Blog GlobalSign

07 juin 2016

Les cinq étapes de l’intervention sur incidents

Du point de vue d’une violation de données…

Utilisés partout dans le monde, les jeux de guerre (ou jeux de stratégies) permettent d’affiner les stratégies, de tester des processus et d’optimiser l’exécution. C’est notamment le cas pour les plans de continuité et de reprise d’activité. Dans un contexte de menaces et d’augmentation du niveau des cyberattaques, nous souhaitions présenter la manière dont nous pourrions gérer une intervention sur incident. L’objectif étant de permettre à nos clients de se faire une idée de la manière dont ils devraient procéder en cas d’attaque similaire.

Intervention planifiée et ressources définies

D’après un vieux proverbe samouraï : « les problèmes graves doivent être traités avec légèreté ». Si cela peut sembler paradoxal à première vue, il s’agit en fait de planifier vos actions sur les sujets importants. Vous devez mettre à profit les périodes de calme pour réfléchir et planifier vos interventions. Dans une organisation ou une entreprise, on pourrait parler de planification de la gestion des catastrophes.

Les procédures de continuité d’activité, de reprise après sinistre et d’intervention sur incident doivent être discutées et validées avant qu’un problème ne survienne. La définition de ces processus donne un cadre pour réagir rapidement et calmement en cas d’incident. Ces plans ne doivent cependant pas être enfermés dans un placard et tenus à l’écart. Ils doivent être partagés avec les intéressés dans l’entreprise pour que chacun soit informé des mesures à prendre et de leur mise en œuvre. En cas d’incident, on gagnera ainsi un temps précieux.

En cas de violation des données, votre entreprise doit vous présenter les étapes de l’intervention. Vous devez avoir identifié une ressource dédiée, un responsable de la gestion des incidents par exemple, qui soit parfaitement au courant des procédures d’intervention afin de mener la charge en cas de besoin. Chez nous, il s’agit du Responsable de la sécurité. Un incident pouvant survenir n’importe quand, cette personne doit se tenir prête à tout moment pour intervenir à toute heure du jour et de la nuit.

La préparation est la première étape clé. Quelles sont les autres étapes dans un scénario de violation de données ?

Empêcher toute autre suppression de données ou autre

Des données peuvent se retrouver du mauvais côté du périmètre de sécurité d’une entreprise pour tout un tas de raisons. Première explication, la plus simple : le facteur humain. C’est le cas lorsqu’un ordinateur portable est volé ou qu’une clé USB est égarée. Dans ce cas de figure, la mise en place de formations et de contrôles techniques permettra de limiter les risques. Autre exemple plus complexe : les attaques ciblées menées par des hackers. Les attaquants accèdent ici aux systèmes de votre entreprise pour s’emparer d’informations.

On note déjà que le détail de la réaction dépend du scénario. Prenons pour l’instant le cas d’une attaque ciblée.

La priorité est d’empêcher toute autre intrusion ou perte de données. Il faut donc bloquer le canal de communication utilisé par le pirate et éventuellement couper l’accès Internet. Vous devez vous assurer que rien d’autre ne puisse être ajouté ou supprimé.

Identifier ce qu’il s’est passé

Après avoir bloqué l’accès de vos systèmes aux pirates, vous devez déterminer ce qu’ils ont fait et où ils se sont rendus.

C’est là que la journalisation (création de logs) prend tout son sens. Vos serveurs et vos systèmes fournissent tous des journaux (logs) qui peuvent être configurés pour vous livrer toutes sortes de renseignements – depuis l’incident mineur jusqu’à pratiquement tout ce que vous voulez savoir. Vos logs doivent absolument être correctement configurés et enregistrés à un emplacement sécurisé. Assurez-vous-en au préalable pour être certain d’avoir une visibilité maximale sur toutes sortes d’événements.

Nous recommandons aux petites entreprises de faire appel à un consultant informatique ou un spécialiste de la sécurité pour définir et mettre en œuvre les bonnes pratiques de protection. Un bon consultant IT vérifiera les points suivants : séparation forte entre les jeux de données, mesures en place pour couper rapidement l’accès aux étrangers, et séparation entre les identités des différents pôles. Ainsi, les données de ventes ne doivent être accessibles qu’au département Ventes, les données comptables uniquement au service Comptabilité, etc. Ainsi, en cas de violation des données de ventes, vous limitez les risques que les données comptables soient compromises.

Dans les grandes entreprises plus sensibilisées à la sécurité, des mesures de sécurité renforcées seront en place. Nous prenons la sécurité très au sérieux et effectuons pour cela une surveillance active de tous nos points de connectivité Internet. Ainsi, en cas de besoin, nous sommes en mesure de revenir sur les moniteurs pour comprendre ce qui a été transféré, petit à petit, bit par bit. Nous sommes en mesure de comprendre précisément les commandes exécutées et obtenir la liste détaillée des données compromises.

Ne vous contentez pas d’étudier ce qui a été pris, observez également ce qui est susceptible d’avoir été déposé. Il est tout à fait possible que de nouvelles portes aient été créées pendant l’attaque pour une utilisation ultérieure.

Comprendre les conséquences de la divulgation de données

Lorsque l’on planifie la réaction à avoir face à une violation de données, l’entreprise doit connaître la valeur de ses données et mesurer les conséquences de leur divulgation. Cela varie d’une entreprise à l’autre.

Si le vol porte sur des données d’identification personnelle, vous devrez réfléchir aux personnes à informer. Dans les grandes entreprises, un responsable de la protection des données doit être nommé pour superviser l’utilisation de toutes les données privées. Cette personne doit être au courant des conséquences des vols de ce type de données dans chaque pays ou région géographique. Cette connaissance des particularismes régionaux est essentielle, car les législations sur la protection des données ne sont pas les mêmes partout.

L’entreprise est tenue d’informer les personnes dont des données ont été violées. Le plus gros risque : ne pas être en mesure de déterminer ce qui a été dérobé et devoir supposer que toutes les données des systèmes compromis ont pu être consultées, et se trouvent désormais dans le domaine public ou chez les concurrents.

Reconstruction, sauvegardes et restauration

La restauration dépend beaucoup de ce qu’il s’est passé pendant l’incident.

Lorsque le système de gestion de contenus d’un site Web ou les comptes d’un réseau social sont piratés, la violation a probablement été contenue. Dans ce cas, il faudrait déterminer la manière dont les pirates ont pu accéder aux données afin de pallier la vulnérabilité et empêcher l’incident de se reproduire. On pourrait ensuite s’employer à tout restaurer et à réinitialiser les mots de passe.

Si le problème provient d’un pare-feu mal configuré qui a été exploité pour accéder au CMS du site et modifier des informations en ligne, vous pourriez corriger la configuration, restaurer vos systèmes, récupérer le site Web et restaurer les systèmes internes à l’état de la dernière sauvegarde. Vous réinitialiseriez ensuite les mots de passe et informeriez, si besoin, les organismes compétents.

Une fois l’incident contenu, vous pourriez revoir la procédure d’intervention sur incident, car il est probable que certains points n’aient pas été couverts ou n’aient pas été gérés comme prévu.

Fort des conseils de notre Directeur technique sur la manière de réagir en cas d’incident, que pouvez-vous faire pour empêcher qu’un problème survienne ? GlobalSign fournit les identités au service de l’Internet de Tout. Pour en savoir plus sur les façons de protéger votre entreprise à l’aide de nos certificats numériques, de nos infrastructures PKI et solutions de gestion des accès et des identités, rendez-vous vite sur notre site Web.

Partager ce blog