- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le film Capitaine Sully en version originale Sully est réalisé par Clint Eastwood et sorti en 2016. Il raconte l'histoire vraie de Chelsea Sully Sullenberg, un pilote des lignes américains qui effectuait un amérissage d'urgence sur le fleuve Hudson à New York en janvier 2009. Le film commence par un événement dramatique. Peu de temps après son décollage de l'aéroport de la Guardia, l'avion du SR-Ways vole 15-49 perd simultanément ses deux moteurs après avoir heurté une volée d'oie. En quelques minutes, le capitaine Sully doit prendre une décision critique. Plutôt que de tenter un retour risqué à l'aéroport, il choisit de poser l'avion sur le fleuve Hudson, sauvant ainsi la vie de 155 passagers et membres d'équipage. Je reviendrai comme d'habitude à la fin de cet épisode avec une anecdote concernant ce film. Mais ce qui me semble intéressant dans ce film, c'est de comprendre comment on peut prendre une décision aussi rapides en cas de crise. Il existe bon nombre de cas où la situation a basculé d'un côté ou de l'autre en quelques instants. On peut citer par exemple les centrales de Fukushima. Et oui, j'ai bien dit les centrales de Fukushima. En fait, il existe deux centrales nucléaires à Fukushima. Fukushima Daiichi et Fukushima Daini. Certes, elles ne sont pas exactement de la même génération et sont situées à 12 km l'une de l'autre, mais elles ont toutes les deux été percutées par le tsunami. Et pourtant, la crise a été correctement gérée dans la centrale de Fukushima Daini, alors que sa sœur jumelle n'a pas eu la même chance. Pourquoi dans certains cas les crises sont mieux gérées ? Est-ce que c'est simplement une brillante intuition qui a mené le capitaine Sully à se poser sur l'Hudson ? Certainement pas. Mais c'est la question que je vous propose de traiter aujourd'hui, comment gérer une crise, et surtout comment gérer une crise cyber. Avant toute chose, il faut définir ce qu'est une crise. Il existe de multiples définitions de la crise. et il n'est pas simple de pouvoir en faire un résumé. Cependant, on peut citer Lauren Raimondo, l'autrice du livre Les fondamentaux de la gestion de la crise cyber livre que je vous conseille chaudement par ailleurs, dans lequel elle donne les éléments communs à toutes ses définitions. Premièrement, une rupture fondamentale de la continuité des activités usuelles. Dans le cas de Soli, l'avion ne vole plus. Une contrainte temporelle sensible de la gestion. Un temps limité pour trouver la solution. Une omniprésence, au moins au début de la crise, dans l'ambiguïté. Clairement dans le cas de l'avion, où se poser ? Et dernier point, l'incertitude quant à la dynamique et à la gravité de la situation. Combien de temps l'avion va-t-il planer et sur quelle distance ? Cette définition décrit parfaitement la situation de la crise cyber et montre clairement les différences avec un simple incident, car le contexte et la dynamique sont bien différents dans les deux cas. Mais que faire en cas de crise cyber ? Pour mieux comprendre comment vous pouvez gérer une crise cyber, vous pouvez vous aider du guide de l'ANSI Cyber Attack et remédiation Je mettrai le lien dans la description de cet épisode. Ce n'est pas un guide ultime, mais il a le mérite de détailler les grandes étapes et les difficultés à prévoir. L'objectif principal en cas de crise est de gérer la remédiation. La remédiation consiste à reprendre le contrôle du système d'information compromis par une attaque et à restaurer son état fonctionnel, tout en évinçant l'attaquant. Ce processus fait partie intégrante de la gestion des incidents cyber, aux côtés de la gestion de crise et de l'investigation forensics. A noter que, bien souvent, le mauvais réflexe est de penser que, comme la crise est technique, c'est à la technique de trouver une solution. Or, en fait, une crise cyber implique bien plus que simplement des éléments techniques. Le métier doit être impliqué, mais aussi le légal, les ressources humaines et même la communication. En fait, c'est tout un ensemble d'acteurs qui doivent se coordonner. Il arrive même que parfois le coordinateur de la crise soit un professionnel extérieur à l'entreprise pour que les décisions soient prises sans contrainte. et sans la pression des uns et des autres. Il y a trois objectifs principaux dans la remédiation. Endiguer l'attaque pour empêcher une aggravation de l'incident, évincer l'attaquant du cœur de confiance du système d'information, à savoir la zone stratégique, éradiquer toute présence de l'adversaire dans le système. La méthodologie de remédiation est résumée par l'acronyme E3R, qui décompose les différentes phases à suivre. La première, l'endiguement. Les premières actions visent à freiner le mouvement de l'attaquant, notamment en coupant ou en limitant ses accès. tout en veillant à préserver les traces nécessaires aux investigations futures. A noter que dans la grande majorité des cas, vos propres fournisseurs vont aussi couper les ponts avec vous pour se protéger eux aussi d'une éventuelle contagion.
- Speaker #1
Capitulons, tu arrives au poste de douane. Qu'est-ce que tu as ? Je mets le giro et je passe la frontière tout en douceur. Et si les douanes les barretent ? Je montre les papiers tout en expliquant que je transporte un blessé grave. Donc je suis pressé. Une vie est en jeu. Et ? Et ? Eh, c'est tout, non ? Je t'ai dit le plus important. Tu prends ton air innocent. Ah oui, pardon, c'est ça, monsieur Duval. Je prends un air innocent. Vas-y, montre-moi. Comment ça ? Fais-moi une tête d'innocent. Comme ça ? T'as pas l'air innocent, là. T'as l'air complètement débile.
- Speaker #0
Cette phase, qui intervient rapidement après la détection de l'incident, a pour but de limiter l'impact de l'attaque. Les actions peuvent inclure la coupure des excès Internet, la mise hors réseau des machines critiques, la segmentation du réseau pour isoler les systèmes compromis, mais aussi la préservation des preuves utilisées pour des recours légaux. Deuxième étape, l'éviction. Une fois l'attaquant contenu, il s'agit de recréer une base sécurisée, un cœur de confiance dans l'infrastructure et d'exclure l'adversaire de toute influence sur cette zone. L'éviction vise à créer un environnement sécurisé, non accessible à l'attaquant. C'est une phase critique qui nécessite une coordination précise et rapide, avec des actions telles que La recréation d'une infrastructure réseau sécurisée, le basculement des annuaires compromis vers des versions saines et la mise en place de systèmes d'authentification renforcés et dédiés. Une attention particulière est portée à l'importance de préparer minutieusement cette étape pour éviter des cycles de recompromissions. Effectivement, si vous n'avez pas trouvé le moyen par lequel vous avez été compromis, il a fort parié que vous allez l'être de nouveau très rapidement. Troisième étape, l'éradication. Cette phase consiste à purger complètement l'ensemble des points d'accès et de contrôle de l'attaquant sur le système d'information. Cela inclut la suppression des portes dérobées, les fameuses backdoors, comptes compromis et autres formes d'intrusions persistantes. Cette phase vise à nettoyer intégralement le système de toute influence de l'attaquant, à mettre en place des mesures préventives pour éviter son retour et à renforcer la détection des futures tentatives. Les actions comprennent le déploiement d'outils de supervision et de recherche de compromission, la migration des données vers des environnements sûrs et la collecte et l'analyse des événements pour identifier des signes d'intrusion. Le document souligne que cette phase peut être longue et complexe, avec des priorités qui doivent être définies pour éviter l'épuisement des ressources. Ensuite vient la phase de reconstruction. C'est une phase parallèle qui consiste à rebâtir progressivement l'infrastructure compromise, avec des mesures de sécurité renforcées, en tirant parti des leçons de l'incident. Le pilotage de la remédiation doit être géré comme un projet de grande envergure, avec une attention particulière à la communication entre les équipes techniques, les directions métiers et les décideurs. Il est crucial d'assurer une coordination efficace pour éviter les blocages et garantir l'atteinte des objectifs opérationnels. Le document de l'ANSI décrit trois types de scénarios opérationnels. Scénario 1, restaurer au plus vite des services vitaux. Ce scénario est utilisé en situation d'urgence, Lorsque la survie de l'organisation et la continuité d'un service essentiel est menacée, l'objectif est de restaurer les services vitaux avant de traiter les autres problèmes du système d'information. Cela suppose que les services critiques peuvent être isolés du reste du système d'information. L'objectif est d'assurer le redémarrage et la continuité rapide d'un service vital pour l'organisation. Les objectifs opérationnels sont de créer un socle minimal de confiance pour les services vitaux, réseau, virtualisation et identification, De restaurer de manière sécurisée le service vital, d'éliminer les excès résiduels de l'attaquant, de préparer une sécurisation à long terme du système d'information et enfin de remédier aux vulnérabilités exploitées par l'attaquant sur le reste du système d'information. Un cœur de confiance a été recréé autour des services critiques qui sont restaurés et nettoyés. Une supervision renforcée est mise en place et une campagne d'éradication minimale est effectuée sur le reste du système d'information. Les actions de sécurisation en profondeur sont traitées plus tard. Une restauration rapide ne permet pas de créer une sécurité résiliente à long terme, ce qui peut entraîner de nouveaux incidents si des mesures de sécurisation plus complètes ne sont pas prises en compte. Scénario numéro 2. Reprendre le contrôle du système d'information. Ce scénario vise à restaurer un état proche de celui d'avant l'attaque, sans apporter de modifications majeures à l'infrastructure. Il s'agit de reprendre le contrôle du système d'information et de redémarrer les services tout en minimisant les changements structurels. L'objectif est de rétablir un fonctionnement normal et reprendre le contrôle du système d'information dans un délai raisonnable. Les objectifs opérationnels sont de créer un cœur de confiance sécurisé et maîtrisable, de restaurer le niveau de sécurité antérieur hors du cœur de confiance, de remédier aux vulnérabilités exploitées par l'attaquant hors du cœur de confiance, et enfin de supprimer les accès de l'attaquant sur l'ensemble du système d'information. Un cœur de confiance est reconstruit avec une infrastructure sécurisée. Les serveurs et postes sont remédiés et les vulnérabilités éliminées. Une supervision temporaire est mise en place sur le reste du système d'information pour le réduire progressivement. Le retour rapide à un fonctionnement normal peut laisser des zones du système d'information insuffisamment sécurisées, augmentant ainsi le risque futur de compromission. Troisième et dernier scénario, saisir l'opportunité pour préparer une maîtrise durable du système d'information. Ce scénario utilise l'incident comme un point de départ. pour reconstruire la sécurité du système d'information. Il vise à réduire durablement les risques et à intégrer des mesures de sécurité solides au prix d'un rétablissement plus long et d'un investissement plus important. L'objectif est de retrouver un fonctionnement normal tout en mettant en place des protections durables pour éviter de reproduire la situation. Les objectifs opérationnels sont de créer un cœur de confiance sécurisé durable, d'instaurer des pratiques d'administration sécurisée, de remédier aux vulnérabilités sur les terminaux, de mettre en place des capacités durables de détection et de réaction sur l'ensemble du système d'information, et enfin d'éliminer les accès de l'attaquant sur tout le système d'information. Le cœur de confiance est reconstruit et sécurisé, et les services hors du corps sont traités successivement. Chaque secteur est isolé, nettoyé et sécurisé avant d'être réintégré dans le système d'information global. avec une supervision de sécurité durable mise en place. Il est difficile d'assurer une protection complète de tous les segments du système d'information, notamment pour les postes terminaux. Les efforts sont concentrés sur la limitation des escalades pour que les incidents mineurs ne deviennent pas plus critiques. À l'instar du capitaine Sully, toute la réussite dans la gestion de la crise réside dans l'anticipation de la crise elle-même. C'est la clé du succès, car à bien y réfléchir, 80% de la crise peut être anticipée. Terminé cet épisode, je vous propose d'écouter le message que Sully envoie au contrôleur aérien. Comme vous pouvez le constater, il indique avec le plus grand calme et la plus grande sérénité du monde qu'il va poser son avion avec 155 passagers dans une rivière. Et ce, comme si cette décision était juste la réponse la plus logique et la plus pragmatique à la crise qu'il devait gérer. Alors soyons comme le capitaine Sully, prêts à gérer avec le plus grand calme et la plus grande sérénité la crise auquel nous aurons tous à faire face un jour ou l'autre. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez laisser des commentaires auxquels je me ferai un plaisir d'y répondre. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un jeu de vie de mort. C'est bien plus sérieux que ça.
- Speaker #2
Merci.