Les cyberattaques contre les systèmes d'entreprise, y compris les systèmes d'identité hybrides, continuent de faire la une des journaux, notamment les brèches récentes visant la société de soins de santé Henry Schein et le conglomérat de l'hôtellerie MGM Resorts. Outre ces attaques très médiatisées, l'équipe Semperis Breach Preparedness & Response Services a constaté un pic de demandes de la part de nos clients (et des clients de nos partenaires) pour les aider à se remettre d'attaques liées à l'identité.
Au cours de ces missions de réponse aux incidents (RI), j'ai observé des différences frappantes dans le délai de rétablissement et l'impact sur les différentes organisations, ce qui m'a amené à réfléchir au niveau de résilience de ces entreprises. Quelle est la différence entre une entreprise qui rebondit dans un délai relativement court après une attaque liée à l'identité et une entreprise dont le rétablissement s'éternise pendant des jours ou des semaines, entraînant des coûts considérables pour l'organisation ? Mon expérience directe m'a permis de conclure que la plus grande différence réside dans la capacité de l'organisation à orchestrer, automatiser et tester le processus de récupération.
Les sauvegardes ne sont qu'un début
Disposer de sauvegardes est évidemment un point de départ essentiel pour la reprise d'une activité. Bien que cela ne devrait plus être le cas aujourd'hui, certaines entreprises ont encore du mal à mettre en place des politiques et des procédures de sauvegarde hors ligne/hors site. Dans le cas d'une cyberattaque qui détruit l'environnement Active Directory, nous avons souvent constaté que la première cible de chiffrement est le serveur de sauvegarde et de restauration sur le réseau de l'entreprise. Une fois que les attaquants ont réussi à chiffrer le système de sauvegarde, ils passent au chiffrement du reste de l'organisation.
Recommandation : Assurez-vous d'avoir des sauvegardes hors ligne/hors site auxquelles il est impossible d'accéder en utilisant les mêmes informations d'identification que le reste de votre réseau de production.
Le processus de rétablissement peut être une pierre d'achoppement
Une procédure de reprise alambiquée peut également retarder le retour aux activités normales de l'entreprise. La meilleure approche en matière de reprise est celle du "progrès par la pratique". Dans de nombreux cas de RI que nous traitons, la majeure partie du délai de rétablissement est consacrée à l'obtention de l'approbation du processus de rétablissement par les bonnes personnes. Mais d'autres aspects de la reprise qui semblent évidents - comme la tenue d'une liste hors ligne des contacts clés et l'organisation des horaires de travail des experts - sont également négligés, ce qui complique encore une situation déjà chaotique par nature.
Wayne Hankins et Craig Porter, analystes chez Gartner, ont récemment souligné l'importance de la rapidité de récupération après une attaque de ransomware: "Les RSSI chargés de se préparer aux attaques de ransomware doivent renforcer leur résilience en élaborant une stratégie de confinement qu'ils peuvent mettre en œuvre pendant une attaque de ransomware. Si ce n'est pas le cas, le risque d'une réponse non coordonnée et inefficace augmentera, ce qui prolongera le délai de rétablissement."
Bien que Gartner ne fournisse pas d'instructions spécifiques sur la manière d'élaborer le manuel de reprise, je peux attester que plus une organisation recueille de détails, plus la reprise sera rapide. Pour découvrir ces détails, il faut s'entraîner à chaque étape du processus de reprise.
Recommandation : Assurez-vous que vous disposez d'une procédure de RI bien documentée qui fournit des détails sur tous les aspects du processus de récupération - et vérifiez que ces informations peuvent être consultées même si le réseau est en panne. Les informations de base (nous publierons une liste plus complète à l'avenir et établirons un lien vers celle-ci) sont les suivantes :
- Qui doit approuver les différentes étapes du processus - par exemple, qui peut autoriser le lancement de la procédure de récupération d'Active Directory ?
- Qui sont vos principaux fournisseurs (cette liste peut être différente selon qu'il s'agit d'un cas de RI ou d'opérations informatiques normales), et où se trouvent leurs coordonnées ?
- Quels sont les accords de niveau de service conclus avec vos fournisseurs ?
Le temps est le facteur critique de la réussite de la récupération
Une fois les sauvegardes récupérées et la procédure de récupération approuvée, le prochain défi est le temps. Le temps est le seul facteur qui joue en votre défaveur. Je dirais que si l'on dispose de suffisamment de temps et que l'on a accès à des sauvegardes valides, n'importe quel environnement peut être récupéré. Mais un temps de récupération trop long peut causer des dommages irréparables à l'organisation. Il existe un lien direct entre le temps d'arrêt opérationnel et le coût des dommages pour l'organisation. Bien qu'il ne soit pas courant que les efforts de récupération échouent complètement, les coûts associés à un temps d'arrêt excessif peuvent être dévastateurs.
Il est notoirement difficile d'évaluer avec précision le coût total des temps d'arrêt, et le résultat final varie en fonction de la taille de l'organisation et du secteur d'activité. L'estimation de 2014 de Gartner, selon laquelle les temps d'arrêt informatiques coûtent aux organisations, en moyenne, 5 600 dollars par minute, est toujours utilisée comme référence. Gartner a récemment indiqué que les coûts de récupération des attaques de ransomware en particulier ont augmenté de 20 % en 2023 par rapport à 2022.
Mais là encore, les coûts des temps d'arrêt peuvent varier considérablement : Selon Forbes, un constructeur automobile perd en moyenne 22 000 dollars par minute lorsque la chaîne de production s'arrête. La question pertinente n'est pas de savoir quel est le coût moyen des temps d'arrêt dans l'industrie. L'important est de savoir combien les temps d'arrêt coûteront à votre entreprise, non seulement en termes de coûts réels, mais aussi en termes de réputation et de dommages juridiques et réglementaires.
Recommandation : Veillez à orchestrer et à automatiser autant que possible le processus de reprise. La récupération orchestrée de systèmes complexes peut faire la différence entre des jours et des semaines de temps de récupération et des minutes et des heures. Par exemple, il a fallu neuf jours à Maersk pour récupérer son Active Directory après l'attaque NotPetya. Dans le même environnement, mais avec une solution orchestrée, le temps de récupération peut être réduit à 30 minutes.
La sécurité post-fraude permet d'éviter les attaques ultérieures
Une fois la récupération terminée, le dernier effort majeur du processus de récupération consiste à s'assurer que l'environnement est sécurisé et qu'il est digne de confiance. La dernière chose à faire est d'exposer l'environnement restauré trop tôt, ce qui pourrait ouvrir la porte à des attaquants qui reviendraient immédiatement pour le démanteler à nouveau. Vous devez identifier et éradiquer les logiciels malveillants persistants avant de remettre les systèmes en production.
Recommandation : Veillez à ce que votre processus de RI comprenne une procédure bien définie de sécurisation de l'environnement après la reprise. La procédure devrait comprendre l'analyse de tous les systèmes pour détecter les indicateurs d'exposition (IOE), les indicateurs de compromission (IOC) et les indicateurs potentiels d'attaque (IOA).
Se concentrer sur la réduction des temps d'arrêt pour améliorer la cyber-résilience
Se préparer au pire scénario est la première étape pour s'assurer que votre organisation peut survivre à une cyber-catastrophe. Le nombre et la gravité des attaques contre les organisations de toutes tailles, de tous les marchés verticaux et de toutes les zones géographiques augmentent chaque mois.
Sur la base de l'expérience que j'ai acquise en aidant des organisations à se remettre d'attaques dévastatrices, je recommande vivement à tous les chefs d'entreprise d'accorder la priorité à l'élaboration d'un plan de reprise après sinistre entièrement testé et axé sur la cybercriminalité. Bien qu'il soit impossible de prévenir toutes les cyberattaques, il est possible de réduire considérablement le délai de reprise. Cette réduction du temps d'indisponibilité pourrait être le facteur déterminant de la survie de votre entreprise.