Face à une cyberattaque, avoir la bonne réaction au bon moment fera toute la différence entre un incident de sécurité ennuyeux, mais gérable, et un événement majeur affectant sévèrement l’activité de l’entreprise. Et avoir la bonne réaction au bon moment, c’est précisément le travail d’un CSIRT !
Selon l’agence européenne pour la cybersécurité (ENISA), il existe 550 CSIRT officiels (littéralement équipes de réponses à des incidents de sécurité informatique ; également appelés CERT) dans le monde, dont 40 en France.
Ces équipes peuvent être privées, et sont alors souvent intégrées à de grands groupes (banques, grande distribution, industrie, télécommunication, opérateurs d’importance vitale…), ou être rattachées à des fournisseurs (elles sont alors mises au service de leurs clients) ou bien encore être des entités commerciales disponibles pour aider tout type de clients sous la forme de missions d’assistance.
Bien sûr, un CSIRT ne fait pas tout : il n’est qu’une partie du dispositif global de gestion des crises cyber. La cellule de crise agrège des expertises très diverses, et notamment en matière de juridique et de communication.
Mais le CSIRT, c’est le sommet de l’expertise technique. Ses membres sont dédiés à la réponse à incident et ne participent pas à l’essentiel des autres missions quotidiennes d’un service de sécurité informatique traditionnel (déploiement et exploitation de solutions de sécurité, gestion de la conformité, etc).
Et c’est bien pour cela que seules les organisations les plus mûres en matière de cybersécurité et disposant de ressources conséquentes peuvent se permettre de maintenir un CSIRT interne : les incidents majeurs qui exigent de passer en crise peuvent être rares, mais l’équipe doit être prête à tout moment, et donc entretenir constamment son niveau technique par de solides programmes de formation et d’entraînement.
Détecter, contrôler et remédier aux cyberattaques
En revanche, disposer d’un CSIRT en interne (ou avoir un contrat avec une équipe externe prête à intervenir) peut véritablement faire toute la différence lorsque la cyber-crise survient. Tout d’abord parce que ses experts, en appui des exploitants des solutions de sécurité, pourront venir identifier ou confirmer les traces et les comportements suspects remontés par les outils. De par sa familiarité avec les techniques d’intrusion du moment, le CSIRT — plus que tout autre — est en mesure d’identifier les comportements typiques révélateurs d’une intrusion (tentatives de déplacements latéraux, cartographie du réseau, recherche de vulnérabilités ou de mauvaises configurations…), à partir d’une suite d’alertes isolées.
Ainsi, détecté bien plus tôt, l’incident a des chances de pouvoir être circoncis avant de devenir véritablement hors de contrôle.
Et puis… circoncire l’incident, c’est justement aussi le rôle du CSIRT ! Une fois l’activité hostile confirmée, le CSIRT est naturellement le mieux placé pour coordonner la réponse, et c’est même là que sa présence fera véritablement la différence.
Un CSIRT interne (ou externe s’il a été missionné en amont) aura un plan de bataille. Il sera en mesure d’isoler rapidement les portions du système d’information qui doivent l’être, indiquer immédiatement les serveurs qui doivent être éteints ou déconnectés (parce qu’éteindre un serveur peut être la bonne solution, mais cela empêche aussi de récupérer le contenu de sa mémoire, qui peut contenir de précieux éléments d’investigation). Il saura aussi notamment qui activer rapidement pour obtenir tous les journaux d’événements indispensables à l’investigation, avant qu’ils ne soient écrasés. Bref, il sera le pilote et l’expert dans ces premières heures qui sont si critiques à la résolution d’un incident.
Conduire l’investigation numérique
Ses membres seront bien entendu chargés de mener l’investigation numérique, qui devra répondre à des questions essentielles : quel est l’impact de l’incident ? Qui est l’attaquant ? Par où est-il passé ? Depuis combien de temps est-il là ? A-t-il exfiltré des informations ? Laissé des accès derrière lui ?
Mais ils sauront aussi accompagner l’indispensable redémarrage du système d’information dans des conditions de sécurité optimale. Car il n’est évidemment pas possible de simplement rallumer les serveurs éteints : il faut de la méthode et un protocole clair afin d’éviter qu’une machine compromise rallumée et reconnectée trop tôt ne permette à l’attaquant de reprendre le contrôle…
Mieux : lorsque l’impact de l’incident est tel qu’il n’est pas envisageable de redémarrer les machines en l’état (et, soyons honnêtes, c’est souvent le cas !), le CSIRT pourra accompagner la difficile reconstruction du système d’information. Ses experts seront notamment en mesure de proposer des protocoles garantissant que le nouveau SI ne soit pas exposé à l’ancien (compromis) et qu’il demeure parfaitement isolé, et ils offriront des moyens de supervision enrichis des indicateurs de compromission identifiés durant l’investigation.
Pendant tout ce temps, le CSIRT sera aussi le garant de la confidentialité des informations échangées : tout passe par une cellule réduite parfaitement sensibilisée à la protection de l’information et dotée de moyens d’échanges sécurisés, plutôt que de voir des dizaines d’échanges d’informations croisés de toute nature.
Enfin, une fois l’incident clos et l’activité redémarrée, le CSIRT sera le pilote du retour d’expérience, capable à la fois de tirer tous les enseignements de la crise afin d’améliorer les plans de sensibilisation et surtout d’améliorer le plan de réponse à incidents, afin d’être meilleurs la prochaine fois.
La crise, ça se prépare !
Mais une capacité de réponse à incidents s’anticipe. Et là aussi, le CSIRT a son mot à dire. Ses experts savent tout ce qui, habituellement, fait défaut à l’investigation numérique : est-ce que les bons journaux sont conservés ? Suffisamment longtemps ? Sont-ils externalisés ? L’entreprise a-t-elle une bonne visibilité sur les actions menées récemment sur son Active Directory (création et modification de comptes à privilège, historique des authentifications, GPO récemment ajoutées…) ? Et sur ses serveurs critiques ? Sait-elle immédiatement où se trouvent les informations sensibles stockées dans son datacenter ? Peut-elle répondre au régulateur qui souhaite savoir si tel ou tel serveur contient des données à caractère personnel ?
Le CSIRT, en travaillant de concert avec la SSI et les fournisseurs de solutions, saura préciser les exigences et orienter les choix de manière efficace et pragmatique, en se basant sur les scénarios d’attaque réels et contemporains.
___________________
Par Pierre-Antoine Failly-Crawford, Architecte sécurité chez Varonis