La découverte d’une compromission informatique est un moment critique pour toute entreprise. Les premières minutes suivant la découverte sont cruciales pour limiter les dégâts et réagir efficacement. SentinelOne préconise huit règles à suivre pour limiter les dégâts et restaurer les
sauvegardes le cas échéant.
Si les Jeux olympiques de Paris 2024 constituent une période particulièrement propice aux attaques, les pirates informatiques ne restent pas inactifs le reste de l’année. Toutefois, avec le temps et une organisation en écosystèmes spécialisés, les attaquants ont sophistiqué leurs méthodes et gagné en furtivité.
Grâce à l’IA, ils peuvent préparer des attaques au réalisme qui imite la vie réelle au point de remplacer la furtivité par une subtilité confondante. Ceci additionné à la fréquence plus importante des attaques et le décor de cet été est posé.
D’après le Comité d’Organisation des Jeux olympiques (Cojo), les cyberattaques devraient être 8 à 10 fois plus importantes que lors des JO de Tokyo. Dans ce contexte, il est essentiel pour les entreprises de comprendre comment réagir face aux violations de données. SentinelOne, le spécialiste mondial de la
sécurité alimentée par l’IA, a établi une liste de 8 étapes clés pour affronter cette situation.
Les premières minutes sont cruciales
La découverte d’une compromission informatique est un moment critique pour toute entreprise. Les premières minutes suivant la découverte sont cruciales pour limiter les dégâts et réagir efficacement. Tout commence souvent par un signal d’alerte, une notification d’un système de sécurité ou une anomalie détectée par un employé. Les équipes informatiques sont immédiatement mobilisées pour vérifier l’authenticité de l’alerte et évaluer l’ampleur de la compromission.
Les premières réactions sont souvent marquées par un sentiment d’urgence et de stress, car chaque minute compte pour limiter les dégâts. Il est donc important pour les entreprises de réagir méthodiquement et efficacement durant cette période de découvert de l’ampleur de la brèche. Voici les 8 étapes incontournables recommandées par SentinelOne.
1 - Faire appel au conseil juridique et à la réponse aux incidents
Les obligations légales en matière de cybersécurité varient selon les pays et les secteurs d’activité, mais elles imposent généralement aux entreprises de notifier les personnes touchées par une attaque, d’informer les autorités compétentes et de prendre les mesures nécessaires pour éviter la propagation de l’attaque et réduire les risques futurs. Par exemple, lors de la cyberattaque massive contre l’entreprise de
cybersécurité SolarWinds en 2020, des milliers d’entreprises et d’organisations dans le monde ont été touchées.
SolarWinds a dû informer les autorités compétentes et les personnes touchées, et prendre des mesures pour renforcer sa sécurité. En cas d’incident, il est également conseillé d’informer son conseiller juridique interne ou externe et de contacter son prestataire de cybersécurité.
2 - Ne pas bloquer les points terminaux affectés
Il est important de préserver les données et les éléments de preuve en cas de cyberattaque. Pour ce faire, il est recommandé aux entreprises de ne pas désactiver les points terminaux suspectés d’être compromis. Leur mémoire vive (RAM) contient des preuves précieuses qui, lorsque les systèmes sont arrêtés, sont définitivement perdues. Lors de la cyberattaque contre l’entreprise de cybersécurité FireEye en 2020, les enquêteurs ont pu retracer l’attaque grâce aux informations contenues dans la mémoire vive des ordinateurs infectés.
3 - Déconnecter du réseau les systèmes compromis
Il est essentiel de déconnecter les systèmes potentiellement compromis du réseau pour éviter la propagation de l’attaque. Séparer le réseau compromis du réseau sain (par exemple, réseaux locaux virtuels et listes de contrôle d’accès au réseau) peut également faciliter la poursuite des activités.
4 - Identifier et préserver les éléments de preuves
Les entreprises doivent identifier les éléments de preuves potentielles dans tous les pare-feu (systèmes de détection d’intrusion, réseaux privés virtuels, solutions antivirus, journaux d’événements) et s’assurer qu’ils sont configurés pour conserver ces preuves et qu’ils n’écrasent pas automatiquement les anciens journaux. Lors de la cyberattaque contre l’entreprise de services financiers Equifax en 2017, les enquêteurs ont pu retracer l’attaque grâce aux journaux d’événements conservés par l’entreprise.
5 - Collecter les indicateurs de compromission (IoC) et les échantillons
Il est important de recueillir tous les IoC connus et les échantillons de codes malveillants pour contribuer à l’investigation. Il peut s’agir d’adresses IP ou de domaines suspects, de hachages, de scripts PowerShell, d’exécutables malveillants, de notes de rançon, etc.
6 - Anticiper la restauration
Préparer la restauration des fonctionnalités du réseau à l’aide de solutions de sauvegarde est essentiel. Il est notamment important de s’appuyer sur les informations issues des investigations des systèmes compromis avant de restaurer les données. Avant de procéder à toute restauration, il est essentiel de vérifier que les sauvegardes sont viables et propres. L’absence de sauvegardes viables a obligé l’entreprise de services informatiques Code Spaces de fermer ses portes en 2014.
7 - Établir un calendrier
Préparer une chronologie des événements suspects connus, indiquant le moment où l’attaque est censée avoir commencé et quelle est l’activité malveillante la plus récente, est primordial. Par exemple, lors de la cyberattaque contre l’entreprise de cybersécurité CrowdStrike en 2020, les enquêteurs ont pu retracer l’attaque grâce à une chronologie détaillée des événements.
8 - Identifier les points terminaux
Les entreprises doivent déterminer les points terminaux qui ont fait l’objet d’une activité suspecte, notamment en identifiant le premier système touché (patient zéro) et les sources éventuelles d’exfiltration. Lors de la cyberattaque contre l’entreprise de services informatiques Accellion en 2021, les enquêteurs ont pu retracer l’attaque grâce à l’identification du patient zéro et des sources d’exfiltration.