CYBERSÉCURITÉ


RECONAISSANCE EXPLOITATION ACCÈS EXFILTRATION OFFUSCATION

1 - INTRODUCTION

La plupart des hackers éthiques ont pour activité le piratage à but lucratif, une activité connue sous le nom de test d'intrusion. À mesure que les menaces changent, les compétences des pirates éthiques évoluent elles aussi, englobant l'ingénierie sociale, le cloud, les réseaux sociaux et les technologies mobiles grand public.

Hacking Éthique

On peut distinguer trois types de hackers : les Black hat, les Grey hat et les White hat (respectivement chapeaux noirs, chapeaux gris et chapeaux blancs en français).

D'autres sous-types existe, mais sont peu ou pas reconnus : les Red Hat, Green Hat et Blue Hat que nous n'aborderons pas ici.

Les Black Hat commettent des attaques d’intrusion non autorisées contre les systèmes d’informations, avec un objectif malveillant (destruction, prise de contrôle, vol...).

D'autre part, les hackers éthiques qui sont appelés White Hat effectuent, légalement, des tests de sécurité suivant un accord contractuel. Leur objectif principal est d'améliorer le système avant qu'un véritable hacker criminel pénètre au sein de l'organisation.

Enfin, les Grey Hat sont ceux qui se situent entre les Whites et les Black Hat et qui exercent leurs activités dans le cadre des lois et règlements légaux, mais peuvent dépasser légèrement ces limites.

Les tests d’intrusion étant une tentative d’immersion autorisée dans le réseau d’une organisation, l’article portera principalement sur les hackers white hat ou hackers aux chapeaux blancs.

Les hackers éthiques sont des experts en sécurité informatique qui ne s’introduisent dans les systèmes informatiques qu’après une mission explicite. L’objectif du piratage éthique est de découvrir les faiblesses des systèmes et infrastructures numériques, d’évaluer les risques de sécurité et de participer de manière constructive à la correction des failles de sécurité découvertes.

Le hacking éthique, également appelé « White Hat Hacking », par opposition au piratage « classique » à des fins criminelles, se concentre principalement sur les points faibles de la programmation et de la conception des logiciels. La transparence comprend généralement une documentation détaillée appelé « rapport de test d'intrusion » et aussi complète que possible, qui comprend la procédure exacte, les résultats et d’autres informations pertinentes sur le piratage éthique.

Le hacking éthique a mis plusieurs années avant de trouver un cadre juridique, le hacking étant, par définition, illégal. Suite à plusieurs cas qui ont fait jurisprudence, la pratique du hacking éthique est désormais protégée en France grâce à la loi n° 2016-1321 du 7 octobre 2016 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033202746/) pour une République numérique.

Cyberguerre

La troisième guerre mondiale a commencé sur la toile internet en 2004. Elle continue encore à ce jour. Face à la montée en puissance de groupes de hackers, surnommés APT (Advanced Persistent Threat), dont certains indices indiquent qu'ils agissent pour le compte d'États étrangers, la Chine pour APT 1 ( L'unité 61398 de l'Armée populaire de libération, basée à Shanghai ), la Russie pour APT 28 ( Fancy Bear, Sofacy Group ou Pawn Storm est un groupe de hackers supposément actif depuis 2004, lié aux renseignements militaires russes ) et APT 29 ( Cozy Bear est un groupe de hackers lié aux renseignements russes, notamment le FSB. Il cible des gouvernements, des partis politiques, des entreprises ), la France n'a d'autres choix que de perfectionner ses troupes spécialisées " ComCyber, cellule Richelieu ou encore la réserve citoyenne de cyberdéfense ".

Le SGDSN (secrétariat Général de la Défense et de la Sécurité Nationale) préconise également que le G20 et l'OCDE s'emparent du sujet cyber pour éviter tout risque d'escalade, car il ne faut pas oublier que le conflit à l'œuvre dans le cybermonde peut à tout moment dégénérer en conflit dans le monde réel, nous en avons eu la démonstration lors de l’attaque informatique contre l’Estonie par la Russie rendue publique en juin 2007.

Vol de données

En utilisant le moteur de recherche Google, que l'on interroge au moyen de plusieurs mots-clés, il est possible d'accéder fortuitement, en raison d’une faille de celui-ci, à une foule innombrable de données personnelle non protégées. Un individu pourrait alors télécharger ces données et les diffusées ensuite à des tiers (les vendre, les échanger, les mettre en ligne sur un site quelconque). L'on pourrait croire que le délit d’accès frauduleux serait alors punis par la loi, mais l’incrimination de vol est inadaptée aux faits qu’on lui reprocherait, en l’absence de protection des données qu’il aurait copiées. Cependant, la loi relève que, au vu des constatations, l’intéressé « s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci n'était pas protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire », et approuverait ainsi la condamnation.

L'affaire (dite Bluetouff, d’après le pseudonyme de l’utilisateur) a ainsi donné lieu à un arrêt, qui retient une solution à l’intérêt manifeste : le vol peut consister à télécharger des données informatiques, à distance, sans s’emparer de leur support. Mais il convient néanmoins d’examiner l’adéquation et la pertinence de la qualification de vol dont ceux-ci ont été revêtus.

Les risques encourus sont nombreux, certains se retrouvent endettés à leur insu, avec des crédits et des huissiers devant leurs portes du jour au lendemain, d'autres se voit refuser l'accès à des assurances, à un emploi, etc.


Voici les principaux vols de données personnelles depuis 2013. Certaines de ces sociétés stock sur leurs serveurs des données bancaires et personnelles de leurs clients.


  • Yahoo : en 2013, 3 milliards de comptes utilisateurs.

  • Adobe : en 2013, 38 millions de comptes utilisateurs.

  • Twitter : en 2013, 250 000 de comptes utilisateurs.

  • Orange : en 2014, 1,3 millions de comptes utilisateurs.

  • Ebay : en 2014, 145 millions de comptes utilisateurs.

  • Ashley Madison : en 2015, 32 millions de comptes utilisateurs.

  • Tumbl : en 2016, 65 millions de comptes utilisateurs.

  • Linkedin : en 2016, 100 millions de comptes utilisateurs.

  • MySpace : en 2016, 427 millions de comptes utilisateurs.

  • Dropbox : en 2016, 68 millions de comptes utilisateurs.

  • Uber : en 2017, 57 millions de comptes utilisateurs.

  • Instagram : en 2017, 6 millions de comptes utilisateurs.

  • Capital One : en 2019, 106 millions de comptes utilisateurs.

  • Données Médicales issues d'une trentaine de laboratoires français : en 2021, 500 000 données personnelles relevant du secret médicales.

Veille informationnelle

Le domaine de l’informatique en général est un domaine en constante évolution. Chaque jour, de nouveaux risque et de nouvelles failles de sécurité sont découverts, mettant toujours plus en péril vos données et vos systèmes.

La veille informationnelle ou veille scientifique est une démarche itérative visant à surveiller l’environnement technologique, pour en anticiper les évolutions, il s’agit donc de surveiller l’actualité. En cybersécurité, cela est d’autant plus important, car se tenir au courant permet d’apporter à ses clients, des réponses adaptées aux problèmes de sécurité actuels. Ou simplement de se tenir aux courants des dernières menaces pour mieux s’en protéger.


Voici une petite liste de flux RSS que je suis pour me tenir informé.


  • Zataz : site web français d'information traitant principalement de la cyber criminalité.

  • Exploit Database : plate-forme visant à collecter, maintenir et diffuser des informations sur les vulnérabilités de sécurité informatique découvertes.

  • CERT : centre d'alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations.

  • CNIL : autorité administrative indépendante française de régulation des données personnelles.

  • ANSSI : autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.

  • NVD : référentiel du gouvernement américain des données de gestion des vulnérabilités basées sur des normes représentées à l'aide du protocole Security Content Automation Protocol.

Emplois

Le domaine de la cybersécurité subit une pénurie de compétences en France et partout dans le monde, deux millions d’emplois seraient à pourvoir, de l’ordre de 10 candidats pour 100 offres. Un hacker professionnel gagne en moyenne 70 000 euros brut par an pour un indépendant et 40 000 euros brut pour un salarié.

L’ANSSI a élaboré une liste de profils métiers dans le domaine de la cybersécurité. Elle présente de façon simple et concrète les grands métiers (https://www.ssi.gouv.fr/particulier/formations/profils-metiers-de-la-cybersecurite).

Si vous êtes jeune et étudiant, vous pouvez vous orienter vers une école, si vous êtes demandeur d’emplois, vous pouvez demander la liste des organismes de formations, si vous êtes expérimenté et que vous avez les moyens financiers alors vous pouvez passer les certifications avec Akaoma (https://www.akaoma.com/formation/ceh-certified-ethical-hacker/certification-ceh-france) ou EC-Council (https://www.eccouncil.org).

Il est possible de devenir hacker professionnel en passant par des voix secondaires, certains prennent le chemin de l’administrateur système et réseau, d'autres passeront par le développement.

Le monde professionnel de la cybersécurité n’est pas un monde fermé, il demande cependant de réelles compétences et surtout une grande motivation.

Pour ma part, je suis un profil atypique (ni diplôme, ni certification), je suis passionné depuis l'âge de 9 ans et j'ai acquis les connaissances dans l'attention et le temps que j'ai voué à cette passion et aujourd'hui, je fais le plus beau métier du monde.

Si vous aussi vous êtes passionné et que vous vous donné au maximum alors mon parcours pourrait bien devenir le vôtre. Montrez vos capacités sur des challenges, partagez votre savoir, aidez d'autres à évoluer et alors un jour, on vous remarquera.

Conclusion

En ces temps de cybercriminalité croissante, le hacking éthique est une stratégie de prévention recommandée, vie privée, données médicales ou bancaires, nos modes de production (informatique d’entreprise ou équipements industriels) et la défense du territoire national. La cybersécurité est donc une nécessité vitale pour nos collectivités.

La sécurisation informatique passe par la responsabilisation de l’ensemble de ses utilisateurs, il convient donc de diffuser une culture de la cybersécurité auprès de l’opinion publique, pour en faire un consommateur de technologies responsable, conscient de l’ampleur de la menace potentielle.

Être un hacker, pour une personne passionnée et du temps passé ce n’est pas impossible. Le niveau d’un hacker selon moi repose sur le temps et l’attention qu’il donne à sa passion et de son expertise dans les domaines de l'ingénierie sociale et de la rétro-ingénierie, qui demandent une certaine prédisposition.


2 - OBJECTIFS

L'objectif premier du hacker éthique est d'analyser les infrastructures informatiques pour tester leurs vulnérabilités. Son activité permet ainsi aux entreprises de détecter les failles de leur système pour leur permettre de mieux se protéger ou anticiper d'éventuelles attaques.

Défense

L’objectif d’un hacker éthique, c’est la défense. Lors d’un audit de sécurité en entreprise, il n’est pas rare d’entendre parler du terme blue team, qui désigne l’équipe chargée de défendre la cible. Voici les points qu'un hacker éthique doit respecter pour sécuriser un système ou un réseau et qui sont les bases fondamentales de la sécurité informatique.


  • Confidentialité : seules les personnes autorisées peuvent avoir accès. Tout accès indésirable doit être empêché.

  • Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante.

  • Disponibilité : le système doit fonctionner sans failles durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendue.

  • Traçabilité : garantie que les accès et tentatives d'accès sont tracés et que ces traces sont conservées et exploitables.

  • Non-Répudiation : personne ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées et ne doit pouvoir s'attribuer les actions d'un autre utilisateur.

  • Authentification des utilisateurs : définis des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, l’identité d’un utilisateur.

  • Authentification des données : définis des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, la source d’une donnée stockée.

  • Contrôle des accès : définis des mécanismes de contrôle et de journalisation "log" de l’utilisation d’un système d’information ou des données qu’il contient.

Attaque

Connaître la méthodologie d’une attaque est important. Un hacker éthique doit apprendre l'attaque pour mieux se défendre et c’est d’ailleurs le slogan même du hacker éthique. On parlera dans ce cas de red team dans un contexte d’entreprise et qui sera l’équipe chargée d’attaquer la cible lors d’un audit de sécurité.


  1. Reconnaissance passive : la reconnaissance passive se fait sans interaction avec la cible, il s’agit de recueillir un maximum d’informations dans le domaine public (site web, réseaux sociaux...).


  2. Reconnaissance active : la reconnaissance active se fait de manière plus intrusive (appel téléphonique, envois de mail, scan de réseaux, recherche de vulnérabilité, filature). Ce type de reconnaissance peut être détectable par la cible.


  3. Gain d’accès : grace aux étapes précédentes, il est maintenant possible de déterminer la manière d’obtenir l’accès au système ou au réseau de la cible. Le plus souvent, cet accès est sans privilège administrateur et demandera donc une élévation de privilège.


  4. Élévation de privilège : cette étape consiste à passer du plus bas niveau de droit sur le système au plus haut niveau, voire même plus haut que celui de l’administrateur dans certains cas.


  5. Maintien d’accès : l’étape de gain d’accès n’est pas toujours suffisante, car elle donne un accès seulement temporaire, qui sera perdu en cas de perte de connexion sur le système ou le réseau. Il est donc primordial d’y créer une porte dérobée qui permettra alors d’obtenir un accès permanent même après déconnexion de ce dernier.


  6. Offuscation : cette étape consiste à effacer toute trace de scanning et de gain d’accès et ainsi ne pas éveiller les soupçons afin de pouvoir continuer à exploiter le système ou le réseau de la cible.


  7. Attaque ou Exfiltration : vient le moment de l’attaque ou de l’exfiltration de données qui consiste à télécharger les données trouvées sur le système ou le réseau de la cible.


  8. Offuscation : le but cette fois sera de perturber l’investigation en effaçant toute trace ou par la désinformation.

Vecteurs

Voyons un peu du côté des vecteurs d’attaques. Même si les techniques pour y arriver sont multiples et évoluent, nous allons classer les vecteurs par catégorie. Cela viendra affiner notre plan d’action l’hors de la défense, car nous pourrons ainsi nous référer aux vecteurs d’attaque possibles suivant la situation.


  • Physique : ou intrusion environnementale. Filature, intrusions dans un bâtiment, un appartement, une voiture, attaque de périphériques (ordinateurs, smartphones, etc.).

  • Internet : l’attaque provient d’Internet, qu'il s’agisse de campagnes d’hameçonnage "phishing", de sites web malveillants, etc.

  • Réseau interne : l’attaque est faite depuis le réseau local. L’attaquant est déjà connecté au réseau de l'entreprise.

  • Réseau externe : l’attaque provient du réseau externe. L’attaquant n’a pas accès au réseau de l'entreprise.


3 - ANALYSE DE RISQUES ET AUDIT DE SÉCURITÉ

L'analyse de risques et l'audit de sécurité sont des outils complémentaires et sont régis par des méthodes spécifiques à chaque cas. La démarche final étant d'adopter une spirale évolutive d'analyse, de remédiation et de test dans le but de déceler et de réduire les risques et les vecteurs d'attaque.


Analyse de risques et audit de sécurité

Analyse de risques

Les méthodes d'analyse de risques peuvent varier suivant l'étape du projet, la typologie du système ou de l'infrastructure à auditer.


  • MARION : la méthode d'analyse de risques informatiques orientée par niveau situe l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au niveau atteint par les entreprises similaires.

  • EBIOS : l'expression des besoins et identification des objectifs de sécurité est plus adaptée à un système ou une infrastructure en cours de conception, ou bien à une partie d'un système ou d'une infrastructure existante.

  • MEHARI : la méthode harmonisée d'analyse des risques répond aux lignes directrices édictées par la normes ISO 27005.

Audit de sécurité

Des audits sont nécessaires, suite à la mise en place initiale d'une politique de sécurité, puis régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages restent conformes aux procédures. L'audit de sécurité se fait avec pour référence les lignes directrices appelées normes ISO.


  • Audit Périmétrique : l'audit périmétrique permet de déterminer la valeur des informations disponibles dans le domaine public (site web, réseaux sociaux) afin de minimiser le résultat d'une reconnaissance passive.

  • Audit du système : l'audit du système permet de déterminer le niveau de vulnérabilité du système ou de l'infrastructure vue de l'intérieur (poste utilisateur, réseau.) afin de réduire les risques d'une attaque par le réseau interne ou externe.


4 - TEST D'INTRUSION

Un test d’intrusion consiste à tester la sécurité d’un système informatique en effectuant des attaques dans le but d’identifier les vulnérabilités du système et de proposer des correctifs de sécurité. Les tests d’intrusion et les tests de vulnérabilités diffèrent de par leurs objectifs. Le test d’intrusion va plus loin. C’est une méthode d’audit de sécurité éprouvée plus complète, qui permet de mesurer l’impact réel de tout type de faille.

Test d'intrusion black box

Black Box

Le test d'intrusion en boite noire est effectué sans information sur le système ou l'infrastructure en dehors du nom de l'entreprise. Il permet de se mettre à la place d'un attaquant externe.

Test d'intrusion grey box

Grey Box

Le test d'intrusion en boite grise est effectué avec un minimum d'informations sur le système ou l'infrastructure de l'entreprise. Il permet de se mettre à la place d'un collaborateur mal intentionné.

Test d'intrusion white box

White Box

Le test d'intrusion en boite blanche est effectué directement dans le système ou l'infrastructure de l'entreprise avec toutes les informations nécessaires. Il permet de détecter un maximum de vulnérabilités.

Normes et méthodologies de tests d'intrusion

Les résultats d’un test d’intrusion varient en fonction des normes et méthodologies sur lesquelles ils s’appuient. Ainsi, l’utilisation des normes et des méthodologies à jour constitue une option viable pour les entreprises qui doivent sécuriser leurs systèmes et corriger leurs vulnérabilités.


  • OWASP : l’Open Web Application Security Project est la norme la plus reconnue. Le standard OWASP fournit une méthodologie pour les tests d’intrusion d’applications permettant non seulement d’identifier les vulnérabilités que l’on retrouve couramment dans les applications Web et mobiles, mais également qui découlent de pratiques de développement non-sécuritaire.

  • NIST : le National Institute of Standards and Technology garantit que les entreprises se conforment à leurs obligations en matière d’évaluation de la cybersécurité en atténuant les risques d’une cyberattaque par tous les moyens possibles.

  • PTES : la Penetration Testing Methodologies and Standards. En suivant cette norme de test d’intrusion, les spécialistes en test se familiarisent le plus possible avec l’entreprise ainsi que son contexte technologique avant de se concentrer sur l’exploitation des zones potentiellement vulnérables, leur permettant d’identifier les scénarios les plus avancés d’attaques qui pourraient être tentés.

  • OSSTMM : l'Open Source Security Testing Methodology Manual fournit une méthodologie scientifique pour les tests d’intrusion réseau. Cette norme contient un guide complet pour les spécialistes en test d’intrusion afin d’identifier les vulnérabilités en termes de sécurité au sein d’un réseau sous divers angles potentiels d’attaque. Contrairement à la majorité des manuels de sécurité, cette norme a également été créée pour soutenir les équipes de développement réseau. Une majorité de développeurs et d’équipes informatiques basent leurs pare-feu et leurs réseaux sur ce manuel ainsi que sur les lignes directrices qu’il fournit.

  • ISSAF : l'Information System Security Assessment Framework. Cette norme s’adresse à toutes les étapes du processus. Les spécialistes en test d’intrusion qui utilisent une combinaison de différents outils trouvent cette norme particulièrement pertinente, car ils peuvent lier chaque étape à un outil particulier. Pour chaque zone vulnérable de votre système, la norme offre des informations complémentaires, divers vecteurs d’attaque et présente aussi les résultats possibles lorsqu’une vulnérabilité est exploitée.

Phases de test d'intrusion

Un test d'intrusion se décompose en 3 phases :


  1. Phase d'initialisation : un test d'intrusion commence par une phase d’initialisation dont les étapes sont généralement les suivantes.

  1. Présenter les différents intervenants, leurs rôles, responsabilités, et leurs disponibilités.

  2. Valider les aspects contractuels et légaux relatifs au test (NDA, mandat d'autorisation, contrat).

  3. Valider le périmètre et les scénarios du test.

  4. Préciser les conditions particulières du test (Ex. Plage horaire spécifique pour certains tests).

  5. Communiquer des informations techniques.

  6. Définir les moyens de communication (Ex. Téléphone, message chiffré) et les modalités d’alerte en cas de problème.

  1. Phase de test : lors de la phase de test, le ou les intervenants réaliseront différents scénarios d'attaques visant à compromettre un système informatique. Le test d'intrusion s'inscrit dans un processus itératif en 5 étapes.

  1. Reconnaissance

  2. Exploration

  3. Accès

  4. Exfiltration

  5. Offuscation

  1. Phase de restitution : l'intégralité du déroulement du test et de ses résultats est consignée dans un document communément appelé "rapport de test d'intrusion" ou "livrable".

Rapport de test d'intrusion

Le rapport de test d'intrusion contient le résultat des recherches et du pentest. Il sera remis au client pour servir de guide lors de la remédiation des vulnérabilités que le hacker aura trouver. Il doit être rédigé par le pentester au fur et à mesure des recherches et du pentest pour ne rien oublier. Il sert aussi de support pour le pentester lors du test d'intrusion pour suivre une stratégie ou l'historique de l'attaque.


Composition d'un rapport de test d'intrusion :


  • Résumé managériale : il s'adresse à un public non-technique. Il décrit les enjeux liés aux éventuels problèmes de sécurité détectés lors du test. Il contient le minimum de références techniques nécessaires à la compréhension des problématiques soulevées et met l’accent sur le traitement des risques et les aspects stratégiques.

  • Rapport détaillé : il s'adresse à un public technique en présentant l'intégralité des résultats obtenus lors du test ainsi que les moyens utilisés (Ex. Outils, méthodes). Au regard des vulnérabilités découvertes, des recommandations seront proposées afin de traiter les risques avec des critères permettant de prioriser les actions selon leur criticité et leur coût.


Mise en forme d'un rapport de test d'intrusion :


  • Destinataire : le contenu doit être en adéquation avec le niveau technique et de compétence du destinataire.


  • Présentation :

  1. Il doit être au format PDF non-modifiable.


  2. Il doit impérativement être signalé comme document confidentiel avec filigrane sur chaque page.


  • Structure :

  1. Le sommaire : comme dans tout document assez long, il est conseillé d'avoir un sommaire pour une meilleure appréhension de la structure et faciliter sa lecture.


  2. Le contexte et le périmètre : il est bon de rappeler la raison pour laquelle le test a été effectué, et le périmètre du test d'intrusion, par exemple les adresses IP qui ont été testées.


  3. Les conditions du test : il est bien expliqué qu'il existe plusieurs types de tests d'intrusion (boîte noire, boîte grise, boîte blanche). Il est important de préciser lequel de ces tests a été effectué.


  4. La méthodologie : il existe plein de méthodologie de test d'intrusion (OWASP, PCI, Penetration Testing Execution Standard, OSSTMM, etc.). Il peut être intéressant pour les lecteurs de savoir quelle méthodologie a été choisie. À défaut, il faut indiquer le processus de test qui a été suivi.


  5. Les axes d’évaluation : souvent, les 3 axes d'évaluation utilisés pour qualifier les vulnérabilités ne sont pas forcément intuitifs. Il est bon de les expliquer pour que le lecteur comprenne plus facilement.


  6. Les résultats du test : la plupart du temps sous forme de tableau, il est présenté comme un listing des vulnérabilités trouvées, avec les différentes informations les qualifiantes.


  • Tableau de synthèse

Utiliser une synthèse récapitulant le nombre de vulnérabilités trouvées en fonction :


  • De la sévérité.

  • De la difficulté de correction.

  • Du niveau de priorité de correction.


SÉVÉRITÉ
DIFFICULTÉ DE CORRECTION
NIVEAU DE PRIORITÉ
HAUTE 1 COMPLEXE 2 URGENT 4
MODÉRÉE 3 MODÉRÉE 4 STANDARD 4
ACCEPTABLE 5 FACILE 3 BAS 1

5 - GESTION DES INCIDENTS

Les incidents de cybersécurité représentent un risque qui doit être intégré à la politique de gestion des risques d'une entreprise. Gérer les incidents ne se limite pas à apporter une réponse au moment de l'incident.


Voici les étapes de préparation en vue d'un incident de cybersécurité :


  • Élaborer un plan de réponse à incident : il vise à limiter les dommages, réduire les coûts et le délai de reprise et à communiquer avec les parties prenantes internes et externes.

  • Créer une équipe de gestion des incidents : la taille et la structure de l'équipe chargée de la réponse en cas d'incident dépendent de la taille de l'entreprise. Les petites entreprises ne disposant pas des ressources leur permettant de mettre sur pied une telle équipe peuvent designer un premier intervenant doté d'un pouvoir décisionnel parmi leur personnel (en cas d'incident de cybersécurité, cette personne doit solliciter une aide externe, mais reste la personne responsable de la réponse à incident au sein de l'entreprise.).

  • Faire appel à des consultants en cybersécurité : il peut être plus rentable de faire appel à des partenaires externes dans le domaine de la réponse à incident de cybersécurité pour palier au manque de compétences spécifiques notamment en matière d'informatique légale et d'investigation forensique.

  • Équiper l'entreprise pour la gestion d'incidents : améliorez l’efficacité de l'équipe chargée de la réponse en aillant recours à des systèmes et des outils autonomes permettant de prendre en charge un incident de cybersécurité.

  • Préparer une stratégie de communication : le contrôle des flux de communication est vital pour assurer que les informations sont transmises au bon moment, au bon destinataire, par le bon émetteur. Tant pour les communications internes que pour celles vers le monde extérieur (services juridiques, relations publiques, clients, fournisseurs).

  • L'assurance cyber risques : le contrôle des flux de communication est vital pour assurer que les informations sont transmises au bon moment, au bon destinataire, par le bon émetteur. Tant pour les communications internes que pour celles vers le monde extérieur (services juridiques, relations publiques, clients, fournisseurs).

Plan de réponse à incidents

L'entreprise doit être capable de réagir rapidement en cas d'incident de cybersécurité. Cela demande l'élaboration d'un plan de réponse à incidents (méthode documentée de gestion des incidents, vulnérabilités et failles de sécurité informatique) qui doit être intégré aux processus organisationnels existants.


Voici les étapes d'un plan de réponse :


  1. Préparation : elle porte généralement sur les conséquences en cas de violation de la sécurité et des définitions de ce que l’on entend par incident de sécurité. Définissez un guide par étape de la façon dont l’équipe de gestion des risques doit gérer un incident de sécurité, y compris comment elle doit documenter les incidents et les communications internes et externes.


  2. Détection et identification : il pourrait s’agir d’un type de problème spécifique comme « j’ai trouvé un clé USB par terre » ou l’émission d’une alerte « Attaque par force brute détectée ». Le plan de réponse peut également être déclenché par une accumulation de circonstances.


  3. Confinement : il existe deux types de confinement long et court. Le confinement à court terme est une réponse immédiate qui permet d’empêcher la menace de se propager et de faire davantage de dégâts. Sauvegardez tous les systèmes affectés pour enregistrer leurs états en cours en vue d’un examen détaillé. Le confinement à long terme inclut le retour en production de tous les systèmes pour revenir à un fonctionnement normal, mais sans les comptes et backdoors qui ont permis l’intrusion.


  4. Enquête : l'enquête forensique doit être effectuée avant l'éradication. Si vous ne disposez pas de l'expertise nécessaire en interne faites appel à des experts en cybersécurité.


  5. Éradication : mettez en place un processus de restauration de tous les systèmes affectés. Le rétablissement d’une image sur tous les systèmes concernés par l’incident et la suppression de toutes les traces de l’incident peuvent constituer un bon point de départ. Ces étapes doivent inclure les informations spécifiques sur le logiciel de clonage de disque et les images validées par votre entreprise. Pour terminer, mettez à jour vos systèmes de défense pour éviter que ce type d’incident de sécurité ne se reproduise.


  6. Reprise : déterminez comment remettre tous les systèmes en production après avoir vérifié qu’ils sont propres et dépourvus de tout élément suspect pouvant entraîner un nouvel incident de sécurité.


  7. Communication : élaborez une stratégie de communication en cas d'incident de cybersécurité.


  8. Suivi et clôture : passez en revue la documentation de l’incident avec l’équipe de gestion des risques pour en tirer des enseignements. Actualisez le plan de réponse aux incidents en fonction des retours et de toute lacune identifiée.

Enquête Forensique

Si l'entreprise victime d'une attaque de cybersécurité veut identifier l'auteur de l'attaque pour le poursuivre, la préservation des preuves est primordiale pour pouvoir effectuer une investigation forensique.


Voici les principaux axes d'une investigation :


  • Déterminer la réalité de la fraude : la justice ne se basant que sur les faits objectifs, il est nécessaire d'apporter la preuve d'un fait, d'un préjudice et d'un lien de causalité. Ce constat permet également de manière préliminaire à l'expert chargé de l'investigation de juger de la légitimité du mandat à diligenter une investigation forensique.

  • Déterminer l'origine de l'attaque : l'attribution de l'attaque est souvent un point crucial de l'investigation, car cela permet de comparer le mode opératoire avec les bases de connaissances existantes et de vérifié l'existence d'autres attaques similaires.

  • Déterminer la motivation de l'auteur : financier, social ou personnel, le mobile d'une attaque permet de mieux cerner la personnalité et l'environnement de son auteur.

  • Déterminer le vecteur de l'attaque : il permet de déterminer de quelles informations disposait l'auteur de l'attaque, pour chercher ou il a pu se les procurer.

  • Déterminer les responsabilités : la connaissance des motivations, du déroulé et des auteurs de l'attaque permet de déceler les failles humaines et les techniques utilisées pour sa mise en œuvre.


6 - APPROCHE SYSTÉMIQUE

L'approche systémique en cybersécurité résulte en une boucle continue comprenant :


  1. L'évaluation de la sécurité : menée à l'aide d'audit de vulnérabilité et de test d'intrusion.


  2. L'analyse des risques : et l'élaboration d'une politique de sécurité.


  3. L'architecture et le déploiement : d'une infrastructure solide avec des outils adaptés.


  4. La surveillance : permanente du système et des événements intervenant dans le système assurant son maintien en condition de sécurité et permettant de détecter au plus vite les incidents.


  5. La gestion de crise : permettant de réduire l'impact des agressions et de minimiser les dommages.


Approche systémique en cybersécurité