madpixblue - Fotolia
Les points clés de la réponse à incident selon Cisco
La réponse à incidents n’a rien de trivial. Sean Mason, responsable du sujet chez l’équipementier, partage son expérience et multiplie les recommandations, entre gestion de logs et exercices.
Le processus de réponse à incident est si périlleux qu'il se fait rarement à un niveau satisfaisant. Les échecs sont justement l’occasion de tirer des enseignements précieux, explique Sean Mason, directeur de la réponse à incident chez Cisco. Il intervenait à l’occasion du Talos Threat Research Summit qui se déroulait en amont de l’édition 2019 de la conférence Cisco Live. Et de commencer rappeler la principale difficulté de l’exercice : « il n'y a pas deux organisations qui se ressemblent, ce qui complique l'intervention en cas d'incident. Les personnes, les processus, les profils de risque, quels qu'ils soient, sont tous différents. S'ils étaient similaires, il y aurait peut-être un manuel à suivre ». Cela dit, il n’en y a pas moins des choses à faire et à ne pas faire qu’il convient de garder à l'esprit pour préparer une réponse à incident. Voici les cinq principales recommandations de Sean Mason en la matière.
Ne pas négliger les compétences non techniques
Sean Mason : dans un incident typique, il y a beaucoup de composants différents à prendre en compte pour répondre de manière efficace.
Pour une organisation qui n'a pas eu l'argent et le temps d'investir dans toute une stratégie de sécurité, de la mettre en place, et encore moins de préparer les éléments associés à la réponse à incident, il sera beaucoup plus difficile de réagir – non seulement en interne, mais aussi avec les consultants externes, comme nous.
Il peut d’ailleurs nous être difficile d'intervenir dans ce genre de situation. Les défis qui viennent à l'esprit sont un manque d'outils appropriés, correctement configurés ou installés, ou encore un manque de journaux datés. Tout cela va de pair pour que nous puissions raconter ce qui s'est passé lors d'un incident.
Et c'est sans parler des compétences non techniques. En réponse à incident, les organisations ont tendance à commencer par embaucher du personnel, à installer des outils sur lesquels elles peuvent se permettre d’investir et peut-être à sauvegarder quelques traces d’activité.
Mais il y a bien plus, comme savoir qui est votre conseiller juridique, directeur en charge des risques et qui appeler en période de crise. Ces compétences plus douces ont tendance à être remises à plus tard et les organisations plus matures de nos jours, ont tendance à s'être déjà attaquées à ces problèmes ou, du moins, sont en train de le faire.
Conserver les journaux d’activité
Sean Mason : En matière de gestion des logs, le pire que j'aie vu, c’était une période de rétention de seulement trois jours ; ce qui s'est produit dans le cadre d'un engagement assez récent. Pour découvrir quelque chose qui se passe, et obtenir l'aide de personnes, trois jours, ce n'est pas beaucoup de temps.
Il n'est pas rare de voir trois jours, sept jours ou 30 jours. L'organisation qui est mûre et a la capacité de conserver ses journaux [plus longtemps], de dépenser l’argent nécessaire – parce qu'il n'est pas bon marché de conserver ces données – reste rare de nos jours. Mais [ces organisations] savent qu'elles doivent conserver les logs pour disposer d’un historique au cas où quelque chose surviendrait.
Prenez les rapports de brèches qui ont été publiés : il y a généralement une très longue période d'attente. Le temps entre les actions initiales de l'attaquant et le moment où nous le remarquons est encore très élevé – il s'agit d'une centaine de jours. Cela donne une idée de la durée pendant laquelle il conviendrait de conserver les logs. Mais je pense que la plupart des organisations ne sont même pas proches de ça. Il y a beaucoup de facteurs pour l’expliquer, mais l'un d'eux est certainement le coût. Je pense qu'à mesure que les solutions, surtout en mode cloud, s'amélioreront, le prix continuera de baisser, ce qui permettra aux gens de conserver leurs journaux plus longtemps. Cela reste à voir.
Vérifier sa couverture assurantielle
Sean Mason : La chose que nous voyons de plus en plus ces derniers temps et qui, à bien des égards, entrave l'intervention en cas d'incident, c'est la cyberassurance. Au début d’un engagement client, l'une des questions que nous nous posons toujours est : « qui est votre assureur cyber, et quelle est votre police ? » Le nombre de fois où nous entendons un ange passer, ou un « je ne sais pas » en guise de réponse, est très révélateur.
Mais ce sont des questions importantes. Votre organisation a-t-elle même souscrit une cyberassurance ? Savez-vous quelle est le montant de votre franchise ? Savez-vous ce qu'il est dit que vous pouvez et ne pouvez pas faire ? Je pense qu'il y a un travail pédagogique éducatif à faire avec les équipes de sécurité autour de la cyberassurance. Cela renvoie à ce que je disais plus tôt au sujet des compétences non techniques et du responsable de la gestion des risques. Car c’est probablement lui qui s’est occupé de la police d’assurance cyber.
Nous avons récemment rencontré des cas où des organisations nous ont contactés parce qu'elles avaient besoin d'aide et nous leur avons posé la question de la cyberassurance ; en réponse ils nous ont dit : « nous ne sommes pas sûrs, nous vous recontacterons ». En fait, cela ralentit la réponse, et c'est la dernière chose que vous voulez.
Evaluer sa préparation à l'intervention en cas d'incident
Sean Mason : Nous ne luttons pas contre des incendies tous les jours, même si cela peut sembler être le cas. En fait, nous faisons beaucoup de travail proactif pour nos clients. Certains, parmi les plus matures, sont passés par une évaluation de leur préparation à intervention en cas d'incident. Il ne s'agit pas d'examiner l'ensemble de la posture de sécurité de l'organisation, mais de se concentrer sur la réponse à incident : si vous étiez touché demain, seriez-vous capable de réagir ? Quels sont les éléments manquants, ce à quoi vous êtes bons, ce à quoi vous ne l’êtes pas et où sont les pistes d'amélioration ? C'est bien qu'un tiers extérieur vienne évaluer objectivement. Laissez les experts venir jeter un regard très objectif sur l'organisation et formuler des recommandations.
Las, il est fréquent que l’on nous dise : « merci pour les recommandations, mais nous n'avons pas le temps d'y donner suite, alors nous les gardons de côté pour plus tard ». En fait, il faudrait donner suite à ces recommandations du mieux possible au lieu de les ignorer.
Profiter de simulations
Sean Mason : Une fois que vous avez évalué votre niveau de préparation à la réponse à incident et commencé à travailler sur ces éléments, vous pouvez envisager de les mettre à l’épreuve avec des exercices de simulation. Ils sont nombreux et variés pour la réponse à incident. L'un de ceux qui apparaît bien fonctionner en ce moment est basé sur différents scénarios et peut être personnalisé. Nous avons même préparé un dé spécifique pour lui, afin de rendre les choses un peu plus amusantes que simplement passer d’une diapositive à l’autre.
Mais nous avons aussi vu certains clients conduire ces exercices au-delà de l'analyste et des équipes du centre opérationnel de sécurité (SOC), en passant du RSSI à l’exécutif, jusqu’au Pdg, DSI, et responsable juridique. Conduire ce type d'exercice au moins une fois par an est inestimable.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Cybersécurité : comment Stoïk veut aider ses assurés à améliorer leur posture
-
API publiques : comment les adopter stratégiquement en entreprise
-
La cyberassurance a changé la réponse à incident, pour le meilleur ou pour le pire
-
Dell construit une offre de sécurité des hôtes avec Crowdstrike et Secureworks