Par Claire Loffler, Security Engineer chez Vectra AI
Au moment où se déclenche une cyber-attaque, une partie des actions à engager est de nature technique et liée aux indicateurs qui sont à la disposition des experts. Une autre consiste à se rapprocher de l’organisation impactée. Objectif : apporter de la méthode et être factuel, afin d’accompagner les équipes dirigeantes.
Une cyber-attaque entraîne des actions immédiates, plurielles, rapides. Mobilisés au plus vite, les Consulting Analysts et leurs équipes opèrent leurs premiers mouvements avec un objectif majeur, prendre la mesure de l’agression en cours.
- De quelle nature est l’attaque ?
- Qui sont les agresseurs ?
- Quelle est leur stratégie ?
- Surtout, comment leur fermer le plus de portes possibles afin de leur éviter de frapper l’organisation en son cœur, occasionnant une perte massive de données dont celle-ci mettra parfois plusieurs mois à se relever ?
Autant de questions cruciales qui sont à traiter dans les délais les plus rapides.
Contextualiser l’agression, percer la stratégie de l’agresseur
Au cours de cette première étape de réponse il est opportun, pour ne pas dire vital, d’établir au plus vite un constat global. Ici, il convient particulièrement de rappeler l’importance d’une articulation étroite et active entre la machine et l’être humain. Car si l’Intelligence Artificielle et le Machine Learning ont un intérêt majeur au moment de parer une attaque, le concours du cerveau humain est de première importance. L’urgence consiste alors à contextualiser l’agression, à tenter de comprendre quels sont les objectifs et la stratégie des attaquants, mais aussi à savoir qui ils sont, quelles sont leurs motivations et d’où ils viennent. Cette action doit être prise en charge par au moins un Consulting Analyst, la plupart du cas par deux d’entre eux afin que les points de vue puissent être confrontés et enrichis. Dans certains cas d’attaques particulièrement massive et délicate à circonscrire, une équipe peut être mobilisée 24 heures sur 24 et 7 jours sur 7. Voici pour ce que l’on pourrait appeler la partie immergée de l’iceberg, c’est-à-dire l’ensemble des actions qui sont engagées par les techniciens.
Le lien avec le client est primordial
Il existe une partie plus émergée : le lien avec le client. Dans un tel contexte, celui-ci se révèle primordial. Comprendre l’attaque passe en effet par des échanges approfondis avec les équipes qui, du côté de l’organisation impactée, sont confrontées à l’agression, et peuvent parfois être désemparées. Rassurer, assister, rechercher, orienter… Voici les missions qui sont confiées à certains Consulting Analysts.
C’est notamment le cas de celles dont s’acquitte Martin Baker, dont le travail est d’assurer le lien avec le client attaqué lorsque les dommages se déclarent. « Parfois, l’attaque est assez classique, sans nuance : c’est noir ou c’est blanc, et donc assez aisé à contrer », explique-t-il. « Dès que l’attaque est déclenchée et que le client nous la signale, nous allons le voir. Nous réalisons un brief sur ce que les équipes pensent qu’il est arrivé. Qu’est-ce qui a été découvert ? Quels sont les faits ? Nous recherchons alors à collecter un maximum d’informations, à un moment où tout est encore frais dans l’esprit de chacun. Car nous devons bien sûr intervenir rapidement. »
Aller jusqu’à de larges investigations
Dans un grand nombre de cas, l’attaque s’inscrit dans un format classique, que les experts en cyberdéfense ont déjà rencontré et pour lequel ils disposent de réponses balisées. Mais dans d’autres cas, par exemple lorsqu’une attaque est massive, il faut procéder de manière méthodique afin d’apporter une réponse plus personnalisée. « Nous réalisons alors une timeline très précise des événements qui se sont produits. Quelle est la machine qui a été touchée ? Y a-t-il eu des mouvements latéraux ? Quand ? Vers quel poste ? A-t-on été attaqué par la 'front door’ ? Par la ‘back door’ ? »
Dans certaines configurations, le client dispose d’un SOC, un Security Operation Center, ce qui permet à Martin Baker et à ses collègues d’avoir accès à des données techniques claires. Dans d’autres configurations, il faut se lancer à la recherche d’un ensemble de détails, investiguer, refaire le puzzle… « Cela peut prendre pas mal de temps, parfois des semaines », détaille Martin Baker. « Tout le scénario doit être retracé : qui sont les attaquants, pourquoi veulent-ils faire certaines choses… Connaître leur stratégie est essentiel car nous avons une très bonne connaissance des groupes APT qui sont actifs et pouvons, une fois qu’ils sont identifiés, trouver des réponses. J’ai le souvenir d’une attaque dans laquelle les informations d’identification avaient été compromises, rendant l’identification de la source très délicate. Dans ces cas, notamment lorsque l’attaque est massive, nous multiplions la présence d’analystes dans les équipes. Il faut de l’intelligence collective, mais il faut aussi toujours un second regard. »
Cette mixité permet aux équipes d’effectuer un bilan d’ensemble, une fois que l’attaque a pu être circonscrite et que tout est rentré dans l’ordre.
- Qu’est-ce qui est arrivé ?
- Comment cela est-il advenu ?
- Est-ce que le pare-feu est en cause ?
- Est-ce l’authentification qui a été violée ?
- Un ransomware a-t-il été utilisé ou la faiblesse vient-elle d’une application ?
« En agissant de la sorte, au plus près du client, nous essayons avant tout d’agir avec méthode, en demeurant très factuel et processé. Surtout, nous ne jugeons jamais les entreprises. Une attaque peut être très traumatisante pour elle et notre rôle – au-delà de la dimension technique du travail – est de rassurer, d’épauler, d’aider. En espérant que le bilan effectué à la fin des opérations permettra à l’organisation de recouvrer toutes ses données, et de repartir de plus belle », conclut Martin Baker.