Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Lutte contre la cybercriminalité, gestion de crise : un changement de posture s’impose

octobre 2013 par Emmanuelle Lamandé

Cybercriminalité, notification des incidents, cyberassurance, détection et réaction face aux attaques… Autant de sujets que le RSSI doit adresser dans un programme cohérent de lutte contre la cybercriminalité. L’enjeu principal ? Impliquer les métiers, de la communication au juridique en passant par la relation client, pour limiter les impacts au maximum. Mais comment revoir sa gestion de crise et mettre en œuvre une stratégie complète face à ces nouvelles menaces ? Marion Couturier et Gérôme Billois, Senior Managers, Risk Management et Sécurité chez Solucom, nous livrent leurs conseils à l’occasion des Assises de la Sécurité.

La cybercriminalité évolue au rythme de motivations toujours plus larges, explique Marion Couturier : raisons idéologiques, gains financiers, déstabilisation entre états, ou encore obtention de capacités d’attaque, comme par exemple pour l’attaque visant RSA.

Les attaques évoluent également en tant que telles. On observe trois familles d’attaques : les attaques diffuses, les attaques opportunistes et les attaques ciblées. Ces dernières nécessitent une posture différente à adopter des deux premières catégories. En effet, les secteurs et entreprises vont être touchés pour la valeur même de leurs données. Ces attaques sont extrêmement rapides ; 84% d’entre elles réussiraient en moins d’une journée. Il faudrait, cependant, 432 jours en moyenne pour détecter une attaque ciblée. Sans compter dans 63% des cas ces attaques seraient signalées par un tiers.

Les conséquences financières restent, quant à elles, difficiles à évaluer, entre les coûts liés à la gestion de crise, à la communication, à la remédiation... D’autant que ces coûts grimpent très vite en fonction du contexte, de la durée, mais aussi si la notification d’une atteinte aux données à caractère personnel s’impose. Les observations de Solucom sur le terrain montrent que les incidents cybercriminels importants entraînent des coûts directs liés à la gestion de crise et de remédiation dont le montant varie généralement de 5 à 30 millions d’euros par événement.

Les états réagissent, de leur côté, en alliant contraintes et support, avec par exemple :
- Le projet de règlement européen pour ce qui est de la protection des données à caractère personnel ;
- Le projet de loi de programmation militaire, afin d’assurer la protection de l’état et des opérateurs d’importance vitale (OIV) ;
- La loi sur le secret des affaires pour protéger les entreprises en cas d’atteinte à leur SI.

Qu’en est-il au niveau des entreprises ? Comment peuvent-elles construire une solution adaptée face à ces menaces et construire leur propre puzzle de lutte contre la cybercriminalité ? Marion Couturier conseille trois étapes aux entreprises pour les aider dans cette démarche :

- Tout d’abord, évaluer votre exposition face à la cybermenace. Dans quel secteur évoluez-vous ? Quel est votre positionnement ? Quels sont vos actifs qui ont une valeur pour les attaquants ? Vos clients et partenaires augmentent-ils l’attractivité de votre entreprise ? L’objectif est clairement ici d’identifier ce qui pourrait motiver les cybercriminels à attaquer votre entreprise et donc d’évaluer votre attractivité.

- Il apparait également essentiel que l’entreprise mette sur pied un exercice de crise. Pour elle, il s’agit également d’un excellent outil de sensibilisation et d’adhésion des gens dans l’entreprise , et donc de prise de conscience. Pour cela, il faut, bien entendu, choisir un scénario concret et pertinent en fonction du contexte de l’entreprise.

- La cyberassurance s’avère être une solution émergente, mais qui mérite d’être étudiée. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyberassurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. Par contre elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyberassurance : en ai-je réellement besoin, notamment dans mon domaine d’activité et par rapportnà mon exposition ? Si oui, de quel type de cyberassurance ? Quelles doivent être les conditions de déclenchement ? Etc. Toutefois, quoi qu’il en soit, la cyberassurance ne doit pas être considérée comme un outil qui va venir déresponsabiliser l’entreprise.

Allier une protection ciblée à une détection et une réaction élargies

Gérôme Billois préconise 8 mesures éprouvées pour adapter votre gestion de crise à une menace discrète et évolutive :

- Prendre du recul face aux incidentes unitaires : les incidents de sécurité étant généralement résolus un par un, il s’avère difficile d’établir un véritable lien entre eux. Il est donc nécessaire de prendre du recul afin de détecter d’éventuels comportements dangereux qui se cacheraient derrière ;

- Mobiliser les métiers : les incidents de cybercriminalité sont souvent perçus à tort comme des incidents purement informatiques, alors qu’il s’agit en fait de crises métier ;

- Mettre en place une organisation en miroir des attaquants : ces derniers étant de plus en plus structurés et s’organisant autour de compétences variées, l’entreprise doit s’adapter en conséquent. Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données critiques. Côté SI, l’entreprise doit disposer d’une équipe forensics, en charge de la compréhension des attaques, et d’une équipe de réaction, qui doit penser la reconstruction dans la durée. Au cœur du dispositif, une cellule de pilotage est essentielle afin de coordonner l’ensemble des acteurs ;

- Se doter de compétences forensics et d’un outillage adapté pour comprendre l’attaque : en plus de leurs compétences en investigation numérique, ces équipes doivent disposer de moyens techniques, outils d’ analyse de traces, accès aux journaux, plateforme de stockage des éléments techniques...

- Anticiper dès à présent une crise au long cours : la gestion de crise s’inscrit souvent dans la durée, il est donc essentiel de se préparer à une gestion de crise pouvant potentiellement durer plusieurs mois ;

- Éviter le phénomène de la "pyramide inversée" : dans de nombreux cas, les acteurs opérationnels du SI se retrouvent minoritaires face aux acteurs décisionnels de la gestion de crise et reçoivent des ordres contradictoires dans un faible intervalle de temps, source de dysfonctionnements ou perte de temps ;

- Penser à des solutions SI dégradées indépendantes : il est important d’envisager l’utilisation de moyens informatiques alternatifs si besoin (postes de travail déconnectés du SI compromis, adresses e-mail externes...) ;

- Enfin, prévoir des interactions externes : un contact en mesure de conserver les informations relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercriminalité (forces de l’ordre, assureurs...).

Gérôme Billois recommande également aux entreprises de mettre dès à présent en place le processus de notification des incidents. Même si ce n’est pas encore obligatoire, le projet de règlement européen n’étant pas encore validé, il le sera. C’est pourquoi il faut d’ores et déjà s’y préparer. D’autant que cette procédure nécessite la mobilisation de nouveaux acteurs : SI, communication, juridique, relation clients.

Au final, il apparaît essentiel de repenser le modèle de sécurité pour l’adapter aux nouvelles menaces. Pour Marion Couturier et Gérôme Billois, il faut envisager un changement de posture, alliant une protection ciblée à une détection et une réaction élargies, afin de faire face à diversification des menaces. Cela passe, par exemple, par la construction d’îlots sécurisés dans le SI, l’amélioration de la surveillance du SI, le stockage des journaux de connexion, mais aussi des flux réseaux, la création ou le renforcement d’un SOC/CERT. Solucom vient d’ailleurs d’annoncer la création du CERT-Solucom.

L’ensemble de ces actions est, en outre, à organiser dans le temps, entre actions rapides, pérennisation des réponses et changement de posture. L’objectif pour chaque entreprise est d’évaluer son attractivité et de trouver le juste équilibre entre détection, protection et réaction.




Voir les articles précédents

    

Voir les articles suivants