La cyber résilience ne se décrète pas à coups de budgets ou de solutions techniques. Elle doit aujourd’hui reposer sur une mesure lucide de la maturité, maillon par maillon, afin d’identifier les fragilités qui compromettent la reprise après ransomware, wiper ou compromission étendue. Car seule une mesure régulière de la maturité permet de renforcer les bons maillons avant que la chaîne de résilience ne cède.
La cyber résilience ne s’achète pas. C’est une propriété qui apparaît lorsqu’une organisation prend les mesures préparatoires et opérationnelles appropriées pour résister aux cyberattaques. Certains dirigeants sont convaincus qu’en cas d’attaque, mettre les moyens financiers nécessaires en face du problème va bien finir par le résoudre. Habitués à parler de continuité d’activité et de reprise après sinistre dans des contextes plus traditionnels (panne matérielle ou logicielle, coupure de courant, erreur de configuration, inondation…), ils sont souvent frustrés par le fait que les experts cyber ne peuvent pas donner de réponse définitive sur la durée d’une interruption lorsqu’elle arrive.
Lors d’incidents dont les causes profondes sont relativement faciles à déterminer, la reprise se fait généralement en masse vers le même environnement ou vers un site alternatif éloigné de la cause de la panne. L’orchestration consiste essentiellement à connaître les interdépendances, et la vitesse de reprise dépend simplement de la bande passante, de la vitesse des disques et de la solution de sauvegarde. Un calcul de RTO et RPO peut être effectué puis testé régulièrement.
Lors d’un incident cyber, en particulier une cyberattaque à grande échelle comme un ransomware ou la récente attaque de deux wipers contre des réseaux électriques en Pologne, il y a beaucoup plus de variables, dont la plupart ne peuvent être contrôlées que dans une certaine mesure. Les cybercriminels ont déployé des centaines de techniques d’attaque (classées en 14 catégories selon le réputé framework MITRE ATT&CK) et ils rendent les contrôles de sécurité des terminaux aveugles en utilisant des pilotes de périphériques vulnérables. Ils transforment les vulnérabilités en exploits qui sont intégrés dans leurs plateformes de Ransomware-as-a-Service bien plus rapidement que presque toutes les organisations ne peuvent corriger. Sont-ils entrés et ont-ils pivoté à travers une machine, ou cinquante ? Toutes pourraient désormais avoir des mécanismes de persistance leur donnant une tête de pont pour relancer l’attaque, et le temps nécessaire pour enquêter et remédier à une machine ou cinquante est considérablement différent.
Lors d’incidents cyber, la reprise peut impliquer l’application de correctifs aux systèmes, le retour de configurations individuelles à des versions sans mécanismes de persistance, l’ajout de contrôles supplémentaires ou de règles aux contrôles existants pour empêcher une nouvelle attaque, la suppression de comptes malveillants ou de fournisseurs d’authentification, la rotation des clés et des mots de passe : tout cela prend du temps. Cette incapacité des professionnels de la sécurité à donner aux dirigeants des délais précis sur la réponse aux incidents et la reprise sécurisée les met souvent dans une position inconfortable. Les organisations qui se sont engagées sur des RTO très rigides sont souvent les moins préparées à gérer une cyberattaque, car elles récupèrent souvent prématurément sans remédiation, pour être réinfectées ou réattaquées peu de temps après.
Une fois la différence établie entre la continuité d’activité, la reprise après sinistre et la remédiation aux failles qui ont provoqué l’incident, il devient évident que l’argent et les effectifs ne sont qu’une partie de la solution. La planification, l’adhésion de l’ensemble de l’organisation, la collaboration entre l’IT et la sécurité ainsi qu’une approche pragmatique d’amélioration par phases sont plus efficaces qu’investir dans plus de ressources ou de solutions techniques. Atteindre la cyber-résilience ne consiste pas simplement à déployer la dernière technologie à la mode, il s’agit d’appliquer cette technologie d’une manière appropriée à la structure, à la culture et aux capacités de l’organisation, de créer les workflows et processus appropriés pour opérationnaliser cette technologie, et de développer les bonnes compétences et les bons réflexes en interne afin que lorsque l’attaque inévitable se produit, chacun sache exactement quoi faire.
Pour pallier cette incertitude en matière de délai de réponse, la meilleure façon de procéder est de construire sa cyber résilience comme une chaîne : chaque aspect technique, processus ou ressource étant un maillon de cette chaîne. « Une chaîne n’est aussi solide que son maillon le plus faible », et il en va de même pour la cyber-résilience. Surveillance des alertes, détection, gestion des vulnérabilités, protection des sauvegardes, authentification… Le maillon le plus faible impacte le niveau global de résilience.
Trop d’organisations lancent un projet en cascade pour traiter un seul aspect, alors qu’un autre composant de la chaîne est quasi-inexistant. Cela revient à installer une porte blindée chez soi tout en laissant les fenêtres ouvertes. De petites améliorations incrémentielles de ce maillon le plus faible ont des impacts bien plus importants sur la résilience de l’entreprise, qu’une focalisation sur la perfection d’un seul projet.
Les rapports d’attaques montrent que des organisations dotées de budgets et d’équipes de cybersécurité les plus importants subissent toujours des impacts plus sévères dus aux ransomwares. L’objectif ne devrait pas être seulement d’augmenter les dépenses, mais aussi de s’assurer que les efforts sont appliqués dans les domaines qui offriront le meilleur retour en termes de cyber-résilience. Prendre du recul et mesurer la capacité relative de chaque aspect de la chaîne de résilience et l’améliorer en continu est la manière la plus efficace pour s’assurer que celle-ci ne se brise pas.
____________________________
Par Julien Mousqueton, RSSI EMEA chez Cohesity
____________________________
puis