Close
  • Français
  • English

31/12/2015Cyberattaques : Sortie de crise et mesures attendues [par Daniel Guinier, Expert en cybercriminalité et crimes financiers près de la Cour Pénale Internationale de La Haye]

Suite au modèle de représentation des cyberattaques fondé sur des caractéristiques décomposables et la dynamique du processus par étapes, l’auteur en montre les mesures essentielles et propose un plan de sortie de crise intégré au PRA[1].

Introduction

Si les victimes de cyberattaques n’ont pas toujours la capacité d’en supporter les coûts directs, ils ont également à faire face à d’autres conséquences négatives liées à la remise en ordre de la situation. Il s’agit de surcoûts en rapport avec les personnels et heures supplémentaires, les experts et consultants externes à engager, les mesures techniques de sécurité à mettre en place dans l’urgence, après l’attaque. A ceci, viennent s’ajouter les changements organisationnels, la réparation des dommages causés aux systèmes, infrastructures, logiciels et données, la perte de revenus et de clientèle, et en complément, les efforts pour maintenir la relation avec cette clientèle. D’autres conséquences sont en rapport avec la responsabilité pour les montants ou les données volées lors de l’attaque, et pour les dommages causés à des tiers, notamment pour non respect des obligations légales ou contractuelles. L’ensemble peut conduire à des litiges portés en justice susceptibles de compromettre la réputation et l’image de l’organisme, et d’entamer la confiance des clients comme des partenaires.

 

Sortie de crise lors d’une cyberattaque

Observations préalables pour une réaction adaptée

Pour pouvoir déterminer la réalité de la situation supposée, il s’agit d’en retracer le déroulement, afin de s’assurer qu’il s’agit bien d’une cyberattaque, et si elle se poursuit ou non. Le catalogue et sa dynamique seront déterminants comme indicateurs, tout comme la criticité des services et des processus touchés, pour juger de l’état de crise. Ceci implique la classification des processus, des actifs, des systèmes et des données, associée à un suivi régulier pour la mise à jour, sans omettre l’application de bons réflexes[2].

Au seul plan technique, une infrastructure et un logiciel dédiés à la surveillance des événements, tout comme l’analyse visuelle et automatisée des logs[3] : d’accès, de connexion et de trafic, et le constat d’anomalies de comportement, devraient permettre la détection précoce de cyberattaques par corrélation d’événements, ainsi que la suggestion de corrections et d’améliorations à apporter.

Chaque mois, près de 10000 Téraoctets de données de sécurité ou de hacking sont transférées ou relayées sur l’Internet. Ces volumes massifs de données constituent une part de la datamasse dénommée Big Data“. La sélection et la transformation des données relatives à la cybersécurité, leur mise en relation, -notamment avec des incidents internes et d’autres signaux faibles-, et leur présentation, seraient susceptibles de participer à la prise de décision par des analyses prédictive, contextuelle et comportementale, auxquelles le “Big Data” sous-tend[4]. Le but est ici de réduire le risque d’accident, d’erreur et de malveillance, par des mesures de prédiction combinées aux autres mesures génériques, avant tout pour éviter la réalisation de cyberattaques.

Ceci est malgré tout insuffisant pour l’assurance de restaurer le système d’information avec un retour à l’activité normale sans trop d’impacts. La réussite tient du niveau de préparation et de la bonne gestion de la situation, tandis que l’échec résulte de la précipitation lié à un manque de maturité. Il est nécessaire de procurer une réaction adaptée à l’état de la crise et à la variété des cyberattaques en respectant les bonnes pratiques, selon l’état de l’art et les procédures en vigueur. Cette réponse se doit donc d’être planifiée, coordonnée et contrôlée, mais aussi accompagnée d’une communication ad hoc. Ceci suppose de disposer de compétences suffisantes, tant internes qu’externes, avec une expertise en termes de management, d’organisation, techniques et juridiques[5].

Intégration de la réaction au plan de reprise d’activité

L’intégration au plan de reprise d’activité (PRA) dans un chapitre destiné à la gestion d’une cyberattaque[6] est naturelle, au vu de la norme sur les exigences du système de management de la continuité d’activité ISO 22301.

La spécification rationnelle[7] d’un plan structuré devrait permettre de couvrir l’ensemble des objectifs. C’est sur cette base que serait ensuite établi le dispositif pour satisfaire les exigences en termes de fonctionnalités : organisation, compétences, secours, technologies, données, etc., et d’assurance : conception, sauvegarde et archivage, documentation, tests, audit, veille, etc., pour disposer d’une solution globale cohérente et digne de confiance. Ces exigences feraient alors appel à des mesures, techniques et non techniques, et à des procédures, dans un but de cohérence opérationnelle, en s’appuyant sur la conformité et l’efficacité, -de la conception du PRA à sa mise en œuvre-. Elles se retrouveront dans la formulation des éléments constitutifs du PRA, sous forme de modules attachés à des rôles prompts à évoluer, en fonction de la veille sur les cyberattaques, des activités nouvelles et des changements du SI, et surtout, de la situation de crise rencontrée.

Cette méthode innovante d’ingénierie des plans de crise devrait assurer la souplesse et la robustesse, malgré les changements de contexte et les crises imprévues.

 

Modèle reliant le catalogue des entités à l'ensemble des mesures attendues

Modèle reliant le catalogue des entités à l’ensemble des mesures attendues

La figure présente les liens entre les attributs des différentes entités vis-à-vis de l’ensemble des mesures génériques attendues[8] qu’il s’agit de combiner pour une sécurité plus en profondeur[9].

L’organisation de crise repose sur trois groupes : Le groupe D de direction se réunit au sein d’une cellule de crise pour prendre les décisions. Il lui est attaché un porte-parole pour la communication de crise avec l’extérieur et les médias. Ce dernier relève de l’autorité de la direction générale. Le groupe C3[10] coordonne, contrôle et assure la communication interne. Enfin, le groupe O est en charge de l’exécution des opérations. La cellule de crise concrétise la réunion des responsables de ces groupes en un lieu prévu. Elle regroupe les organes de décision et de cohésion pour la bonne exécution du PRA. Elle pilote et assure la gestion de la crise et le soutien des opérations. Son responsable décide de l’activation du PRA du fait d’un état avéré de crise, selon la procédure, les moyens prévus et les informations qui lui sont fournies, en s’appuyant sur une échelle de gravité préétablie ou par analogie. Pour faire face à la diversité des situations, les équipes seront constituées pour assumer les responsabilités qui leur sont confiées et les tâches dont elles auront la charge ; le cas d’une cyberattaque d’envergure étant un scénario parmi d’autres.

 La réaction s’inscrit au paragraphe cyberattaque dans le cadre d’un PRA, avec une organisation et une communication de crise commune pour disposer d’une réponse coordonnée. Des éléments particuliers viennent s’y greffer du fait de besoins en surveillance, en collecte et conservation des données de preuves, pour les analyses inforensiques et les investigations. Certains points nécessitant des compétences particulières et des méthodes appropriées nécessiteront d’envisager le recours à des moyens complémentaires, par une aide extérieure préalablement planifiée[11].

 Lors de la découverte d’une attaque, il s’agira, -avant même le déclenchement du PRA-, de réagir vite en appliquant les procédures de première urgence, avec une compréhension suffisante de la situation et des difficultés à attendre, et en agissant avec prudence, pour ne pas dégrader encore plus la situation et préserver les preuves. Le plan d’urgence permettra de notifier l’état d’alerte et de préparer la cellule de crise, afin de rendre le dispositif de crise opérationnel pour une meilleure réaction à la situation qui se présentera. Le plan de secours permettra la survie en mode dégradé et la conduite des opérations jusqu’à la reprise et au retour à la normale, en s’appuyant sur le plan de sauvegarde des données et le plan de communication de crise pour préserver la confiance et l’image de l’organisme. Un tel PRA sera en mesure de prendre en considération les menaces les plus variées, -connues ou non, sinon prévisibles-, à l’encontre des processus, du système d’information (SI), des données, mais aussi de la réputation des organismes comme des personnes[12].

La politique de sécurité interne de l’organisme sera à même de fournir les principes et règles[13] à adopter au niveau décisionnel, pour en déduire, -après évaluation du degré de besoin, la mise en œuvre opérationnelle, aux plans organisationnel et technique, concernant le SI et l’information, les actifs, les personnels internes et extérieurs, permanents ou temporaires, etc. A ce propos, la méthode EBIOS[14] se révèlera utile conformément au référentiel général de sécurité [15] et aux normes ISO 27001, 27005 et 31000.

Conclusion et perspective

 Non seulement les cyberattaques sont à éviter par diverses mesures, jusqu’au recours au “Big Data”, mais la question relève aussi de la crise sous-jacente à laquelle elles conduisent et principalement des capacités de réaction. Il reste que bien des organismes ont des difficultés à appréhender de telles attaques, malgré les efforts consentis, le plus souvent en corrigeant des symptômes et en se limitant au plan technique. Il existe des causes plus profondes liées à la faiblesse intrinsèque et à la résilience des organismes. Elles restent à examiner pour assurer la continuité des activités, en cas de sinistre, ou de crise suite à une cyberattaque.

Au contraire des propos d’André Gide[16] : “Qu’est-ce que vous allez chercher là-bas ? J’attends d’être là-bas pour le savoir“, les organismes devraient d’ores et déjà s’inquiéter et prendre des mesures en profondeur : de sensibilisation, de prévention et de détection, et d’autres, de protection pour résister à la crise et s’assurer du retour à une situation normale, en s’appuyant sur un plan de reprise d’activité (PRA). Il reste que chacun d’être vigilant et de suivre les procédures indiquées dans le guide des bonnes pratiques de sécurité compris et adopté par les personnels.

Enfin, considérant l’évolution des menaces et des impacts potentiels, il faut observer que la lutte contre la cybercriminalité, -en général et au vu des cyberattaques en particulier-, est attendue au plan international, de façon parallèle au développement d’une politique nationale volontariste de lutte[17] engageant les pôles cyber dans leur ensemble, avec les secteurs public et privé.

 

Bibliographie

ANSSI (2010) : Méthode et logiciel EBIOS 2010

ANSSI (2012) : Les bons réflexes en cas d’intrusion sur un système d’information. Note d’information du CERT-FR

ANSSI (2013) : Guide d’hygiène informatique, 49 pages

DCSSI (2004) : Guide pour l’élaboration d’une politique de sécurité de système d’information, PSSI, mars

G.N. (2010) : Le guide pratique du chef d’entreprise face au risque numérique. Version 2.0, 91 pages

http://www.montauban.cci.fr/uploads/assets/entreprises/guide_pratique_chef_entreprise.pdf

G.N. (2011) : Analyse prospective sur l’évolution de la cybercriminalité de 2011 à 2020. Version 1.0, 55 pages

https://www.signal-spam.fr/sites/default/files/Prospective%202020%20v1%200_0.pdf

Guinier D. (1994) : Catastrophe et management – Plans d’urgence et continuité des systèmes d’information. Masson, Paris, 323 pages

Guinier D. (2003) : Ingénierie du plan de reprise d’activité – Spécification rationnelle du PRA et approche par composants et rôles. 15th Ann. Canadian Information Technology Security Symp., Ottawa, GoC/CSECST,12-15 mai

Guinier D. (2006a) : Dispositif de gestion de continuité – PRA/PCA : une obligation légale pour certains et un impératif pour tous Expertises, n° 308, Nov., pp. 390-396

Guinier D. (2006b) : La politique de sécurité, in l’encyclopédie de l’informatique et des systèmes d’information, Vuibert Sciences, pp. 1486-1498

MinDéf (2013) : Livre blanc Défense et sécurité nationale 2013, Ministère de la Défense, 160 pages.

MinJust (2014) : Protéger les internanautes – Rapport sur le cybercriminalité, du groupe de travail interministériel sur la lutte contre la cybercriminalité, 277 pages, et annexes, 207 pages.

http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf

http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite_annexes.pdf

SCSSI (1994) : Guide pour l’élaboration d’une Politique de Sécurité Interne (PSI) à l’usage du responsable de la sécurité du système d’information, Version 1.1

SGDSN (2015) : Stratégie nationale pour la sécurité du numérique, Premier ministre, 16 octobre, 40 pages.

Références:

[1] Reprise de la fin de son article de La revue du GRASCO (Groupe de Recherches Actions sur la Criminalité Organisée), n°14, déc. 2015.

[2] Voir ANSSI (2012) : note d’information du CERT-FR sur les bons réflexes en cas d’intrusion.

[3] Les logs sont des enregistrements des traces d’événements qui ont eu lieu sur une machine : poste de travail, serveur, ou autre, et des communications : depuis ou vers cette machine, notamment  au niveau du pare-feu (“firewall”).

[4] Il s’agira pour cela de disposer de solutions pratiques capables de traiter des volumes gigantesques de données disparates, structurées ou non, produites ou non en temps réel, depuis tout point du cybersespace. Les enjeux relèvent d’une politique volontariste, d’une évolution législative et des efforts en matière de R&D, notamment pour disposer d’algorithmes et de compétences variées en la matière. Le “Big Data” nécessitera l’engagement des décisionnaires pour changer les politiques vis-à-vis des données, à l’intérieur comme à l’extérieur, en se projetant dans l’avenir pour prendre en compte l’évolution conjointe des questions juridiques et des solutions techniques, tout en s’assurant de l’utilisation du “Big Data” en conformité avec la législation et les règlements.

[5] Des actions importantes, relèvent en effet de la collecte de données de preuves et d’investigations, ce qui nécessite une expertise technico-juridique, et le recours à des méthodes inforensiques plus ou moins complexes, tant pour la sauvegarde et que pour l’analyse pour être judiciairement admissibles. D’autres relèvent aussi de la sauvegarde et de la restauration de données fiables.

[6] Dénommé ici : “PRA § Plan cyberattaque”.

[7] Approche par composants et rôles fondée sur l’ingénierie décrite dès 1994 par D. Guinier (1994, 2003 et 2006a).

[8] Conformément au modèle systémique commun aux pôles cyber décrit par D. Guinier (2013).

[9] Le guide d’hygiène informatique de l’ANSSI (2013) présente à cet effet 40 règles essentielles émanant de 13 points.

[10] C3 pour : Coordination, Contrôle et Communication.

[11] Qu’il s’agisse de compétences privées, avec l’aide de fournisseurs et  prestataires spécialisés qualifiés, et publiques, avec l’apport de l’ANSSI, d’enquêteurs spécialisés des forces de l’ordre : police ou gendarmerie, etc. S’agissant de consultants, il y a lieu de privilégier ceux qui dispose de certifications délivrées au niveau international notamment par l’ISC2 et l’ISACA pour la sécurité des SI, et par les instituts BCI et DRII pour la gestion des crises.

[12] L’impact qualitatif dépendra de la nature de l’attaque, de la conjoncture et du type d’impact : judiciaire, financier, sur la production, l’image, le climat social, les compétences, la clientèle, les fournisseurs, les opportunités…

[13] Voir les guides SCSSI (1994) et DCSSI (2004), et D. Guinier (2006b) concernant les fondements, l’élaboration, la mise en œuvre de la politique de sécurité des organismes.

[14] EBIOS est une méthode développée par l’ANSSI.

[15] Le RGS est le cadre règlementaire défini aux fins d’instaurer la confiance dans les échanges électroniques au sein de l’administration et avec les citoyens, tout en étant adaptable aux enjeux et besoins des entreprises.

[16] Dans “Voyage au Congo”, paru aux éditions Gallimard en 1927.

[17] Voir MinJust (2014) et SGDSN (2015).