Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Un CSIRT n’est utile que lorsqu’il est trop tard
Un CSIRT est une sorte d’assurance incendie pour l’IT, mais elle ne protège pas votre maison des flammes, prévient Steven De Munter, Orange Cyberdefense.
« Un CSIRT est comparable aux services des pompiers : ils sont joignables 24 heures sur 24 et 7 jours sur et interviennent rapidement pour éteindre un incendie ainsi qu’en trouver la cause ! »
Et Steven De Munter, Cybersecurity Advisory Services, Orange Cyberdefense, de commenter : « Cela constitue une assurance pour votre environnement IT, mais, en elle-même, elle reste insuffisante. Surtout lorsqu’on sait qu’il est parfaitement possible d’éviter de nombreux petits incendies en prenant les bonnes mesures de prévention. »
Vous êtes victime d’une cyberattaque ? A ce moment-là, il est important d’agir très rapidement. Un CSIRT se rend immédiatement sur site pour réduire la propagation de l’incendie et aider votre organisation à redevenir opérationnelle le plus rapidement possible. L’équipe CSIRT dispose d’outils et d’experts spécialisés qui savent exactement comment réagir afin de résoudre le problème et de découvrir comment l’incendie s’est déclaré. « Tout cela semble très beau et disposer d’un CSIRT est incontestablement un atout pour votre organisation. D’autre part, celle-ci se porterait encore mieux si vous ne deviez jamais y faire appel. En effet, imaginez-vous qu’en adoptant les bonnes mesures, vous pouvez rendre votre organisation et les autres résilientes aux cyberincendies ? »
Mieux vaut prévenir que guérir
En pratique, force est de constater que les entreprises investissent souvent dans un CSIRT alors que leur cybersécurité laisse à désirer, observe le spécialiste de Orange Cyberdefense. Elles ne bouchent pas toutes les failles, ne disposent pas d’une sécurité réseau bien établie et omettent souvent de sensibiliser leurs collaborateurs, trop souvent érigés en « pare-feu humains ». De cette manière, « un CSIRT donne un faux sentiment de sécurité… facilitant grandement la tâche des hackers. »
Considérez un CSIRT comme une sorte d’assurance pour votre organisation, invite Stéphane De Munter. « Il est intéressant d’en avoir un en cas de problème, mais -bien évidemment- on espère ne jamais en avoir besoin. Prenons une autre analogie : il est important d’avoir une assurance auto, au cas où vous seriez impliqué dans un accident, mais cela ne vous empêche pas, à chaque trajet, de boucler votre ceinture de sécurité et de respecter le code de la route pour éviter tout accident. De plus, vous n’allez pas rouler de manière totalement aberrante en appuyant aveuglément sur l’accélérateur. Vous devrez également tenir compte des autres usagers de la route, qui sont susceptibles de causer un accident en manœuvrant brutalement ou en ayant un comportement inadapté ou dangereux. Lorsque les précautions nécessaires ne sont pas prises, une vulnérabilité d’un de vos fournisseurs peut s’étendre rapidement vers vos propres systèmes IT. A ce moment-là, un contrat CSIRT, aussi cher soit-il, ne changera absolument rien à cette situation ! »
Organisez des exercices incendie réguliers
Pour l’organisation, les cyberattaques sont comme ces risques liés à la circulation. On sait qu’elles peuvent se produire soudainement, mais on met tout en œuvre afin que cela n’arrive pas. « Vérifiez ce que vous pouvez mettre en place pour anticiper un ‘cyberincendie’. Quelles failles faut-il réparer ou quels éléments ‘inflammable’ doivent être sécurisés ? Comment configurer vos pare-feux afin de protéger vos données précieuses ? Pensez également à mettre en place une bonne stratégie de sauvegarde ainsi qu’une stratégie de connexion sûre qui vous permettra, en cas d’incident, de voir rapidement où et quand l’incendie s’est déclaré. De cette manière, vous perdez moins de temps et vous pourrez mieux évaluer les systèmes potentiellement compromis ou à quel endroit une braise est encore ardente. »
Les collaborateurs restent un maillon faible, les hackers en abusent. Par conséquent, organisez des formations en suffisance afin qu’ils adoptent les bons comportements, conseille Stéphane de Munter. « Vous ne voudriez par exemple pas qu’ils jettent un mégot de cigarette dans la poubelle sans l’avoir éteint… Les données devenues inutiles ne doivent pas traîner. Elles doivent être détruites avant de tomber entre de mauvaises mains. Lorsqu’ils sont bien sensibilisés, vos collaborateurs viendront en outre vous signaler tout événement suspect. De cette façon, un petit incendie peut être généralement vite éteint avant que les flammes ne se propagent. »
Tout comme les exercices incendie sont obligatoires, les entreprises devraient avoir le réflexe d’organiser l’équivalent pour leur cyber-environnement. En somme, mettre le feu à une poubelle virtuelle et voir si quelqu’un réagit ! Ou, alors, organiser un exercice de simulation d’intervention en cas d’incident : simuler une attaque afin d’évaluer l’impact qu’elle celle-ci peut avoir sur l’organisation. C’est également un excellent moyen pour sensibiliser la direction.
Partagez vos informations avec d’autres entreprises
Généralement il n’y a pas de fumée sans feu. Avant qu’un incendie se déclare, les signes précurseurs sont déjà présents. Pensez à un appareil qui surchauffe. Les entreprises auraient dès lors tout intérêt à communiquer davantage avec les autres acteurs de leur propre secteur d’activité. Si les hackers parviennent à attaquer une banque par une vulnérabilité dans un système, d’autres banques qui utilisent le même système sont aussi à risque. « Cette obligation de notification est un pilier important de la future directive NIS2, mais les organisations devraient également faire preuve d’initiative et partager l’information. La meilleure réunion de crise est celle organisée avant même qu’il soit question d’une crise. L’objectif étant, à terme, de rendre toute une industrie cyber-résiliente. »
En conclusion, étant donné qu’il ne sera jamais possible d’éliminer totalement le risque d’une cyberattaque, un CSIRT offre un peu de sérénité… mais ce n’est pas une raison pour adopter une attitude laxiste en ce qui concerne vos investissements et activités en matière de cybersécurité, insiste encore Steven De Munter. « Un CSIRT n’est utile que lorsqu’il est trop tard. Réfléchissez à ce que vous coûtent trois ans d’assurance et au coût global d’une cyberattaque par ransomware qui paralyserait votre organisation pendant une semaine… En prenant les bonnes mesures de cybersécurité, vous limiterez non seulement le risque d’incendie, mais vous réduirez également l’impact d’un cyberincident. A cet effet, au lieu de mobiliser tout un service d’incendie, un bon extincteur sera peut-être suffisant… »