Les appels au support se multiplient, les outils de sécurité vous inondent d’alertes, le système d’information de l’entreprise ne répond plus… Pas de doute, votre organisation est en proie à une cyberattaque.
« La question n’est plus : est-ce qu’on va être attaqué, mais quand ». Si vous êtes un professionnel de la cybersécurité, vous avez dû lire cette phrase à de nombreuses reprises. Mais cette fois, vous savez quand, et c’est maintenant !
Ce que vous ne savez peut-être pas en revanche, c’est comment réagir face à une telle attaque, alors que votre informatique est paralysée, et par là même, l’activité de votre entreprise. La mauvaise nouvelle est qu’il n’existe pas de solution universelle pour résoudre ce type de situation, tant chaque entreprise et chaque système d’information sont différents.
La bonne nouvelle, c’est qu’il existe une méthodologie éprouvée qui affiche un taux de réussite d’aide à la récupération de 97 %.
Le 112 de la cyberattaque
Nous avons mis en place chez Dell un service de réponse aux incidents et récupération pensé pour ce genre de situation. Une organisation peut ainsi à tout moment, qu’elle soit cliente Dell ou non, appeler notre équipe d’experts en cybersécurité pour obtenir de l’aide en cas de cyberattaque. Nous avons accompagné des dizaines d’organisations victimes d’incidents cybers, avec une série de bonnes pratiques que nous adaptons aux contraintes particulières de chaque entreprise.
Pour obtenir de l’aide en cas de cyberincident :
01 73 43 17 21 – incident.recovery@dell.com
Lorsqu’une organisation appelle le numéro d’urgence pour les cyberattaques, elle est immédiatement mise en relation avec un support de niveau 1, qui va collecter les premiers éléments d’information pour comprendre le contexte (identité de l’entreprise, ampleur de l’attaque, etc.) et les communiquer à l’équipe IRR (Incident Response and Recovery), qui, en moins de deux heures, va prendre contact à son tour avec l’organisation afin de préciser davantage les besoins (la typologie des infrastructures, les actions déjà mises en œuvre, les éventuels partenaires impliqués, les sauvegardes existantes, etc.), estimer les ressources nécessaires à la résolution du problème et proposer une offre de service sur-mesure.
Une réponse agnostique et flexible
Ce premier travail de cadrage va permettre de déterminer quels experts seront les plus à même de résoudre l’incident. Les pirates exploitent toutes les failles possibles, quel que soit le type d’infrastructure. C’est pourquoi l’assistance technique doit elle aussi être parfaitement agnostique, que ce soit en termes de marques ou de technologies.
Nous avons au sein de l’équipe des spécialistes de la cybersécurité bien sûr, mais également des experts en virtualisation, réseau, stockage, cloud, backup, Active Directory, poste de travail, etc. Des profils très divers, qui peuvent travailler en présentiel ou à distance, toujours selon les besoins de l’organisation, et intervenir rapidement partout dans le monde.
Nous pouvons ensuite dérouler le plan d’action pour une récupération complète des systèmes. Le maître-mot ici reste la flexibilité. Nous disposons d’une méthodologie que nos experts peuvent délivrer de bout en bout en prenant en charge les opérations. Nous pouvons également laisser davantage la main aux équipes internes du client ou même collaborer avec ses partenaires ; en apportant du conseil et de l’accompagnement.
Enfin, nos experts peuvent exploiter les outils en place chez le client ou utiliser nos propres outils le temps de l’intervention.
Traquer les intrus
Il est également important de comprendre que toutes les différentes étapes de cette méthodologie ne se déroulent pas en séquentiel, mais bien en parallèle : threat hunting, éradication, reconstruction, forensics, renforcement. L’objectif est de permettre à l’entreprise de redémarrer le plus rapidement possible, tout en mettant en place une sécurité renforcée pour éviter que l’incident ne se reproduise.
Les étapes de threat hunting et de forensics consistent à récupérer un maximum d’informations (télémétrie, logs, etc.) pour analyser l’attaque, détecter l’ensemble des menaces qui se dissimulent au sein du SI et comprendre comment les pirates sont parvenus à entrer. Certaines entreprises ont déjà identifié la faille, quand d’autre ont besoin d’aide pour remonter le fil. Cette compréhension est essentielle pour l’étape d’éradication, qui vise à assurer que les intrus ne soient plus présents dans les systèmes et que l’attaque ne soit pas relancée lorsque les machines seront redémarrées et le réseau réouvert.
La reconstruction ne vise pas simplement à restaurer l’existant, mais à doter l’organisation d’un niveau supérieur de sécurité.
Reconstruire sur de nouvelles fondations
En parallèle de ce travail d’investigation et de nettoyage, la reconstruction des machines peut commencer afin de fournir une infrastructure fonctionnelle et sûre pour redémarrer au plus vite les systèmes les plus critiques. Cette reconstruction ne vise pas simplement à restaurer l’existant, mais à doter l’organisation d’un niveau supérieur de sécurité et en renforçant les capacités de monitoring et de détection et en assurant la mise en conformité avec la directive européenne de cybersécurité NIS 2 et les préconisations de l’ANSSI.
Enfin, au-delà des questions purement techniques, une cyberattaque implique également des obligations légales et des démarches auprès des assureurs. Pour cela, des rapports d’incident devront être fournis et notre méthodologie comprend un accompagnement dans ces différentes communications.
La meilleure des réponses : l’anticipation
Évidemment, pour répondre le plus efficacement possible à une situation d’urgence, la meilleure stratégie reste l’anticipation. Si vous êtes encore dans le cas où « vous savez que vous serez attaqué, mais vous ne savez pas quand », vous pouvez vous préparer ! Le service Incident Recovery Retainer se décompose en deux phases. La première est un forfait de 40 heures pour passer en revue l’ensemble du système d’information : les infrastructures en place, les interdépendances entre les sites, les outils et méthodes de sauvegarde, les cyber-assurances, la gouvernance, etc. Un minutieux travail d’analyse qui va servir dans un premier temps à effectuer des recommandations d’amélioration pour la sécurité du SI, mais aussi à accélérer considérablement la phase 2.
Cette deuxième phase intervient lorsqu’une attaque se produit. Tous les mécanismes du service de réponse aux incidents et récupération se déclenchent alors, à ceci près que le SI et l’organisation sont déjà parfaitement connus des intervenants. Ces derniers peuvent alors immédiatement passer à l’action, grâce à un forfait de 120 ou 240 heures de prestation prépayées. Sans cette action proactive, l’étape d’analyse peut nécessiter 24 heures en moyenne. Et lorsque l’activité est à l’arrêt, chaque heure de perdue peut avoir un impact business très important. Mieux vaut prévenir !