Grafvision - Fotolia
Que faire en premier en cas d’attaque informatique
Quelles sont les premières mesures à prendre lorsque l’on suspecte d’avoir été la victime d’un incident de sécurité informatique ?
A un moment ou l’autre, votre entreprise devra faire face à un incident de cybersécurité. Mais sous la pression, l’effet du stress, on fait des erreurs. Trop reporter la prise de décisions critiques peut renforcer l'impact de l'incident, mais inversement, prendre des décisions trop attives peut causer d'autres dommages à l'entreprise ou entraver une réponse complète.
Il existe de nombreuses façons de soupçonner qu'un incident de sécurité s'est produit, de la détection d'activités inhabituelles par le suivi proactif des systèmes critiques jusqu’aux audits, en passant par la notification externe par les forces de l’ordre ou la découverte de données compromises perdues dans la nature.
Toutefois, des indicateurs tels que la consommation inhabituelle de ressources CPU ou réseau sur un serveur peut avoir plusieurs origines différentes, dont beaucoup n’ont rien à voir avec des incidents de sécurité. Il est là essentiel d'enquêter davantage avant de tirer des conclusions.
Disposez-vous des d’indices cohérents ? Par exemple, si l'IDS détecte une attaque de force brute contre le site Web, les journaux Web le confirment-ils ? Ou, si un utilisateur signale une attaque suspectée de hameçonnage, d'autres utilisateurs ont-ils été visé ? Et quelqu’un a-t-il cliqué sur des liens ou des documents joints ?
Vous devez également réfléchir à des questions relatives à la nature de l'incident. S’agit-il d’une infection par un logiciel malveillant générique ou un piratage de système ciblé ? Y’a-t-il une attaque intentionnelle en déni de service (DoS) en cours ?
Une fois que vous avez confirmé qu'un incident s'est produit, vous devez prendre un temps pour hiérarchiser vos actions et décider définitivement des objectifs métiers pour l'opération de réponse. Le triage des incidents consiste généralement à classer l'incident en termes d'impact et d'urgence, et suivant la manière dont il doit être traité. L'équipe d'intervention peut ensuite utiliser les évaluations d'impact, d'urgence et de priorité pour définir les objectifs de l'opération de réponse aux incidents et assigner actions ou recherches approfondies.
La classification d'impacts définie par le Cert-UK et adoptée par Crest, l'organisme qui représente l'industrie de la sécurité technique, peut servir de point de référence pour la classification initiale en fonction de l'impact perçu ou établi.
Classification |
La description |
Exemple |
Critique |
Ces incidents entraînent généralement la dégradation de services essentiels pour un grand nombre d'utilisateurs, impliquent une violation grave de la sécurité du réseau, affectent les équipements ou services critiques, nuisent à la confiance du public dans l'organisation. |
Cyber-attaques ciblées ou perte de service en ligne accessible au public. |
Important |
Des événements moins graves risquent d'affecter un groupe plus restreint d'utilisateurs, de perturber des services non essentiels, ou de contrevenir à la politique de sécurité du réseau. |
Dégradation de site Web ou modifications non autorisées préjudiciables d'un système. |
Mineur |
De nombreux types d'incidents mineurs peuvent être gérés par le support informatique interne. Tous les événements doivent être signalés à l'équipe de sécurité qui suivra les occurrences d'événements similaires. Cela améliorera la compréhension enjeux en matière de sécurité informatique et pourrait faire prendre conscience des nouvelles attaques. |
Atteinte de déni de service infructueuse, ou bien la majorité des alertes de surveillance du réseau. |
Négligeable |
Il n'est pas nécessaire de signaler des incidents avec peu ou pas d'impact ou ceux qui touchent seulement quelques utilisateurs, tels que des alertes isolées de spam ou d’antivirus, une défaillance mineure du matériel informatique et une perte de connectivité réseau à un périphérique, par exemple une imprimante. |
Alerte anti-virus isolée ou courrier indésirable. |
L'urgence d'un incident devrait également être évaluée suivant l'impact. Il est peu probable que certains incidents s'aggravent avec le temps, comme la découverte d'une compromission historique par un ancien employé. Mais dans d'autres cas, comme une épidémie de rançongiciel, il peut être absolument essentiel de répondre rapidement pour isoler l'infection.
Mobiliser toutes les capacités de réponse aux incidents peut ne pas être applicable ou pertinent dans toutes les situations. Il convient donc de comprendre autant que possible. Par exemple, qui est l'attaquant ? Comment l'attaque a-t-elle été lancée ? Quand l'attaque s'est-elle produite ? Quelles données ou systèmes ont été compromis ? L'attaque est-elle en cours ? Pourquoi avons-nous été la cible de l'attaque ?
Se fixer des objectifs
Le but du triage est de comprendre la méthodologie et l'étendue de l'attaque de manière aussi complète que possible, dans les plus brefs délais.
L'information sur l'incident, son impact, son urgence et l'analyse sur ses conséquences métiers ou les systèmes concernés guideront l'opération de réponse à incident. Si possible, les priorités métiers devraient être prédéterminées et documentées dans les plans de réponse à incident.
Les objectifs de l'équipe d'intervention d'incident pourraient inclure :
- La reprise de service le plus rapidement possible, lorsque le système concerné est critique en termes de disponibilité pour l’activité.
- La réaction rapide et la protection des informations confidentielles, lorsque le système ou le réseau concerné est critique en termes de confidentialité pour l'entreprise.
- Vérification de l'intégrité des systèmes concernés, là où l'intégrité des données est essentielle pour l'entreprise.
- La préservation de l'intégrité de la preuve, là où l'activité criminelle est soupçonnée et les poursuites peuvent être envisagées, ou lorsque la culpabilité doit être établie de manière définitive.
- Identification de l'origine de la menace et collecte des renseignements sur les activités menées pendant l'incident.
Pour les organisations visées par des acteurs malveillants avancés connus, l'observation secrète continue d'un attaquant pour déterminer ses objectifs et son mode opératoire peut être un objectif de l'opération de réponse aux incidents à des fins de collecte de renseignements, même si l'urgence du confinement est importante. Des gestionnaires d'incidents internes ou externes expérimentés devraient être utilisés pour informer ces décisions.
Une fois que la priorité de l'incident et les objectifs de la réponse ont été définis, il est temps d'agir et d’affecter des activités aux équipes d'intervention d'incident.