Votre entreprise est-elle prête à faire face à une cyber-attaque ?

© Getty Images/iStockphoto
Els Bellens

L’année a été particulièrement mouvementée en matière de cybersécurité. Qu’il s’agisse de rançongiciels, de botnets IoT ou d’espions nord-coréens : à mesure que la technologie prend une importance croissante dans la vie courante des entreprises et du politique, le cybercrime prend de l’ampleur. Etes-vous prêt ?

C’est à Malines que F-Secure tenait récemment sa 2e ‘académie’. Dans le public, des clients, des spécialistes indépendants en sécurité et des responsables IT de grandes et petites organisations. Un centre de jardinage, des organismes publics régionaux, des services sociaux, tous étaient venus pour disposer d’une checklist. ” Il existe beaucoup de solutions et de nombreux vendeurs qui proposent chacun leur solution à un problème, explique Aart Jonkers, corporate sales manager Benelux de F-Secure. Tel n’est pas notre but. Notre ambition est d’apprendre à nos clients comment se protéger. ”

êtes-vous une cible ?

Tout qui suit l’actualité sait que la sécurité constitue un défi majeur pour tout responsable IT. Surtout dans les petites entreprises qui disposent de moins de moyens et où le responsable IT doit aussi s’intéresser au marketing. Tout dépend évidemment de l’angle de vue. ” Il faut se poser la question de savoir en quoi votre entreprise peut être une cible, estime Andy Patel, de F-Secure. L’argent ? La propriété intellectuelle ? En cas d’attaque, on songe d’emblée à des criminels ou à des script kiddies. Mais il y a d’autres acteurs comme les pays ou les hacktivists, des gens qui ont un plan et des outils sophistiqués. Reste que chaque entreprise ne sera pas pour autant une cible. ” La PME belge classique ne risque dès lors pas, à nos yeux, d’être la victime d’espions nord-coréens. Mais peut-être est-elle vulnérable à d’autres niveaux. ” Collaborateurs mécontents, concurrents, mais aussi insiders, fait remarquer Patel. Une faille peut très bien se produire parce qu’une personne dans l’entreprise a commis une erreur. ”

La personne qui sait tout risque le burn-out. Et si elle ne décroche pas son téléphone, vous aurez un problème.

Impliquer tout un chacun

Car en effet, les courriels d’hameçonnage fonctionnent bel et bien. ” De 5 à 40 % des utilisateurs cliquent sur un mail de phishing. Et il en suffit d’un seul dans l’entreprise, remarque Martijn Wijnberg de l’entreprise d’e-learning B One development. A l’en croire, le défi consiste surtout à conscientiser les collaborateurs et les maintenir attentifs. ” Nous sommes actifs dans l’e-learning. Autrefois, nous proposions un cours et une campagne de sensibilisation à la sécurité. Ainsi, nous avions réussi à impliquer tout le monde. Mais 2 mois plus tard, personne ne s’y intéressait encore. Car lorsque nous apprenons quelque chose, il y a ensuite une courbe de l’oubli. Il faut alors répéter pour que l’information reste ancrée. Au final, nous visons un changement de mentalité. ” Un changement qui peut passer par des méthodes simples comme des campagnes de mailing lorsqu’un nouveau rançongiciel est détecté ou des solutions plus créatives comme de faux mails d’hameçonnage qui renvoient l’utilisateur vers une page d’information.

Sécurisez aussi le réseau interne

Aucune solution n’est étanche à 100 %. Sécuriser le périmètre ne constitue plus la seule réponse, estiment les experts en sécurité. ” Les serveurs Web, le parefeu et les systèmes ouverts sur l’extérieur sont en général bien sécurisés et sont constamment attaqués, explique encore Andy Patel. Mais n’oubliez pas que le pirate peut aussi provenir de l’intérieur de votre périmètre. Les entreprises ne protègent en général pas leurs systèmes internes avec la même rigueur que les plate-formes qui communiquent avec l’extérieur. ” Et de citer l’exemple des supermarchés Target américains qui se sont vus dérober les données de carte de crédit de 40 millions de leurs clients. ” Tout le système interne était ouvert. Les pirates avaient les coudées franches. Ils pouvaient commander les caisses d’un magasin au départ d’une balance du département boucherie d’un autre magasin. ”

Interdisez le trafic sortant

Autre conseil fréquemment entendu : la protection des données elles-mêmes. ” Nous menons une guerre qui sera difficile à gagner, considère Pieter Van der Hulst de l’entreprise de détection des fraudes I-force. Pour empêcher les ‘méchants’ de pénétrer, nous devons corriger la moindre erreur. Il leur suffit d’une faille, ce qui nous oblige à sécuriser le réseau à 100 %. ” D’où l’importance de faire de la détection, précise encore Van der Hulst. Les pirates veulent nos données. Un pirate qui travaille au départ d’un PC ou même d’un serveur n’est pas un problème en soi, aussi longtemps qu’il n’accède pas à des données. Il faut être rapide pour les trouver et empêcher qu’ils ne partent avec les bijoux de la couronne. ” Quels sont-ils ? Surtout l’active directory, selon Van der Hulst. ” L’AD permet en effet de créer de nouveaux utilisateurs, de supprimer d’anciens utilisateurs, etc. Les dégâts ainsi causés sont immenses. ”

Dès lors, notre interlocuteur plaide pour du monitoring de réseau et du cryptage. Par ailleurs, il convient de veiller à ce que des données ne puissent pas être facilement ‘pompées’ du réseau. ” Comment se fait l’exfiltration de données ? Par courriel, par VPN et même parfois simplement via l’imprimante ou une clé USB. En tant que département IT, il convient de se demander ce qui est autorisé. Ainsi, un collaborateur peut-il utiliser Gmail ? Il s’agit de communications qui passent de manière cryptée par le parefeu sans que l’on puisse vérifier ce qui est crypté. Peut-on l’admettre ? ”

Van der Hulst donne en tout cas ce conseil général : ” Si le vol de données est une préoccupation en tant que chef d’entreprise, vous devez absolument bloquer en standard tout trafic sortant. Au minimum. Vous pouvez ensuite autoriser des protocoles spécifiques, mais c’est un début. Après quoi vous verrez ce qui se passe en cas d’attaque et comment réagir rapidement. Si les pirates pénètrent, ils devront ensuite accéder à d’autres ordinateurs ou aux serveurs. Ils s’en prennent aux données. Veillez également à empêcher tout mouvement latéral. ”

Jump suit

Puis, c’est fait : toutes les alarmes retentissent dans votre salle informatique parce que votre entreprise est piratée. Ou plus réaliste sans doute, quelqu’un met la main sur vos données d’entreprise dans un info dump sur le dark net. ” Il faut en moyenne 8 mois avant qu’une entreprise ne se rende compte qu’elle a été piratée. En général, nous devons même les convaincre qu’elles ont été attaquées “, remarque Tom Van de Wiele, principal security expert de F-Secure. Dans ce cas, le problème est de ne pas paniquer. ” Vous risquez en effet souvent de détruire des preuves. C’est ainsi que nous demandons de n’éteindre aucun ordinateur. La plupart des maliciels restent actifs en mémoire et ne passent pas sur le disque pour ne pas être détectés. En éteignant un PC, vous détruisez toutes les preuves. En revanche, il faut retirer le PC du réseau. Surtout s’il s’agit d’un rançongiciel. ”

Van de Wiele donne quelques conseils pour se préparer au pire. ” Pour analyser un incident, il faut disposer de jump suits, d’une mallette renfermant toutes les procédures et les outils. Celle-ci doit comporter un protocole avec les logiciels utilisés afin de permettre d’examiner l’incident, l’ordre de succession et la méthode d’escalade des décisions. “

ANDY PATEL (F-SECURE) :
ANDY PATEL (F-SECURE) : ” En cas d’attaque, on songe d’emblée à des criminels ou à des script kiddies. Mais il y a aussi des collaborateurs mécontents ou des concurrents. “

Il insiste également sur le fait que, certainement dans les premières heures et jours, tous les faits doivent être listés. ” Et notamment : des personnes sont-elles en danger de mort ? Qu’en est-il de l’activité ? Souvent, un cyber-incident concerne l’aspect financier, mais nous avons aussi connu un incident qui affectait une usine alimentaire où un pirate menaçait de contaminer des denrées alimentaires. C’est autre chose qu’un rançongiciel. ”

Pour mener une enquête correcte, il faut également toujours selon Van de Wiele, de collecter l’ensemble des informations pertinentes. Une IPO a-t-elle récemment eu lieu ? Y a-t-il eu des licenciements ? Et surtout, ne pas tirer de conclusions hâtives. ” Je faisais partie d’une équipe chargée de la gestion d’incidents dans une entreprise qui se disait persuadée d’avoir été attaquée par une administration publique chinoise. Sur tous les ordinateurs, le support de claviers chinois avait été trouvé. Au final, il s’est avéré que l’attaque provenait de Lettonie et que les pirates avaient imaginé une manoeuvre de diversion. Soit une simple macro et quelques lignes de code qui avaient complètement faussé l’enquête. ”

Par ailleurs, il convient de prévoir suffisamment de personnes pour mener l’enquête. ” Une incident response team doit compter au moins 3 personnes, estime Van de Wiele. Impossible de présenter toutes les 2 h un rapport d’état à la direction tout en menant des interviews. Il faut donc désigner un responsable IR, un reporter IR qui collecte toutes les infos et rédige les rapports, ainsi qu’un technical IR qui se charge des enquêtes proprement dites. Et laissez-les faire leur travail en toute tranquillité. ”

Health check

Aucune entreprise n’espère être dans le cas, mais Van de Wiele plaide pour une préparation rigoureuse, au cours de laquelle de très nombreuses informations sont collectées. ” Faites un incident response health check, explique-t-il. Combien de temps faut-il pour produire ce type d’informations ? Où sont les logs ? D’où viennent les logs ? Faut-il un avocat pour accéder à certains logs ? Combien de temps faut-il pour y accéder car sans les logs, impossible de continuer. ”

Enfin, ” veillez à savoir de qui vous avez besoin pour examiner l’incident “, insiste Van de Wiele. ” Car vous allez obliger des personnes à abandonner leur conjoint et leurs enfants. Le sys admin qui doit réaliser l’analyse devra en effet passer jusqu’à 14 h par jour au travail. Et attendrez-vous de lui qu’il soit le lendemain au bureau ? Il y a peu de chance. ” Etonnamment, Van de Wiele insiste fortement sur le côté humain de la crise. Car une entreprise doit pouvoir compter sur chacun de ses collaborateurs dans ces moments difficiles. ” La personne qui sait tout risque le burn-out, affirme-t-il. Et si elle ne décroche pas son téléphone, vous aurez un problème. Il faut donc veiller à avoir toute l’information pour mener à bien l’enquête. ”

Le volet humain de la threat response

” La personne qui nous appelle est en général celle qui est responsable de l’enquête, explique Tom Van de Wiele qui évoque l’activité de réponse aux incidents de F-Secure. Nous nous rendons alors sur place. Une fois la personne rencontrée, nous visitons les lieux et demandons à notre interlocuteur de reprendre ses esprits. Car il évoque souvent d’emblée la direction ou les serveurs, alors que nous voulons savoir comment il se porte. Car il faut éviter le burn-out. Consignez ce qui s’est passé et appelez ensuite à l’aide, mais sachez aussi qui il faut appeler et quand il faut faire une pause. ”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire