Après avoir lu les deux premiers articles de ce blogue, vous comprenez mieux qui sont les protagonistes derrière les cyberattaques ainsi que le fonctionnement de certaines d’entre elles. Maintenant, il convient de répondre à la question suivante: «Est-ce que mon organisation est prête à faire face à une cyberattaque?».
Au lieu d’énumérer les éléments qui doivent être pris en considération avant, pendant et après un cyberincident, nous allons simuler une attaque et vous pourrez vous demander comment votre organisation aurait réagi. Vous comprendrez que la simulation est simplifiée pour en rendre la lecture agréable.
Un vendredi pas comme les autres
Nous sommes vendredi 16h45 et la semaine s’achève. Les 150 employés vont profiter d’une fin de semaine de repos bien mérité. Claude, le contrôleur financier, est encore devant son écran. Il constate que des noms de fichiers ont changé et qu’il n’est plus en mesure d’en voir le contenu. Son instinct lui dit qu’il doit rapidement informer Guillaume, son contact au département d’informatique. Guillaume n’est plus en ligne, mais par chance, Claude connaît son numéro de cellulaire personnel.
Guillaume n’est pas un spécialiste en cybersécurité, mais comprend rapidement qu’il s’agit d’un rançongiciel. Il continue de discuter avec Claude au téléphone tout en se connectant sur la console du logiciel d’antivirus et il constate que le logiciel a détecté des «anomalies» sur 3 postes de travail, dont celui de Claude. Le poste d’Anne, la présidente, et celui de Gilles, directeur des ventes, sont aussi potentiellement infectés.
Claude mentionne que depuis le téléchargement d’un fichier joint à un courriel en début d’après-midi, son ordinateur est lent. De plus, le fichier ne s’est jamais ouvert. Guillaume comprend que ce courriel est probablement l’élément déclencheur de l’attaque.
Les questions à vous poser
- Est-ce que vos employés savent qui contacter, même les soirs et la fin de semaine, lorsqu’ils détectent une situation problématique?
- Est-ce que vos employés sont formés pour détecter les situations problématiques et sonner l’alarme?
- Est-ce que vous avez une solution de détection de logiciels malveillants «malware» sur tous les postes et serveurs de l’organisation?
- Est-ce que quelqu’un surveille cette solution en tout temps ou bien vous allez découvrir les dégâts le lundi matin?
L’appel à l’aide
Guillaume comprend rapidement qu’il n’a pas l’expertise requise pour répondre à cette attaque. Son niveau d’anxiété augmente en pensant que pour l’instant, seulement 3 employés ont été identifiés comme ayant téléchargé le fichier infecté, mais qu’il est fort probable que plusieurs autres aient reçu ce même courriel et vont eux aussi le télécharger.
Ce n’est qu’une question de temps avant que l’infection soit hors de contrôle. Il décide alors de contacter une ancienne collègue, Léa, qui est spécialisée en cybersécurité.
Guillaume explique rapidement la situation à Léa, elle recommande les actions suivantes:
- Couper les communications des postes infectés avec le réseau local et l’Internet. Cette action évite l’exfiltration de données, la contamination croisée et la réception de commandes en provenance de fractions externes.
- Effacer le courriel malicieux de toutes les boîtes courriel de la compagnie. Cette action évite que de nouvelles personnes téléchargent le malware.
- Révoquer les accès de Claude, Anne et Gilles sur les systèmes de l’entreprise, comme le système de comptabilité et les systèmes infonuagiques. La révocation des accès permet de limiter les possibilités des attaquants d’accéder aux systèmes de l’entreprise.
- Examiner les journaux (logs) sur les principaux systèmes de l’entreprise et vérifier si des actions illégitimes ont été posées par Claude, Anne ou Gilles. Est-ce que des fichiers ont été lus et potentiellement exfiltrés?
Les questions à vous poser
- Est-ce que vous avez accès, en tout temps, à des experts en cybersécurité qui pourront vous aider en cas d’attaque?
- Est-ce que vous pouvez rapidement isoler des postes de travail ou des serveurs de votre réseau et de l’Internet, et ce, même dans un contexte de travail à distance?
- Est-ce que vous connaissez ce à quoi vos employés ont accès et êtes en mesure de révoquer rapidement ces accès, afin de limiter la contamination et connaître l’envergure potentielle des dégâts?
- Est-ce que vous avez accès rapidement aux journaux des systèmes clés pour être en mesure de comprendre l’envergure potentielle des dommages?
Évaluation des dommages
Par chance, Guillaume a été en mesure d’exécuter les opérations que Léa lui a recommandées. L’entreprise avait les bons outils, ils étaient bien configurés et Guillaume avait l’expertise et suffisamment de permissions sur ces outils pour circonscrire rapidement la menace.
Léa propose maintenant à Guillaume d’évaluer les dégâts. Les journaux des systèmes clés nous permettent de croire qu’il n’y a pas eu d’accès illégitimes sur ces derniers. Il faut maintenant évaluer les fichiers présents sur les postes touchés. Léa recommande les actions suivantes:
- Identifier, avec les victimes, si des fichiers contenant des informations sensibles étaient présents sur leurs postes de travail.
- Vérifier si ces ordinateurs ont établi des connexions vers des destinations (serveurs) externes inconnues et/ou suspectes.
- Vérifier, avec les victimes, si elles avaient accès à plus de systèmes informatiques que ceux dont les accès ont été révoqués et s’assurer de les isoler.
- Faire une ponction du malware sur le poste de Claude et en faire l’analyse. Dans le cas d’un malware connu, il est souvent possible d’obtenir des informations supplémentaires pour faciliter l’éradication complète de cet invité hostile et malintentionné.
Les questions à vous poser
- Avez-vous un processus d’escalade qui permettra de communiquer rapidement avec les victimes potentielles en cas de cyberincident?
- Savez-vous où se situe l’information sensible dans votre entreprise comme les informations sur vos employés, vos fournisseurs, vos clients, votre propriété intellectuelle? Si ces informations sont copiées à plusieurs endroits, il devient ardu de démontrer qu’elles n’ont pas été volées en cas d’incident de sécurité.
- Avez-vous un inventaire à jour des systèmes auxquels un employé a accès? Lorsque le poste d’un employé ou son identité numérique est compromis, il est beaucoup plus simple d’évaluer les impacts de l’incident si l’on sait quelles sont les informations auxquelles les personnes malveillantes ont pu avoir accès.
- Est-ce que vous avez l’expertise interne pour faire la ponction d’un malware sur un poste et d’en évaluer la nature?
Les réparations
Avec l’aide de Léa, Guillaume a été en mesure de bien identifier le malware fautif. La technique d’éradication était simple et s’est effectuée rapidement. De plus, aucune donnée sensible n’était présente sur les postes contaminés. Les précautions d’usage ont été suivies et les postes des victimes ont été rétablis. Une histoire qui finit bien, tellement bien qu’on croirait que c’est organisé avec le gars des vues. Habituellement ce n’est pas le cas, la réponse à l’attaque est plus chaotique et les dommages sont plus grands.
Il faut alors répondre aux questions suivantes:
- Avons-nous des copies de sauvegarde de sécurité à jour et fonctionnelles?
- Si oui, sommes-nous en mesure de nous en servir?
- Quelles informations sensibles sont potentiellement dans les mains des criminels?
- Devons-nous avertir nos employés, nos clients, nos partenaires, nos assurances?
- Devons-nous faire rapport de l’incident aux autorités? Que doit contenir le rapport?
Pour être prêt à faire face à une cyberattaque, il ne suffit pas d’avoir «réussi» un audit de cybersécurité avec la note de passage. Il faut pouvoir réagir rapidement et prendre les bonnes décisions, sans quoi les dommages pourraient être considérables.