèmes.

Une fois qu'un système est touché, les pirates peuvent y installer d'autres

logiciels malveillants ou prendre le contrôle du système et y envoyer des

commandes à exécuter. Les attaquants peuvent chercher à extraire des informations

comme des fichiers confidentiels ou des noms d'utilisateurs et des mots de

passe enregistrés dans le système.

Protection contre les attaques

On peut se protéger contre la plupart des attaques en mettant en œuvre

des pratiques de base pour la sécurité des informations. Le Ministère de la

Défense australien a déterminé que la mise en œuvre de quatre stratégies

de réduction des risques suffisait à éviter 85 % des attaques ciblées4. Le

gouvernement britannique a annoncé que cibler dix domaines clés suffisait

à contrer la plupart des cyber-menaces5.

Une organisation doit s'assurer, au minimum, que le trafic et les systèmes

réseau sont analysés pour déceler la présence de logiciels malveillants et que

les journaux d’activité (logs) du système et du réseau sont conservés pour pouvoir

effectuer une analyse d'investigation si nécessaire. De plus, des sauvegardes

régulières sont indispensables pour pouvoir garantir une restauration des

systèmes endommagés à un état de fonctionnement normal.


Point d’entrée Développement de l'attaque Exfiltration

Attaquant

Utilisateur

Attaquant

Envoi de commandes



Des stratégies de défense pour la sécurité des informations réduisent la

probabilité de succès des attaques. Cependant, derrière chaque cyber-attaque

recensée, on trouve une organisation qui pensait que ses défenses étaient

suffisantes. Des incidents majeurs peuvent toujours se produire et leur

éventualité doit être envisagée, pour pouvoir réduire les interruptions de

service, minimiser les préjudices et limiter le temps nécessaire au retour à

la normale.

Se préparer aux incidents

Les entreprises doivent s'attendre à des attaques sophistiquées à l'encontre

de leurs systèmes et doivent s'y préparer de manière appropriée. En pratique,

ce type d'attaques est rare. Cependant, en se tenant au courant des dernières

attaques et des techniques employées, les entreprises peuvent vérifier que

leurs systèmes sont capables de détecter et de repousser de telles menaces.

Un processus de préparation minutieux garantit une détection rapide en cas

d'attaque. En les analysant en détail, de nombreux incidents détectés se

révèleront être des faux positifs ou mineurs et ne nécessiteront pas de réaction

conséquente. Néanmoins, les organisations doivent s'assurer qu'elles détectent

et enregistrent tous les incidents pour que les attaques qui nécessitent une

réaction soient rapidement identifiées et traitées. Pour cela, il est important

de déterminer les critères d’escalade et la procédure par laquelle un incident

détecté activera un plan d’intervention.

La première étape du plan d'intervention doit être une évaluation de la situation.

Elle doit être suivie d'actions pour éviter le développement de l'attaque

à davantage de systèmes et pour éviter des préjudices supplémentaires.

Les systèmes infectés devront être isolés pour pouvoir contenir l'attaque.

Les systèmes qui ne sont pas encore infectés pourront être désactivés

temporairement pour éviter le développement interne de l'attaque, et l'accès

au réseau pourra être suspendu.

Se préparer aux attaques Mettre en œuvre un plan d'action Affiner le plan d'action

Figure 2 : Phases d'intervention

Préparation Réponse RestaurationDétection Vérification

Temps

Entrée d

e

l’att

aquant

Pirate

détect

é

Systè

mes

sécu

risé

s

Reto

ur au

fonct

ionnem

ent

normal


La phase de récupération consiste à restaurer les systèmes à leur état initial.

L'accès à des sauvegardes récentes des systèmes affectés peut faciliter

grandement ce processus, en supposant qu'elles n'ont pas été touchées par

des logiciels malveillants. On veillera bien à ce que les systèmes soient

restaurés à un état sain.

Chaque incident devra ensuite être analysé pour identifier les procédures

qui ont bien fonctionné et les pratiques existantes à revoir. Ce sera l'occasion

de tirer les enseignements de l'incident et d'améliorer les procédures pour

accroître la sécurité de l'organisation.

Créer une équipe d'intervention

Toutes les entreprises ont besoin d'un plan d'intervention mais également

d'une équipe qui sera chargée de sa mise en œuvre. Un facteur clé de réussite

sera donc le soutien de l'équipe dirigeante. En effet, lorsqu'un incident évolue

rapidement, l'implication des dirigeants qui ont le pouvoir d'autoriser les

mesures à prendre pour contenir et résoudre l'incident peut s'avérer cruciale

pour gagner du temps sur les attaquants.

Les différentes parties prenantes des services susceptibles d'être affectés

par un incident doivent faire partie de l'équipe d'intervention. Cependant,

c'est le personnel technique qui mènera l'équipe. Il mettra en œuvre le plan

et possède les aptitudes à limiter les dommages.

L’équipe d’intervention ne doit pas obligatoirement compter que du personnel

interne à l’entreprise. Il faut également considérer qu’une expertise extérieure

pourra apporter à l’équipe des connaissances spécialisées et une expérience

d’incidents similaires.



Ces actions peuvent avoir un impact sur les utilisateurs et les services de toute

l'entreprise. Elles peuvent notamment avoir un effet sur la manière dont les

utilisateurs, et donc l'équipe d'intervention, communiquent. C'est la raison

pour laquelle il faut penser à la manière selon laquelle la communication

sera assurée et à la manière d'informer les utilisateurs et les dirigeants des

progrès et de la résolution de l'incident.

Une analyse d'investigation devra être mise en œuvre, non seulement pour

identifier la perte ou le vol éventuels de données, mais aussi pour connaître

la méthode de pénétration initiale des attaquants dans les systèmes. Il faudra,

en priorité, résoudre la vulnérabilité qui a été exploitée pour accéder au

système pour éviter que l'attaque ne se reproduise dès sa résolution. La

collecte et la conservation des informations d'investigation peuvent également

faciliter l'identification et la poursuite des personnes responsables de l'attaque.

La composition de l’équipe devra également être revue régulièrement. Une

astreinte pourrait être exigée de la part des membres sur de longues périodes

de temps ; ils devraient donc bénéficier d’une rotation hors de l’équipe

d’intervention pour se reposer. De même, des exercices et des tests pourraient

identifier les compétences supplémentaires qui devraient être ajoutées à l’équipe.

Tester le plan

Les attaques de grande ampleur sont rares. La situation est idéale lorsque

le plan d'intervention et les compétences de l'équipe ne sont jamais mis

à contribution. Cependant, cette situation comporte des risques. Le test

régulier du plan d'intervention révèlera des points faibles et évitera que les

compétences ne se perdent par manque d'entraînement.

Les exercices de test pourront se faire sur le papier. On pourra simuler la réaction

face à une attaque qui évolue et sa résolution, sur une base théorique. On

peut également planifier ce genre de test sous forme d'exercice réel en

impliquant des experts en test de pénétration qui simuleront comment les

attaquants peuvent compromettre les systèmes.

Des exercices réguliers permettent de mettre à l'aise les membres de l'équipe

vis-à-vis de leurs rôles et de leurs responsabilités. Des tests de différents

scénarios d'attaques permettront de vérifier que les procédures sont

suffisamment complètes et flexibles pour pouvoir répondre aux attaques futures.

Les équipes doivent adopter le modèle PDCA (Plan-Do-Check-Act) : planifier,

développer, contrôler, agir.


P

lanifie

r

D

évelo

pp

er

Agir

Contr

ôle

r


Conclusion

Grâce à la compréhention des attaques,

la mise en œuvre des bonnes

procédures et au développement d'une

stratégie claire d'intervention, les

entreprises peuvent lutter contre les

menaces futures et se remettre plus

rapidement des incidents.

Références

1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier”, Symantec

Security Response Whitepaper, February 2007 S. Davies, “Out of Control”,

Engineering & Technology v.6 (6) p.60-62, July 2011

2 D. Walker “Saudi Oil Company Back Online After Cyber Sabotage Attempt”,

SC Magazine, 27 Aug 2012

3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million”, The Washington

Post, 26 Jul 2011

4 “Top Four Mitigation Strategies to Protect Your ICT System”, Australian

Government Department of Defence Intelligence and Security, p. 1,

September 2011

5 “Executive Companion: 10 Steps to Cyber Security”, Dept. for Business

Innovation & Skills, Centre for the Protection of National Infrastructure,

Office of Cyber Security & Information Assurance, p. 1, September 2012



Planifier Etablir les objectifs, les politiques et les procédures pour

répondre aux besoins de l'entreprise.

Développer Mettre en œuvre ces politiques et ces procédures.

Contrôler Vérifier si elles sont efficaces en pratique pour répondre aux

objectifs.

Agir Prendre des mesures pour modifier les plans selon

l'expérience acquise pour affiner et améliorer.


En savoir plus

“Computer Security Incident Handling Guide. Recommendations of

the National Institute of Standards and Technology”, NIST SP 800-61 rev. 2.

“Guide to Malware Incident Prevention and Handling. Recommendations of

the National Institute of Standards and Technology”, NIST SP 800-83.

BS ISO/IEC 27002:2005 Technologies de l'information – Techniques de sécurité

Code de bonne pratique pour le management de la sécurité de l'information.

BS ISO/IEC 27035:2011 Technologies de l'information – Techniques de sécurité

– Gestion des incidents de sécurité de l’information

PD ISO/IEC 18044:2004 Technologies de l'information – Techniques de sécurité

– Gestion des incidents de sécurité de l’informationBS ISO/IEC 27031:2011

Technologies de l'information – Techniques de sécurité

– Lignes directrices pour la préparation des technologies de la

communication et de l’information pour la continuité d’activité

“Best Practices for Troubleshooting Viruses on a Network”,

Base de connaissances Symantec

B. Nahorney & E. Maengkom, “Containing an Outbreak.

How to clean your network after an incident.”, Livre blanc Symantec Security

Response.

Symantec Security Response, “Bonnes pratiques en matière de sécurité”

Formation Symantec, “Security Awareness Program”

Brochure: Symantec Managed Security Services, “Symantec Security Monitoring

Services : Gestion, surveillance et analyse du journal de sécurité par des experts

certifiés”

Brochure: Symantec Managed Security Services, “Symantec Security

Monitoring Services : Optimiser la protection et la sécurité de l'entreprise

tout en gardant le contrôle "

Symantec FranceTour Egée

17, avenue de l’Arche

92671 Courbevoie CedexTél. :

01 41 38 57 00

Symantec est un leader mondial de solutions

de gestion de la sécurité, du stockage et des

systèmes, permettant aux clients de sécuriser

et de gérer leurs informations et leurs identités.

Copyright © 2013 Symantec Corporation.

Tous droits réservés. Symantec, le logo

Symantec et le logo en forme de coche sont

des marques commerciales ou des marques

déposées de Symantec Corporation ou de

ses filiales aux Etats-Unis et dans d'autres

pays. Les autres noms peuvent être des

marques commerciales de leurs détenteurs

respectifs. 12/12 Pour consulter ces documents et d'autres ressources supplémentaires,

visitez le site http://www.symantec.com/fr/fr/security_response/



Software

Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégie de sécurité