Pour assurer la résilience, la coopération est essentielle
Pour faire face aux ransomwares et renforcer la résilience des systèmes, les équipes de sécurité et d'opérations informatiques doivent travailler plus étroitement et, surtout, mieux ensemble.
Les cyberattaques destructrices telles que les ransomwares et les attaques par effacement imposent un changement de culture au sein des organisations. Le DSI, le RSSI et leurs équipes respectives poursuivent leurs propres objectifs, parfois contradictoires, et conservent leurs propres cultures et méthodes. Une collaboration est donc nécessaire entre ces décideurs au risque sinon de voir l’impact des pannes s’allonger dans le temps, rendant ainsi l’organisation vulnérable aux attaques. Mais comment fonctionne cette coopération pour que l'entreprise soit en mesure de répondre à une attaque tout en maintenant ses opérations, alors même que l'attaque est toujours en cours ?
Par le passé, les RSSI devaient principalement faire face à des incidents de type « vol de données », qui ne s’apparente pas vraiment à du vol au sens traditionnel du terme, mais plutôt de la divulgation non autorisée d'une copie des données, car l'organisation disposait toujours des données d'origine pour la poursuite de ses activités. Si une organisation subit une cyberattaque destructrice qui a un impact sur les opérations, le RSSI sera effectivement considéré comme mis en échec dans sa mission principale de protection contre une cyberattaque, mais la responsabilité de maintenir la disponibilité des données a été largement déportée vers les responsables opérations ou infrastructures, en charge de la continuité des activités et de la reprise après sinistre.
Pour ce qui est de la monétisation des données volées, les bénéfices rapides et importants des attaques de ransomware ont boosté la motivation des attaquants, et la surface d’attaque des organisations modernes est si grande, que les organisations doivent accepter le fait qu'il est impossible de prévenir, voire de détecter, 100 % des cyberattaques. Il est gênant pour le RSSI de se présenter devant le conseil d'administration et d'admettre que, malgré tous les investissements financiers réalisés pour améliorer la sécurité, l’entreprise reste susceptible d'être victime de ce genre d’attaque dans le futur, et que cette attaque aura un impact sur la capacité de l’entreprise à fournir produits et services
Cependant, l'ajout d'un nouveau contrôle préventif ou d’une nouvelle capacité de détection à la pile d'outils existante augmente les coûts, crée plus de frictions avec les utilisateurs, réduit encore l'agilité de l'organisation et alimente la fatigue liée aux alertes, alors même qu’il ne fait bouger que de manière infime l'aiguille en matière de risque résiduel. La sécurité est devenue fortement dépendante des contrôles aux niveau des terminaux. Or ces contrôles sont, au mieux, sur les équipements-mêmes dont la fiabilité est remise en cause, et sont par conséquent soumiss au risque d’une multitude de techniques d'évasion. Au pire, les équipements deviennent des îlots isolés une fois que l'organisation passe à l'étape « confinement » du processus de réponse aux incidents.
Instaurer une culture d'ouverture
Le problème ne peut pas être résolu au sein de l'équipe de sécurité ou de l'équipe informatique travaillant chacune de manière isolée. Une attaque par ransomware a un impact sur la mission principale d'une organisation et la résolution du problème implique généralement la récupération ou la reconstruction de l'infrastructure et des données.
Pour répondre à un tel événement, le DSI doit être en mesure d’apporter des réponses aux questions sur la hiérarchisation des systèmes, les interdépendances et les options qui s'offrent à lui pour la reconstruction et la récupération des systèmes et des données. Le RSSI doit avoir enquêté sur l'incident pour comprendre la chronologie de l'incident, y compris la méthode utilisée pour s’introduire dans le système. Quelles vulnérabilités ont été exploitées ? Quels comptes malveillants ou fournisseurs d'authentification ont été ajoutés ? Quels mécanismes de persistance subsistent sur les systèmes ? Y a-t-il d'autres artefacts laissés sur les systèmes qui pourraient causer d'autres problèmes ? Quelles sont les obligations de l'organisation en matière de notification aux régulateurs et aux personnes concernées ? Les informations recueillies par l'équipe du RSSI sur l'incident déterminent les mesures d'atténuation des menaces que les opérations informatiques doivent prendre avant que les systèmes ne soient remis en production pour éviter une réinfection ou une nouvelle attaque.
Une fois qu'ils sont suffisamment confiants dans la capacité établie, le RSSI et le DSI doivent avoir une conversation responsable et honnête avec le conseil d'administration. La récupération après une cyberattaque destructrice diffère d’un scénario traditionnel de continuité d'activité et de reprise après sinistre où il n'y a qu'une poignée de causes profondes et où l'objectif de temps de récupération réalisable est purement un facteur de vitesse du disque, de largeur de bande passante et d'efficacité de la solution de protection des données.
Face à la multiplication des cyberattaques, le rôle du RSSI, désormais omniprésent au sein des entreprises du Fortune 500, a pris une importance cruciale, dépassant la simple sécurité pour englober la continuité de l'activité. Pour garantir la résilience organisationnelle, les RSSI doivent collaborer étroitement avec les DSI et les équipes d'infrastructure, en s'appuyant sur l'expérience de ces dernières en matière de reprise après sinistre et de continuité des opérations face aux menaces physiques. Cette synergie offre une compréhension approfondie des interdépendances entre les services et l'infrastructure, essentielle pour atténuer l'impact potentiel des ransomwares et autres cybermenaces. La collaboration étroite et le décloisonnement des équipes sont donc primordiaux pour assurer une défense et une résilience organisationnelles optimales.
Pour une gestion efficace des crises de sécurité, les RSSI et les DSI doivent établir de manière proactive des environnements isolés de type « salle blanche » (clean room) et de « zone de transit » préconfigurés avec des outils de sécurité, une infrastructure de communication et des capacités de collaboration. En cas d'incident, l'équipe des opérations de sécurité utilise la salle blanche pour enquêter sur les menaces, établir une chronologie des incidents et formuler des plans d'assainissement tout en maintenant l'isolement du réseau et de l'hôte pour contenir la propagation. Simultanément, l'équipe des opérations informatiques exploite la zone de transit pour récupérer ou reconstruire des systèmes à partir de sources fiables, mettre en œuvre les mesures d'atténuation, tester les fonctionnalités et finalement redéployer en production l'environnement assaini. Ce processus itératif et collaboratif, soutenu par une communication transparente et une création d'images de référence régulières, garantit une réponse et une récupération complètes et sécurisées.
Dans l'environnement actuel, un cyber incident ne doit pas être considéré comme un échec de la cybersécurité, mais un cyber incident associé à une mauvaise gestion est effectivement un échec. Les cyber incidents arrivent, de la même manière qu’il arrive d’être confronté à un scénario plus traditionnel de reprise après sinistre, la solution ne consiste pas à avoir une confiance aveugle dans la capacité de l’entreprise à prévenir les attaques, mais plutôt d'avoir mis les outils et les processus en place pour atténuer les conséquences du cyber incident. Si les RSSI parviennent à gérer ce passage de la défense pure à la défense opérationnelle, l’impact sur leur stratégie d'investissement sera rapidement visible.