Les entreprises qui se préparent intensivement à une cyberattaque ont beaucoup moins à faire face aux conséquences de l'attaque. Avoir un plan de réponse aux incidents (IR) va un long chemin.
La cybersécurité se concentre principalement sur la prévention. Et la meilleure façon de le faire est d'apprendre des incidents. Néanmoins, il arrive encore et encore à des entreprises qu'elles soient attaquées. Dans un tel cas, il s'agit de minimiser les dégâts et d'apprendre le plus possible des expériences connues. Alors, quelle est la "meilleure pratique" ?
On gagne beaucoup avec un plan
L'équipe de sécurité informatique définit un plan de réaction à une cyberattaque (Incident Response, IR) qui doit prendre effet en cas de faille de sécurité ou d'attaque. Les questions suivantes constituent la base d'un plan de RI :
- Quelle est la gravité de l'incident ?
- Où se situent les systèmes critiques et comment les isoler ?
- Comment et avec qui communiquer ?
- Qui contacter et quelles actions entreprendre ?
- Qu'en est-il des copies de sauvegarde ?
Un plan IR doit être simple et direct afin qu'il soit facile à suivre dans une situation de haute pression. Le manuel des incidents SANS und der Guide de réponse aux incidents de Sophos peut être très utile lors de la création d'un plan.
Demander de l'aide après une cyberattaque
Avant de tenter de restaurer des ordinateurs et des systèmes après une attaque, ou même de négocier une rançon, les entreprises doivent demander de l'aide. La réponse aux attaques nécessite des compétences spécialisées et la plupart des organisations n'emploient pas de spécialistes de la réponse aux incidents.
Un plan comprend les coordonnées des fournisseurs de services IR. Si l'attaque est dirigée contre les serveurs et les points finaux, par exemple dans un incident de ransomware, le fournisseur de sécurité des points finaux doit être contacté en premier, surtout s'il propose un service IR. Il dispose probablement d'une télémétrie de l'environnement affecté et a accès à des outils préchargés comme EDR/XDR pour l'aider rapidement.
Développer l'aide et travailler avec les autorités
Il est conseillé de contacter les forces de l'ordre locales. Il y a une forte probabilité qu'un crime ait été commis avec l'incident et les autorités compétentes peuvent avoir des ressources utiles. Bien sûr, la cyberattaque doit également être signalée à la compagnie d'assurance pour la cybersécurité, si une assurance existe. Si vous travaillez avec un fournisseur de technologie ou un intégrateur de système, ils peuvent être en mesure de vous aider avec la récupération, par exemple les sauvegardes.
Isoler rapidement les systèmes et contenir les incidents
L'incident doit être isolé et contenu du mieux possible. Cela comprend la mise hors tension, la déconnexion d'Internet et des réseaux, l'isolation basée sur le logiciel, l'application de règles de pare-feu d'interdiction totale et l'arrêt des systèmes critiques. Si un contrôleur de domaine fonctionnel est disponible, il est important de le conserver si possible en arrêtant le serveur et/ou en le déconnectant du réseau. Les sauvegardes doivent également être isolées et déconnectées du réseau. En outre, tous les mots de passe suspects compromis doivent être modifiés et les comptes réinitialisés.
Lors de l'utilisation des services de réponse aux incidents, il est important de fournir des conseils sur la manière dont les systèmes et les connexions concernés peuvent être remis en service.
Important : ne payez aucune rançon
Bien que payer la rançon semble être une solution "facile", cela encourage les criminels à commettre d'autres crimes. De plus, l'époque des demandes de rançon modérées est révolue depuis longtemps : le rapport Sophos State of Ransomware Report 2021 montre que les entreprises de taille moyenne ont payé une rançon moyenne de 147.000 65 euros l'année dernière. L'étude Sophos a également révélé que seulement XNUMX % des données chiffrées pouvaient être récupérées après le paiement d'une rançon, et que plus d'un tiers des données étaient perdues de toute façon.
En outre, la situation juridique concernant le paiement des rançons diffère dans le monde. Il est donc conseillé de se renseigner sur les lois du pays (ou des pays) dans lequel une organisation opère.
Conserver les preuves existantes
Trop souvent, les victimes d'une cyberattaque se préoccupent avant tout de restaurer leurs systèmes et services le plus rapidement possible. Au cours du processus, de nombreuses informations sont perdues, ce qui aiderait à déterminer la cause et à comprendre l'étendue de la faille de sécurité. Cependant, ceux-ci peuvent indiquer à une équipe d'intervention en cas d'incident à qui elle a affaire et quelles tactiques ce groupe utilise généralement. Cela pourrait même révéler une toute nouvelle souche de ransomware et les tactiques, techniques et procédures (TTP) utilisées.
Le stockage d'images de systèmes et de machines virtuelles est tout aussi important que le stockage isolé des logiciels malveillants. En cas de contrôle judiciaire des réclamations d'assurance, les entreprises peuvent également présenter des preuves ou prouver à un organisme gouvernemental qu'elles n'ont pas enfreint les règles de divulgation.
Les représailles causent encore plus de dégâts
Dans de nombreux cas, plusieurs groupes sont à l'origine d'une attaque de ransomware. Par exemple, avec les informations de la note de rançon et les points communs dans les tactiques, techniques et procédures (TTP), une équipe expérimentée de réponse aux incidents peut généralement identifier rapidement à qui elle a affaire. Toute tentative de représailles, appelée « hack back », est fortement déconseillée. C'est probablement illégal en premier lieu et ne peut qu'empirer la situation.
Le rôle de la cyberassurance
En cas de cyberattaque couverte par une cyberassurance, un expert en sinistre de la compagnie d'assurances engagera d'abord un avocat externe. Celui-ci organise les ressources internes et externes et coordonne les activités jusqu'à la résolution de l'incident.
Lors de la souscription d'une assurance, il convient de préciser au préalable quelles activités et quels prestataires spécialisés sont couverts en cas de cyberattaque. La plupart des compagnies d'assurance cyber acceptent le recours aux prestataires de services existants.
Restez toujours en contact
La communication est souvent gravement affectée par les cyberattaques. Les systèmes de messagerie peuvent être hors ligne, les copies électroniques des polices d'assurance ou des plans IR sont cryptées et l'attaquant peut surveiller les communications. Il est donc conseillé de disposer d'un moyen de communication alternatif, comme une application de messagerie instantanée. Avec un canal séparé, toute l'équipe et toutes les autres personnes impliquées peuvent communiquer. Les données d'assurance, les plans IR et les contacts avec les spécialistes IR doivent être conservés séparément et sous forme physique.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.