Rechercher
Fermer ce champ de recherche.
Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

6 JUILLET 2020

Actualité

Incidents de Cybersécurité : les conseils du CERT AMOSSYS

Selon une récente étude, 80% des entreprises françaises n’auraient pas de plan de réponse aux incidents de cybersécurité alors qu’en parallèle l’ANSSI n’a jamais autant enregistré de signalements. Quels sont les incidents qui touchent le plus les organisations ? Quelles sont les premières choses à faire en cas d’incident ? David CAILLAT, Directeur du CERT AMOSSYS, vous donne quelques pistes pour répondre au mieux à un incident de sécurité.

Bonjour David, quels sont les différents types d’incidents qui touchent le plus les organisations ?

Aujourd’hui, les incidents les plus courants sont principalement liés à la cybercriminalité :

  • Le RANSOMWARE : c’est un code malveillant qui va chiffrer vos dossiers informatiques les plus utilisés et vous demander une rançon pour vous permettre de les déchiffrer.
  • La campagne de SPAM : c’est un envoi massif de courriels ciblé avec des pièces jointes ou liens internet malveillants.
  • Le PHISHING : un envoi de courriels frauduleux se faisant passer par exemple pour votre banque avec un lien vers un faux site bancaire qui vous demande vos identifiants afin de vous les voler.

Pourquoi, selon vous, la détection et la réponse à incident sont-elles encore si
longues et difficiles à l’heure actuelle pour les entreprises ? Quels sont les principaux écueils en la matière ?

Le principal écueil en la matière est le manque de connaissances malgré une prise de conscience progressive des dangers, et le manque de moyen des entreprises, car la détection et la réponse à incident ont un coût que ce soit en développement interne ou en passant par une prestation de service. La détection se démocratise de plus en plus car les modèles de services sont maintenant bien définis et beaucoup d’entreprises montent leur Security Operation Center (SOC) interne. Pour la réponse à incident, c’est plus compliqué. Soit les entreprises ont les ressources spécifiques nécessaires pour monter un CERT interne, soit elles ne les ont pas et font appel à un prestataire qui soit expert dans le domaine de la réponse à incident comme AMOSSYS pour lui en déléguer la gestion.

 

C’est assez difficile car aujourd’hui peu d’entreprises proposent un tel service. Le problème est surtout pour les entreprises qui n’ont ni de contrat de service avec un prestataire, ni de CERT intégré, et qui veulent, en cas d’incident tel qu’un ransomware, pouvoir réagir immédiatement. Ces entreprises se tournent alors vers une société de service en urgence mais si cette société n’est pas rompue aux différents cas d’usages, la réaction sur incident prendra beaucoup trop de temps. Et dans ce cas de figure, le délai de réaction est primordial pour limiter les dégâts liés à la cyberattaque.

Concrètement, quelles sont les premières choses à faire en cas de détection d’un
incident, aux niveaux technique, organisationnel et juridique ?

Tout dépend du type d’incident. La règle générale est, en premier lieu, de contacter son CERT, afin d’obtenir les conseils les plus avisés, selon l’incident subit. Il existe cependant des règles génériques qui peuvent s’appliquer. Dans le cas d’une machine infectée, il faut par exemple :

  • Déconnecter la machine du réseau mais ne surtout pas l’éteindre ni chercher à la redémarrer. Le but étant de pouvoir faire des investigations inforensic sur la mémoire
  • Evaluer l’ampleur de l’incident et identifier s’il y eu a une propagation sur le parc informatique ou pas, afin de pouvoir en réduire l’impact
  • Prévenir son RSSI et séquestrer tous les supports amovibles qui appartiennent à l’environnement de la machine
  • Activer le Computer Emergency Response Team (CERT) s’il y en a un ou faire appel au CERT AMOSSYS
  • Réaliser des copies physiques des éléments compromis et les placer dans un endroit sécurisé, pour conserver les preuves s’il y a des suites au niveau judiciaire
  • Investiguer sur l’incident, on peut découper cette partie de cette façon :
    • Comprendre le contexte de l’incident, interviewer les personnes impactées, ainsi que l’architecture du système d’information (SI) en place afin de définir le périmètre d’investigation
    • Prélever et analyser des événements de sécurité (journaux, logs)
    • Prélever et analyser le(s) système(s) compromis (copie physique d’un disque dur, prélèvement de la mémoire…)
    • Identifier le code malveillant et l’analyser afin de comprendre son impact sur le système et de pouvoir identifier les actions de remédiation
  • Proposer un plan de remédiation
  • Rendre compte à la gendarmerie (ex : C3N) si la magistrature a mandaté l’équipe CERT de mener à bien les investigations pour la gendarmerie

 

La conservation des logs dépend de ce que souhaite faire ou peut faire l’entreprise, à savoir pouvoir revenir sur les incidents antérieurs ou bien faire de la Threat intelligence. Mais cela à un coût car il faut de la capacité de stockage. Chez AMOSSYS, le CERT a l’habitude de supprimer les données et logs du client après l’investigation sauf demande express du client. A contrario, certains clients qui ont une composante Threat Intel voudront ne pas déconnecter la machine compromise mais l’isoler afin que le CERT puisse investiguer et caractériser la menace. On entend par « caractériser la menace » le fait de tenter d’identifier le groupe d’attaquant qui essaie de voler vos données par exemple (on parle bien de caractérisation et pas d’attribution).

Quelles sont les clés, selon vous, pour répondre au mieux et au plus tôt à un incident de sécurité ?

Si la société n’a pas énormément de moyens, elle peut s’appuyer sur une supervision des logs à moindre coût en investissant dans un Network Intrusion Detection System (NIDS) et mettant en place une centralisation des logs du SI (RSYSLOG) et un Security Event Information Management (SIEM) avec des logiciels libres. Au contraire si elle peut investir dans un SOC (matériels ; processus ; RH ou prestation de service), alors les moyens de détections seront plus divers et la détection plus fine. Enfin, avoir une astreinte ou un service SOC H24  pour les entreprises qui le peuvent.

De quelles manières peut-elle identifier l’origine d’un incident, et quels sont les champs d’actions possibles si celui-ci est lié à de la malveillance ?

En dehors du recours à un SOC, à un CERT ou à un SIEM, le fait d’avoir une base de connaissance sur les différentes attaques connues permettra aussi de caractériser l’attaque si elle est connue. Mais aussi de pouvoir identifier plus facilement l’impact de l’attaque avec des marquants malveillants déjà connus et de pouvoir vite y remédier. Par exemple en ayant une base MISP à jour en plus des connaissances basées sur l’expérience du CERT.

De manière générale, que recommandez-vous aux entreprises en la matière ?

Il faut tout d’abord veiller à entretenir et permettre le renouvellement des connaissances et des compétences de son RSSI car c’est lui qui va sensibiliser les collaborateurs et prendre les décisions lors d’un incident. Faire intervenir en parallèle un SOC/CERT peut permettre également de montrer des cas concrets aux collaborateurs. Il faut également effectuer en parallèle un état des lieux de la sécurité de son SI par un audit de sécurité ; c’est pour moi l’action n°1 à mener pour identifier les failles et les vulnérabilités. Cet audit pourra ensuite être complété par une recherche de compromissions sur le SI afin de l’éprouver et de pouvoir ainsi mettre en place des contres mesures.

Quelles sont les recherches et innovations, selon vous, prometteuses pour améliorer les capacités de détection et de réponse à incident ?

Aujourd’hui beaucoup de travaux existe sur l’Intelligence Artificielle, les sujets de machines learning pour améliorer l’apprentissage comportementale dans certaines sondes et donc la détection d’incident.

  • NIDS (sondes) : Les honey pots permettent à la fois de protéger les SI mais aussi de récupérer de l’information sur l’attaquant. Les outils de forensic et de récolte d’artefact pour les CERT sont nécessaires, ils permettent un gain de temps sur l’investigation d’un parc informatique plus ou moins grand.
  • Outils HIDS (Endpoint Detection Response, ORC de l’ANSSI) : Le but étant de pouvoir automatiser un maximum les différentes actions afin de se concentrer sur l’analyse des artefacts qui sont récupérés par ses outils.

Enfin, quels sont les axes qui restent encore à développer au sein des entreprises ?

Il faut d’abord se concentrer sur la base avant de vouloir trouver d’autres réponses à la détection et réponse à incident. Aujourd’hui la plupart des incidents sont l’œuvre d’une mauvaise hygiène SSI de la part des collaborateurs qui vont cliquer sur les liens d’un mail bien forgé ou exécuter une pièce jointe malveillante. La sensibilisation SSI n’est pas à prendre à la légère, il faut la renouveler et la remettre au goût du jour, afin qu’elle ne soit plus appréhendée comme soporifique par les collaborateurs. Ensuite une architecture réseau qui se base sur le modèle ANSSI et qui prenne en compte les préconisations systèmes (avec des matériels bien configurés) ANSSI et DGA permettra d’avoir une structure résiliente. Comme évoqué précédemment, il faut également démocratiser la mise en place des SIEM ou SOC et faire appel au CERT si besoin. »

 

* Interview réalisée dans le cadre d’une enquête menée par Global Security Mag dans son dernier numéro paru en mars 2020.

Voir les dernières actualités

2 mai 2024
Retrouvez nos experts au Symposium sur la Sécurité des Technologies de l'Information et des Communications à Rennes le 6 juin prochain.
Read more
23 avril 2024
Retrouvez-nous au Breizh CTF, la célèbre compétition de sécurité informatique se tiendra cette année au Couvent des Jacobins vendredi 17 mai 2024.
Read more
17 avril 2024
Luc Delpha, Directeur des Opérations au sein d'Amossys anime le Cyber Meet du 25 avril organisé par ADN Ouest sur la thématique : Pourquoi mettre en place la notation cyber ?
Read more
11 avril 2024
M&NTIS Platform est une solution SaaS destinée au test d'efficacité de produits de défense (AV, EDR, sondes réseau/NDR, SIEM, XDR, ...) et d'architectures de supervision. Une nouvelle version majeure de la plateforme vient de sortir.
Read more
16 janvier 2024
Découvrez le témoignage de Baptiste et Raphaël suite à leur immersion au sein de la BU Offensive Security chez Almond. Projets techniques stimulants, enrichissement mutuel des compétences... retour sur une expérience plus que positive.
Read more
21 juin 2023
Nous vous proposons cette fois-ci de partir à la découverte de Christine, qui après une riche carrière dans le domaine de la santé, a embrassé le métier de consultante en cybersécurité.
Read more
11 mai 2023
Découvrez notre témoignage concernant le recrutement de nouveaux talents en cybersécurité.
Read more
28 février 2023
Engagés depuis toujours dans le soutien et le développement de la filière Cybersécurité au travers de la formation, nous sommes particulièrement fiers aujourd’hui de parrainer les masters dédiés de l'Université de Rennes
Read more
28 février 2023
Comme tous les ans et conformément à la législation en vigueur, AMOSSYS calcule et publie son index d’égalité professionnelle hommes-femme.
Read more
23 février 2023
AMOSSYS vient d’adhérer à ADN Ouest, le plus grand réseau de professionnels du numérique de France.
Read more
Amossys a rejoint
le groupe Almond.
Découvrir les autres
sociétés du groupe :
- Découvrir Almond
- Découvrir Board of Cyber
A propos d'Amossys
Nos prestations
Nos produits
Nos insights
Join the A-Team
Contactez-nous
Github Linkedin Youtube
RENNES_
PARIS_
NANTES_
STRASBOURG_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Mentions légales
© 2023 Amossys. Tous droits réservés.
Rechercher
Fermer ce champ de recherche.
Twitter Linkedin Youtube Github