10 conseils avisés en cas d'incidents cybersécurité

Dans mon précédent article Sac de sport sauve une haute école des ransomwares, j’ai présenté la manière dont l’équipe de réponse aux incidents de Switch CERT procède étape par étape après une cyberattaque. D’après ma longue expérience, ces dix meilleurs conseils ont fait leurs preuves. En effet, lors d’un tel incident, beaucoup de choses peuvent mal tourner et il s’agit d’une situation exceptionnelle. Un peu de recul et une pincée d’humour font toujours partie de la gestion de la situation et aident toujours à mettre en œuvre les conseils ci-dessous. C’est parti.

1. Pas de combat sans muscle

Le premier conseil très utile que l’on oublie souvent en cas d’incidents de sécurité informatique importants est la restauration du personnel d’intervention. Toutes les personnes impliquées sont des personnes ayant des besoins fondamentaux : ils doivent être couverts malgré le monde qui s’effondre. En effet, c’est automatique: les personnes affamées, assoiffées et stressées travaillent moins efficacement et passent à côté de paramètres importants sans s’en rendre compte. Il est donc tout à fait légitime de commander un cheese burger au drive 24h/24 du Burger King, avec une bonne portion de frites, un dimanche à deux heures du matin. On peut volontiers sourire à la mine très surprise du vendeur.

2. Y’all got any more of that whiteboard

Griffonner, représenter et planifier ensemble. Même à l’ère numérique, un tableau blanc analogique, un tableau mural ou rien qu’un grand morceau de papier peuvent s’avérer très utiles pour échanger au sein de l’équipe et planifier la stratégie. Lorsqu’il faut aller vite, une belle présentation PowerPoint est la dernière chose à faire pour gaspiller son énergie et sa concentration. Sans compter que le temps nous manque. «Quick and Dirty» est le mot-clé.

3. Brace yourself – the phone will ring

Ce qui est toujours sous-estimé, c’est l’intérêt des collaborateurs et des médias pour un incident de sécurité informatique. Le sujet est actuellement très en vogue et tout le monde veut savoir ce qui s’est passé. Les lignes téléphoniques surchauffent et les messages des connaissances font vibrer en permanence le téléphone portable. Il peut donc arriver que des soi-disant collaborateurs recherchent le dialogue lors d’une petite pause cigarette et demandent où en est l’affaire. C’est lorsque cette personne essaie de vous suivre dans l’entrepôt et de prendre des photos qu’il faut se méfier.

Il ne faut donc pas sous-estimer le travail de la première partie. Il s’agit des spécialistes du support. En effet, ce sont eux qui entendent toutes les questions du personnel et leurs frustrations à propos de leurs entraves, voire de l’interruption de leur travail. La cellule de crise peut atténuer ces inquiétudes avec un site Internet d’urgence et une communication publique. Il est donc recommandé de garder un œil sur les spécialistes de l’assistance, car ils doivent intercepter beaucoup de paroles.

4. Stress, stress everywhere

Les gens réagissent différemment à la pression et au stress. Il arrive donc souvent que des hiérarchies existantes soient bouleversées lors d’un incident et que des hiérarchies naturelles se forment. Qu’est-ce que cela signifie pour les personnes impliquées? «Embrace the chaos.» Dans de telles situations de stress, des personnes qui travaillent habituellement plutôt en arrière-plan, mais qui ont une autorité technique naturelle pour les personnes impliquées émergeront automatiquement. Très souvent, il ne s’agit pas de personnes figurant tout en haut de l’organigramme. Grâce à la confiance de l’équipe, ces personnes peuvent sombrer dans le chaos et garantir la stabilité des opérations. Enrayer cette évolution naturelle entraverait fortement la procédure de réponse aux incidents. Lors d’une crise, il peut arriver qu’une personne «simple» de l’équipe réseau dirige soudain toutes les parties impliquées.

5. Nobody cares – get the help you need

Offrez-vous l’aide dont vous avez besoin. La sécurité est la plus efficace lorsque différentes équipes collaborent et échangent. Il s’agit par exemple de la police, du NCSC, des fournisseurs ou encore des partenaires de sécurité externes tels que Switch CERT, qui peuvent aider à maîtriser l’incident. Les différents spécialistes surmontent la crise ensemble, main dans la main. S’ils s’y attèlent seuls et avec une fierté mal comprise, il leur semble généralement impossible de s’en sortir et la lutte se prolonge inutilement – beaucoup de connaissances et d’informations utiles sont gaspillées. La numérisation a apporté beaucoup de confort, mais elle a aussi considérablement élargi l’interface d’attaque. Les attaques ont lieu, c’est du vieux café. Ce qu’il ne faut pas oublier: même si nous parvenons à éviter une attaque, il s’agit d’un crime qui doit être sanctionné. L’idée selon laquelle nos outils numériques sont notre maison n’est pas encore très ancrée. Si quelqu’un déchire ma clôture sans me le demander pour voir s’il peut résister à l’attaque, je le signale également à la police.

6. Minimum Champion!

Qui ne connaît pas la règle des 80-20? En cas d’incident de sécurité, on aimerait bien parcourir toutes les pistes pour savoir exactement comment cela s’est produit. En tout état de cause, il est important d’identifier les points faibles avant de procéder à la restauration. J’ai vécu trop de situations où l’on ne s’est pas donné la peine, et le second cryptage a immédiatement suivi. Cependant, l’analyse des données et l’établissement du rapport prennent beaucoup de temps. Pour reconstituer la voie exacte de l’attaque ou de l’infection, il manque généralement des données, car certains journaux n’ont pas été enregistrés, de courtes périodes de stockage des données ont été définies ou de nouveaux systèmes n’ont pas encore été ajoutés à la gestion centralisée des journaux. Il faut un équilibre entre le mode Sherlock Holmes et la reprise de l’exploitation. Moins de perfectionnisme, plus de pertinence pratique.

7. Ight Imma Head Out – Exercise!

«Le papier accepte tout.» Un vieux dicton pourtant très sage. Disposez-vous d’un manuel de réponses aux incidents? De magnifiques concepts d’urgence qui, imprimés sur papier, prennent la poussière quelque part parce que personne ne sait où ils sont conservés ou s’ils existent vraiment? Comment pouvez-vous contacter les membres de votre équipe lorsque rien n’est disponible au bureau?

Toutes ces choses ne sont généralement pas préparées. Et si le stress et la pression d’un incident de sécurité informatique viennent s’y ajouter, les choses peuvent devenir très chaotiques. C’est pourquoi: s’entraîner, s’entraîner, s’entraîner. Les concepts et les plans peuvent être aussi bons que ça. S’ils ne font jamais l’objet d’entraînement, ils ne fonctionneront pas et la réponse aux incidents échouera au moindre obstacle. Effectuez des exercices sur tablette avec vos équipes. Discutez de ce qui se passerait si cela se produisait et posez les questions qui vous dérangent!

8. No regrets – creativity

Les check-lists sont intéressantes et servent également de repères. Cependant, il ne faut pas les détourner de la meilleure solution au bon moment. Il faut faire preuve de créativité pour trouver une solution lors d’un incident de sécurité informatique, car aucun incident ne ressemble à un autre. Les processus existants doivent être remis en question pour trouver la meilleure solution. Les attaquants ont toujours un coup d’avance. Pour des solutions efficaces, nous n’avons rien à leur envier et toutes les personnes impliquées doivent être en mesure de concevoir et de mettre en œuvre ces solutions non conventionnelles.

9. Run a marathon they said, It’ll be fun they said

Surveillez la persévérance de votre équipe. Maîtriser un incident de sécurité informatique est un marathon, pas un sprint. Il faudra des semaines pour reprendre l’exploitation normale. De nombreux travaux de remise en ordre et des adaptations des connaissances acquises suivront. C’est surtout dans les situations les plus stressantes que l’on a besoin de se détendre pour être pleinement opérationnel. Même à ceux qui travaillent sans relâche sans vouloir faire de pause, il faut leur rappeler doucement de se reposer. Car tous ceux qui travaillent sans relâche plusieurs jours, voire plusieurs semaines, sont au bord du burn-out. Les procédures de réponse aux incidents doivent toutefois être réalisables à long terme pour que le marathon puisse être maîtrisé.

10. Are you sure about that?

Garder une vue d’ensemble de son infrastructure informatique est un défi de taille. Il est généralement d’autant plus important que l’entreprise est grande et complexe. D’anciens serveurs de test oubliés. Comptes administrateur qui n’ont pas été supprimés. On ne fait pas d’omelette sans casser des œufs. La sensibilisation à la sécurité au travail à tous les niveaux – des utilisateurs finaux aux responsables techniques – permet déjà d’éviter de nombreux incidents. Cela permet en outre d’avoir une meilleure vue d’ensemble de son infrastructure et de maîtriser plus rapidement l’incident. En effet, ce n’est qu’avec un état des lieux raisonnable qu’il est possible de comprendre ce qui s’est passé et où nous allons.

Profitez des connaissances de la communauté

Quelles sont vos expériences et vos conseils pour une réponse aux incidents réussie? Quelles sont vos expériences les plus marquantes qui vous font encore rire aujourd’hui? Suivant le conseil n° 5, échangeons et apprenons les uns des autres. Cela nous permettra de gérer encore mieux les futurs incidents.