Lors la Conférence Forensik 2020, nous avons eu la chance d’accueillir Pierre-Luc Robert, Expert en réponse aux incidents.
Nous avons profité de sa participation pour lui poser des questions sur sa conférence, qui portait sur les étapes à suivre en cas d’incident de cybersécurité.
Pour ce 4ème épisode de la saison 2 de notre podcast INTRASEC, nous avons échangé sur:
- la croissance des cybermenaces,
- l’importance des plans de réponse aux incidents pour limiter les impacts et être capable de réagir plus rapidement,
- et enfin sur comment les entreprises peuvent s’outiller pour répondre efficacement aux attaques potentielles.
Dans ta conférence, tu as parlé d’un playbook de réponse aux incidents en cas d’hameçonnage ou de rançongiciel… Peux-tu clarifier ces deux termes?
L’hameçonnage, ce sont des courriels malicieux qui nous arrivent. Souvent, c’est un vecteur d’infection, alors que le rançongiciel, généralement, c’est la dernière phase de l’infection. On va crypter tes données et faire une demande de rançon en disant « si tu veux récupérer tes données, il faut que tu nous payes [un certain] nombre de bitcoins. ».
Dans le cadre de ta conférence, tu as aussi mis l’accent sur les petites et moyennes entreprises. Est-ce qu’il y a une raison particulière? Les attaques augmentent-elles pour ces types d’entreprise ou bien ce sont plutôt des entreprises qui ne sont pas conscientes des risques?
Dans les deux cas, la réponse est oui. Les PME sont de plus en plus victimes de cyberattaque. Par exemple, 1 PME sur 5 a déjà rencontré un incident de cybersécurité. Et ces petites compagnies sont ciblées parce qu’elles sont des proies faciles.
Lorsqu’on est une multinationale, un IBM de ce monde, Microsoft, etc, ces grandes entreprises ont de gros budgets alloués à la cybersécurité. Cela leur permet d’être agiles et de se préparer aux attaques informatiques. Ça leur permet d’avoir un ou plusieurs playbooks de réponse aux cyberattaques préparé(s) par de grosses équipes composées d’experts en sécurité. Or une PME n’a pas les mêmes moyens humains et financiers. Ces dernières années, j’ai accompagné beaucoup de PME qui n’étaient pas prêtes à faire face à ce type d’événement. Alors c’est un peu pour ça que j’ai souhaité faire cette présentation lors de la Conférence Forensik, c’est pour aider les PME.
Avant de rentrer dans le cœur de ta présentation, je voulais parler de deux statistiques qui m’ont sauté aux yeux, c’est le coût d’une attaque pour une PME et le temps nécessaire pour remettre les systèmes en place. Je sais que ce n’était pas l’essentiel de ta présentation, mais est-ce que tu as une idée du pourquoi ces augmentations étaient si marquées?
Tout d’abord, je dois préciser que ces chiffres ne sont pas strictement propres aux petites entreprises. Ce sont des statistiques globales. Au niveau des augmentations, ça, c’est mon opinion et je n’ai pas de sources pour le confirmer, mais cela pourrait s’expliquer par de nouveaux modes de travail. En basculant vers le télétravail par exemple, les systèmes sont plus exposés aux risques et donc plus vulnérables. Et plus de systèmes sont affectés, plus c’est coûteux.
Il y a aussi de plus en plus de campagnes ciblées. Ces campagnes prennent plus de temps à se planifier, mais lorsqu’elles sont exécutées, elles font un chiffrement complet de vos données. Et alors là, elles vont vraiment avoir un impact global sur l’entreprise.
C’est ça… parce que tu mentionnais aussi que les attaques d’hameçonnage, ce n’étaient plus celles de princes nigériens…
En effet, j’en vois de plus en plus qui sont de mieux en mieux faites. Il reste des attaques de fond du baril avec des fautes d’orthographe aux trois mots. Mais on voit de plus en plus d’attaques où on va mettre le logo de l’entreprise et y ajouter quelque chose de contextuel, ce qui va rendre le courriel encore plus crédible. Et malheureusement, ce type de campagne va avoir un taux de succès plus haut.
Et donc, l’objectif de ta conférence, c’était de couvrir les éléments de base d’un playbook… Donc un playbook, c’est quoi exactement? C’est une liste sur comment répondre à ce type d’incident?
Quand on parle de playbook, on peut penser aux entraîneurs de basketball. C’est une liste de situation hypothétique, en fonction de la situation. Voici mon équipe, voici ce qu’on va faire, etc. Pour faire simple, on a pris le terme et on l’a appliqué à la cybersécurité.
On remplace l’équipe par un malfaiteur et on dit « voici les étapes » qui vont nous permettent d’atteindre notre but. Dans ce cas-ci, ce n’est pas de gagner des points, mais de pouvoir revenir à nos opérations régulières.
Généralement, quelles sont les étapes d’un bon playbook? Qu’est-ce que les PME oublient souvent?
Le playbook que j’ai partagé est assez conventionnel et couvre pas mal de points importants. Mais pour moi, la leçon la plus importante, c’est un peu comme dans la vie de tous les jours: « si tu ne sais pas ce que tu dois faire, arrête et va chercher de l’aide ».
Ça peut être une équipe externe, ça peut être de la documentation, peu importe. Il faut juste prendre le temps d’analyser la situation correctement et ensuite choisir comment réagir.
J’ai déjà eu des clients dont le premier réflexe a été de tout effacer et de réinstaller le serveur à partir d’une image saine. Le problème avec ça, c’est que tu as pu certes te remettre sur pied, mais tu ne sais pas ce qu’il s’est passé et on ne peut plus le savoir. Autrement dit, on ne peut même pas tirer des leçons de l’expérience, ni identifier les vulnérabilités…
En repensant à tes étapes lors de ta conférence, tu préconises de « tout arrêter », puis de prendre contact avec des experts. À ma grande surprise, l’expert technique n’est que le troisième dans la liste, le premier étant l’assureur et le deuxième, l’avocat.
L’assureur peut avoir ses propres requis et il peut aussi nous recommander des experts techniques. Et comme on veut aussi être remboursé ou qu’une partie des frais soit prise en charge par l’assureur, on s’assure qu’il soit content!
Ceci étant dit, l’ordre n’est pas absolu, mais ça vaut la peine de savoir ce qu’on peut faire. Et l’avocat ainsi que l’assureur sont ceux qui peuvent t’aider dans ce genre de situation.
Parce que l’avocat peut aussi avoir des requis sur quoi chercher ou quoi dire?
Par exemple, l’avocat veut s’assurer que le dossier soumis à l’assureur soit solide, alors il va pouvoir t’aider à savoir ce que tu as besoin de recueillir.
Si je comprends bien, si on s’attarde juste sur la réponse, on va traiter l’incident comme un problème d’infrastructure, alors qu’avec un avocat, ça va plus être traité comme un problème d’affaire, qui a des implications stratégiques?
Les logiciels malicieux, on s’entend, ce n’est jamais exclusivement un enjeu technique. Ce qui fait en sorte que, selon moi, les conseils d’un avocat sont toujours requis.
Il y a tellement d’impacts qui sont difficiles à évaluer lorsqu’on est dans le feu de l’action. En plus, les maliciels (ou logiciels malveillants), arrivent rarement seuls. L’objectif bien souvent, c’est d’exfiltrer des informations. Certains pourraient dire qu’ils n’ont pas d’informations confidentielles, mais je ne connais pas d’entreprise qui n’a réellement aucune information confidentielle. Ne serait-ce que celles des employés dont certaines sont relatives à des renseignements personnels. Et c’est dans ces cas-là que l’aide d’un avocat devient essentiel.
Lorsqu’un problème arrive, il faut s’arrêter pour éviter d’introduire des problèmes. La seconde étape, c’est de prendre des notes sur la réponse d’incident. Elles devraient ressembler à quoi ces notes?
Le fil de l’événement par exemple. Ça ne m’est jamais arrivé d’avoir trop d’informations. Si on a des captures d’écran, je les veux, etc. Au minimum, ça prend une chronologie d’événements. Que s’est-il passé ces dernières heures, ces derniers jours, derniers mois…? Tellement de choses peuvent se passer durant tout ce temps.
Sans note, c’est clair qu’on ne pourra pas répondre à cette question de manière fiable.
Si on n’a pas de date ni d’heure par exemple, pour connaître les précédentes connexions avant le chiffrement, ça va être très difficile de trouver ce qu’on cherche; ce serait comme chercher une aiguille dans une botte de foin.
Alors toute cette documentation va être utile… tout le temps. Parce qu’on va peut-être vouloir s’arrêter et vérifier si on a travaillé dans le bon ordre, surtout s’il y a une réinfection.
Comment boucle-t-on la boucle? C’est quoi la dernière étape?
En fait, c’est un très bon point parce que la dernière étape, c’est l’endroit où on peut apporter de la valeur. Avant ça, ça a surtout coûté de l’argent pour investiguer, pour remettre sur pied, etc.
Généralement, moi j’aime faire ça avec une réunion. On discute avec les différentes parties prenantes sur ce qui a fonctionné, pas fonctionné, etc. Juste en discuter permet de dégager des points.
La chronologie d’événements va aussi être super importante à cette étape-là. Revoir chaque chose qu’on a fait, dans quel ordre, remettre en question, etc. Et le résultat devient le point de départ de notre playbook.
Parce que généralement, il n’y en a pas avant ça ?
Peu de petites entreprises en ont…
À cause de l’absence de documentation, l’absence de leader désigné, on arrive sur des appels où tout le monde est sur la ligne pour essayer de parler avec l’équipe technique.
Bref, les playbooks, c’est quelque chose que je recommande fortement. En plus, ça n’a pas besoin d’être complexe.
Si on prend juste mes diapositives, qu’on les imprime et qu’on décide que c’est notre playbook, c’est déjà mieux que si on n’avait rien. Et la prochaine itération va être encore mieux.
Il y a aussi des playbooks existants. Par exemple, sur le GitHub de la Société Générale vous pouvez trouver leurs playbooks de réponse aux incidents.
Il existe de la documentation, il faut juste la chercher!
Tu as présenté 6 étapes lors de ta conférence. 1. Se préparer et entrer en contact avec les bons experts, 2- Identifier le périmètre, 3 – lsoler les machines infectées, 4- Éradiquer et remédier, 5 – Restaurer en s’assurant qu’aucune machine ne réintègre le réseau sans évaluation et 6 – Faire le post-mortem et en tirer des leçons. Est-ce que ces 6 étapes sont communes à tout type d’incident ?
Ces 6 étapes sont assez standards surtout en cas d’attaque par un rançongiciel…. J’ai d’ailleurs regardé le playbook de la Société Générale, et il reprend aussi ces 6 étapes!
En tout cas, au minimum en cas de cyberincident, on doit appeler l’assureur et l’avocat, et si possible une équipe technique – externe ou interne – avec qui on peut travailler.
Besoin d’aide pour vous aider à élaborer vos plans de réponse aux incidents de cybersécurité? Contactez dès maintenant nos experts!
Retrouvez l’intégralité de l’interview de Pierre-Luc Robert sur Ausha, Spotify, Apple Podcasts, Google Podcasts et Podcast Addict.