Comment naît une crise cyber… et comment (essayer de) l'éviter !

Les crises cyber peuvent être dévastatrices pour une entreprise ! Dans quel contexte commencent-elles et comment donc y échapper ?

L’impact d’une crise cyber de type rançongiciel est la partie visible de l’iceberg  : une entreprise totalement à l’arrêt (du jamais vu !), des collaborateurs inquiets, des clients mécontents, des usines silencieuses pendant de longues semaines.

Et au milieu de ce silence un état-major en ébullition, paralysé dans les premières heures et qui tente ensuite de faire face tant bien que mal à une situation unique. Il y a tant de problèmes à régler : la communication (interne, mais aussi auprès des plus grands clients qui se sont probablement isolés et refusent tout contact tant que la situation n’est pas sous contrôle) mais aussi le juridique (des données personnelles ont-elles été dérobées ? Celles de nos salariés ? Faut-il faire une déclaration à la CNIL ? Que risque-t-on ?). En passant évidemment par les questions de production (quelle activité redémarrer en premier ? Qui privilégier ? Quelles sont nos capacités en mode dégradé ?) ou encore de ressources humaines (doit-on privilégier le chômage technique ou les RTT pour nos salariés à l’arrêt ? Que disent les représentants du personnel ?).

Et tout cela, sans même considérer les questions purement DSI : comment redémarrer en toute sécurité un SI dans le noir, dont l’annuaire Active Directory est probablement compromis, les backups détruits et sans accès à Internet ?

Autant dire que lors d’une crise cyber de ce type, personne ne dort beaucoup et les tensions sont au plus haut.

"Toutes les traces étaient là depuis le début"

Comment en est-on arrivé là ? Il s’agit très souvent d’un premier incident de sécurité ignoré, qui, au fil des jours ou des semaines, provoque une série d’autres, tout autant ignorés. Jusqu’à ce qu’il ne soit plus possible de fermer les yeux sur ces incidents !

Paradoxalement, dans la plupart des crises cyber, toutes les traces étaient là bien avant le déclenchement, sous la forme d’alertes parsemées à travers divers journaux de systèmes ou de solutions de sécurité. Des traces ignorées par méconnaissance ou par mauvaise interprétation de leur gravité.

Ces traces sont créées au grès des déplacements de l’attaquant dans le SI. Cela commence généralement par la prise de contrôle d’un poste de travail, et se poursuit sur le réseau, en recherchant des cibles à compromettre (activité de reconnaissance très visible), en exploitant des vulnérabilités, puis en enchaînant les connexions depuis des comptes compromis vers des machines sur lesquelles leurs utilisateurs légitimes ne se connectent jamais, etc. Jusqu’à la diffusion massive d’un chiffreur depuis l’annuaire Active Directory. Tout au long de ce processus, des dizaines de traces pourraient donner l’alerte : la création de comptes utilisateurs à privilèges, une utilisation massive de ressources du réseau, des traces de connexion inhabituelles ou en échec, etc.

La crise, donc, est une succession d’incidents mineurs qui ne sont pas investigués et traités à temps, jusqu’à ce qu’ils deviennent impossibles à ignorer. Ainsi, dans l’une des affaires prises en charge par les experts Vectra, il a été démontré post-mortem que les trois premiers incidents sur des postes de travail (des « exécutions de code suspectes », une activité hautement questionnable) ont été suivis de 4 jours sans aucune activité, puis d’un début de scan massif le matin de la part d’un de ces mêmes postes (là aussi une activité inhabituelle et hautement suspecte), et enfin de plusieurs exécutions de code suspectes le soir. Il y avait donc largement le temps de couper l’herbe sous les pieds à l’attaquant entre chaque alerte.

Visibilité, connaissance du terrain et rapidité d’action

Comment éviter d’en arriver là ? La clé est la visibilité : il est important d’être en mesure de voir toutes les traces, ces signes avant-coureurs a priori sans importance, à travers les différents silos : aussi bien on-premises que dans le cloud, et autant sur les machines elles-mêmes que sur le réseau ou dans l’annuaire.

Cela génère, on s’en doute, une forte quantité d’événements, mais un bon moteur d’intelligence artificielle saura cataloguer et prioriser les plus suspects d’entre eux, qu’ils soient jugés suspects par leur nature ou par leur enchaînement (ce qui revient à rapprocher différents éléments mineurs d’une même détection pour en faire un incident significatif).

Ces incidents devront alors être promptement investigués par un humain, afin de déterminer s’il s’agit réellement d’une activité malveillante. Et la remédiation devra être rapide : hors de question d’attendre quatre jours pour saisir le poste compromis d’un utilisateur ou supprimer un compte d’administration.

Mais pour cela, encore faut-il pouvoir identifier la source au plus vite. C’est pour cela qu’il sera difficile de faire l’impasse sur une excellente connaissance du SI et une bonne gestion de ses actifs (à travers une base CMDB ou la gestion des actifs dans une solution de patch management, par exemple).

En combinant ainsi visibilité, connaissance du SI et rapidité de remédiation, il est possible d’espérer ne jamais voir la crise… mais seulement une succession d’incidents mineurs, ce qui est un moindre mal !