La cyberrésilience à l'épreuve des attaques modernes

La montée des cyberattaques sophistiquées pousse les entreprises à repenser leur sécurité. Une cyberrésilience robuste, incluant clean rooms et plans de récupération est désormais cruciale.

Le paysage des cybermenaces s’est considérablement complexifié ces dernières années. Les entreprises ne sont plus uniquement confrontées à de simples fuites de données, mais à des attaques sophistiquées, conçues pour paralyser leurs opérations. Avec l’avènement de l’Intelligence Artificielle, ces attaques d’ingénierie sociale sont désormais presque impossibles à détecter, et les tactiques constamment améliorées.

Principales menaces, les ransomwares et wipers sont aujourd’hui déployés via des plateformes « as-a-service », les rendant accessibles même aux cybercriminels les moins expérimentés. Leur recrudescence et leur efficacité constituent dès lors un risque critique pour la continuité d’activité puisqu’ils peuvent entraîner la suppression de toutes les données et systèmes d’une entreprise. La société d’analyse de crypto-monnaies Chainanalysis indique ainsi que près d’1,3 milliard de dollars ont été dépensés dans le paiement de cyber rançons au cours des deux dernières années, par des entreprises qui tentent désespérément de récupérer leurs données.

Face à cette nouvelle réalité, les stratégies traditionnelles de cybersécurité, axées sur la prévention, s’avèrent insuffisantes. Les entreprises doivent impérativement développer une cyberrésilience robuste, capable de garantir une reprise rapide et efficace en cas d’attaque réussie.

Le nouveau défi pour les stratégies de récupération traditionnelles

L’enjeu principal réside dans la capacité à réagir efficacement dès l’instant où l’attaque survient : à savoir « l’heure zéro ». La plupart des plans de crise et de reprise d’activité classiques sont basés sur la restauration des données à partir de la dernière sauvegarde. Néanmoins, ils sont souvent inopérables face aux ransomwares et wipers, capables de couper le fonctionnement de toute une entreprise, dont ses systèmes de communication, de contrôle d’accès et de sauvegarde.

Pire encore, les attaquants peuvent parfois s’immiscer dans les systèmes pendant des semaines, voire des mois et donc potentiellement corrompre les sauvegardes elles-mêmes. Ce qui aurait pour risque de réintroduire la menace au sein de l’entreprise, au moment de la restauration.

De fait, la restauration des systèmes ne peut débuter avant une analyse approfondie de l’incident par les équipes de sécurité. Identifier les vulnérabilités exploitées, les mécanismes de persistance mis en place et les potentiels emails de phishing en attente, nécessite des outils et des informations souvent inaccessibles en cas de chiffrement ou de suppression massive des données.

Les RSSI doivent donc dans un premier temps, travailler au plus près du DSI pour reconstruire ces outils essentiels, à partir des sauvegardes existantes. Ce n’est qu’alors, qu’ils peuvent répondre à l’attaque. Une étape essentielle, encore trop peu considérée par les entreprises, alors qu’elles dépendent de la disponibilité de ces informations au moment d’une attaque, qui devrait être le point de départ de leurs plans de réponse.

Un environnement sécurisé pour une riposte efficace

La mise en place d’une clean room s’avère alors essentielle. Cet environnement isolé et sécurisé, contient les outils et données critiques ainsi que les services de base de communication et collaboration pour permettre aux équipes d’investiguer pour comprendre l’origine de l’attaque, la contenir puis de lancer la restauration des systèmes sans risquer de propager l’infection.

Elles peuvent travailler au sein d’une salle dite de transit, un environnement associé également isolé, dans laquelle elles entreprennent les actions correctives nécessaires. Les systèmes ne sont remis en production qu’une fois le risque éliminé, les vulnérabilités corrigées, les systèmes renforcés et les fonctionnalités testées.

La mise en place d’une stratégie de cyberrésilience efficace requiert une approche globale. Au-delà des clean rooms, il est crucial d’investir dans des solutions de sauvegarde et de récupération robustes, de former les équipes aux meilleures pratiques de sécurité et de tester régulièrement les plans de continuité d’activité. Dans le cas contraire, les entreprises s’exposent à des conséquences potentiellement dévastatrices : pertes financières, interruption d’activité et atteinte à la réputation. Par ailleurs, elles continueront de payer des rançons, ce qui participe à la pérennité du modèle économique des cybercriminels.

Si la plupart des entreprises ont massivement investi dans la cybersécurité ces dernières années, puisque l’on compte jusqu’à 130 outils différents au sein d’une même entreprise, ces derniers ne sont pas encore suffisamment intégrés et opérationnalisés. Face à des attaques devenues inévitables, une stratégie de cyberrésilience efficace peut donc être un véritable rempart. D’autant que les exigences en matière de cyberrésilience font partie des récentes législations actées au sein de l’Union Européenne, à savoir le cadre NIS2 et la loi européenne sur la résilience opérationnelle numérique (DORA).