Claire Loffler, Security Engineer Chez Vectra AI
Alors que se multiplient les cyberattaques, il est intéressant de lever le voile sur les actions techniques qui sont engagées par les Consulting Analysts dès lors que des mouvements suspects sont opérés. Détection, réponse… Si la dimension technique se révèle importante, l’action humaine l’est au moins tout autant.
Que se passe-t-il côté coulisses, lorsqu’une cyber-attaque est identifiée ? Quels sont les premiers mouvements qu’opèrent les consultants analystes ? Leurs premiers réflexes, les premiers gestes qu’ils effectuent avec le client qui vient d’être impacté ? Comment se constituent les équipes en charge de la réponse ? Au moment où se multiplient les cyber-attaques, il peut être intéressant de donner un peu de visibilité sur la nature des interventions qui sont réalisées au quotidien par les équipes techniques en charge de défendre les entreprises. L’objectif étant que les organisations qui liront ces lignes puissent y puiser quelques idées fortes leur permettant de mieux aborder cette phase critique si d’aventure une cyberattaque venait à les toucher.
Établir au plus vite un constat
Détaillons quelques-unes des étapes qui sont effectuées par les experts techniques au moment d’une cyber-attaque. Pour cela, rapprochons-nous de Renaud Leroy, consultant analyste ayant déjà œuvré pour un grand nombre d’organisations. En tant qu’analyste sécurité, Renaud Leroy travaille au quotidien sur des attaques. « Nous intervenons sur ces offensives et déterminons à quelle phase sont les évènements et détections observés : au début, au milieu ou à la fin ? C’est le concept de ‘Kill Chain’, la représentation du déroulé d’une attaque. » explique-t-il. « Une attaque peut être en cours, mais elle peut aussi avoir des prémisses. Elle se caractérise donc par de nombreux paramètres qu’il convient de bien identifier. Quelles sont les méthodologies d’attaques utilisées ? Où en est-on du déroulé de l’attaque ? Cette attaque a-t-elle aboutie ou est-elle toujours en cours ? Quels sont les biens et les personnes concernées ? À quelle étape en sommes-nous ? Quelles sont les intentions supposées de l’attaquant ? Que cherche-t-il à atteindre ? Quels sont ses objectifs ? » Lorsqu’il est confronté à ce type d’agression, Renaud Leroy prend en compte de multiples facteurs. Il contextualise, tente de définir le mode opératoire auquel il a affaire, la stratégie qui est adoptée par le ou les cyber-attaquants… Pour le dire de manière synthétique, il globalise sa vision en prenant en compte avec le client ses besoins métiers, les personnes et rôles, les biens, les méthodologies des attaquants et leurs modes opératoires.
Une analyse menée par l’être humain
Vient ensuite l’étape de l’analyse poussée. Celle-ci est menée par l’être humain, étant entendu que l’Intelligence artificielle (IA) et le Machine Learning dont sont actuellement équipés les outils de détection ont déjà fait leur office. « La plateforme nous aide énormément mais le cerveau humain est plus que nécessaire afin de creuser l’analyse, ce qui est crucial. Il faut aussi aller très vite car plus la réponse sera tardive, et plus l’attaque aura pu se déployer », explique Renaud Leroy. C’est à ce stade qu’interviennent la contextualisation, l’intelligence collective, le partage d’informations. Pour ce faire, les experts en cybersécurité agissent de concert, sont disponibles 24 heures sur 24, 7 jours sur 7. « J’ai des collègues disponibles sur tous les continents. Décalages horaires obligent, ceux-ci sont en capacité de prendre le relais lorsque je quitte mon poste, et inversement. Ainsi, un client attaqué bénéficie d’une aide permanente. » Souvent, lorsque l’attaque est assez aisée à contrer, une à deux personnes sont mobilisées. Parfois, lorsqu’elle est plus pointue, une équipe plus large peut être constituée. « Il faut savoir que nous identifions chaque jour des événements suspects par dizaines chez nos clients, et que chacun demande confirmation, attention, et bien sûr réponse. Avec les technologies actuelles et la démultiplication des applications, nous avons affaire à un ‘brouhaha’, c’est-à-dire à un environnement bruyant. Les produits qui sont utilisés par les entreprises ne sont pas tous sécurisés, et pour repérer une attaque dans un tel contexte il faut combiner les apports d’une technologie très fine avec un discernement que seul le regard de l’homme permet. »
Deux catégories de clients
L'analyse de ces alertes se subdivisent en réalité en deux phases. La première relève de la détection ; la seconde prend la forme de l'investigation approfondie via un outil qui permet de pivoter sur les informations d'activité réseaux de l’entreprise. Les métadonnées du client sont utilisées afin d’enrichir, approfondir, contextualiser… les alertes. « Cette phase de réponse peut prendre quelques heures à peine, mais elle peut aussi aller jusqu’à quelques jours, voire parfois quelques semaines », explique Renaud Leroy. « Il y a également deux catégories de clients : certains disposent d’un SOC, un Security Operation Center, avec une équipe internalisée et dédiée à la sécurité de l’organisation. D’autres ont externalisé leur défense et ont clairement besoin d’un tiers pour faire face. De notre côté, nous avons l’habitude d’avoir affaire à différents systèmes de sécurité, dans des secteurs variés. Nous nous adaptons au cas par cas, c’est assez usuel. »
Ceci pour dire que la sécurité est un vrai métier, qui nécessite un sens de l’adaptation, de la réflexion ainsi que des actions cadrées. Identification, contextualisation, compréhension… Les actions menées sont plurielles et vont même jusqu’au reporting post-compromission. Dans tous les cas, il faut bien voir que les experts en cybersécurité évoluent au cœur de piliers que sont la surveillance, le contrôle, la minimisation de la surface d’exposition de l’infrastructure et les mises à jour. Tout ceci dans un écosystème où se déploient des modes opératoires divers et nombreux, et très souvent où plusieurs attaquants agissent (fournisseurs de services divers et variés : accès, revente, service). Ainsi, tout se monnaie pour atteindre des victimes potentielles, ce qui renvoie de facto à la mission – centrale – des Consulting Analysts. Au-delà de leurs actions strictement techniques, ceux-ci n’ont de cesse de rassurer ceux de leurs clients qui se trouvent parfois mis face à une réalité difficile à appréhender.