Savoir recevoir son prestataire de réponse à incident cyber
Pour qu’un spécialiste de la réponse à incident puisse faire efficacement ce pour quoi il a été sollicité, il est essentiel de lui en fournir les moyens. Et cela implique de lui ouvrir en grand les portes du SI.
Stanislas de Maupeou, directeur du secteur Conseil Evaluation et Sécurité de Thales, rappelle qu’il « existe un certain de bonnes pratiques et de règles de bon sens mais il faut toujours garder en tête que ces règles doivent être adaptées à la politique de sécurité dont toute organisation, bien entendu, dispose ». Dans la pratique, pour lui, « il est crucial de déconnecter la ou les machines potentiellement compromises. Cette règle de base permet de stopper l'attaque. Sur le plan de l’efficacité de la prestation de réponse sur incident, il faut maintenir la(les) machine(s) sous tension et ne pas redémarrez. En agissant ainsi, vous facilitez l’identification des processus qui étaient actifs au moment de l'intrusion ».
Vincent Nguyen, responsable technique du Cert de Wavestone (anciennement Solucom), souligne de son côté qu’il « est primordial de fournir au prestataire les actions déjà entreprises par le commanditaire, que ce soit pour effectuer la levée de doutes, initier des investigations ou encore tenter de remédier à l’attaque ». De fait, « il serait ‘dommage’ de lancer le prestataire de réponse à incident sur des fausses pistes issues des actions des équipes du commanditaire ».
Déterminer le cadre organisationnel
Plus généralement, le prestataire a besoin de connaître le cadre dans lequel il va être amené à intervenir. D’un point de vue organisationnel, cela veut dire, notamment, préciser quelques sont les autres tiers intervenants, s’il fait tenir compte d’une « coordination avec d’autres pays » ou encore quels sont les contacts « experts » internes et leur disponibilité.
Michael Bittan, associé responsable des activités de gestion des risques chez Deloitte, souligne pour sa part qu’un « plan de réponse à incident doit permettre aussi de mettre à niveau les éléments essentiels dont il est nécessaire de disposer » : cartographie, inventaire, journaux d’événements, sauvegardes, etc.
Et justement, comme le relève Vincent Nguyen, le prestataire externe va avoir besoin de nombreux éléments techniques comme les schémas d’architecture réseau, mais également : « la source identifiée de l’attaque (interne / externe), la source d’identification de l’attaque (SIEM, utilisateur, client, partenaire…), le mode opératoire des ressources humaines en cas d’enquête interne, les impacts métier identifiés ». Et au-delà, également, les éventuels « besoin d’accompagnement juridique (données clients, plainte à déposer…), et de communication interne/externe ».
Les clés du royaume
David Grout, directeur technique de FireEye pour l’Europe du Sud, prolonge l’inventaire : « lorsque les équipes d’intervention arrivent, il faut être capable de fournir les éléments qui donneront le contexte de l’organisation, plans du réseau, listes des actifs critiques, extrait de logs, listes des machines soupçonnées d’être touchées ».
Eric Soares, directeur Europe centrale de SecureWorks, poursuit, relevant qu’il est essentiel de « fournir les accès au système d’information, à toutes les sources de log présentes, prévoir que le prestataire puisse avoir à déployer des outils (agents endpoint, équipement réseau) sur le SI. Il faut pouvoir faciliter la tâche au prestataire afin que cela se fasse le plus vite possible ». Et cela peut impliquer de « prévoir la disponibilité des équipes réseau/serveur/sécurité qui pourront apporter de précieuses information de contexte aux intervenants ».
Faisant référence à un triptyque « personnes, processus et technologies », Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, explique de son côté que, « lorsque la réponse à incident va commencer, il est crucial de mettre en place une ‘task force'’ regroupant le RSSI, les équipes réseaux, systèmes, et sécurité en liaison avec le DSI. Cette ‘task force’ devra collaborer avec le tiers sollicité pour répondre à l’incident. Le RSSI et le DSI devront souvent prendre des décisions clés pendant la réponse à incident, et notamment pendant la phase de confinement pour éviter que la menace ne se propage à d’autres systèmes ou entités ».
Des décideurs disponibles
En outre, il lui souligne l’importance d’avoir à disposition des personnes opérationnelles capables de, par exemple, « se connecter à une console anti-virus pour avoir l’état de son parc et pousser le cas échéant de nouvelles signatures antivirales ; accéder au pare-feu, passerelles Web, mail, consoles SIEM pour y récupérer des logs d’événements permettant d’investiguer et de comprendre la situation ; mettre à disposition des postes infectés en cas d’attaques purement virales ; ou encore accéder aux solutions de monitoring réseaux pour observer le trafic suspicieux et mieux isoler une menace ».
Pour résumer, David Grout relève qu’il « faut surtout être prêt à coopérer, à donner les informations en temps réel, communiquer avec les services ad hoc et surtout pas que techniques, les responsables de métiers, les personnes du service juridique, la communication. Un point incontournable est de donner accès au management ayant pouvoir de décision, car décisions il faudra prendre et surement rapidement ».