Les RSSI du secteur financier doivent faire face à un nouveau défi réglementaire. En début d'année, la Securities and Exchange Commission (SEC) a adopté de nouvelles règles en matière de réponse aux incidents de cybersécurité et de divulgation, exigeant de nouvelles approches en matière de planification de la reprise après sinistre. Pour les organisations concernées, les nouvelles exigences du règlement S-P de la SEC imposent un nouveau regard sur la sécurité de leur infrastructure d'identité.
Active Directory (AD), en tant que système critique contrôlant l'accès au réseau, doit faire l'objet d'une attention particulière dans le cadre de cette amélioration. Une compromission d'AD pourrait facilement constituer un incident à déclarer, ce qui rend les capacités de récupération d'AD essentielles pour respecter les délais de divulgation serrés de la SEC. Pour se préparer, les RSSI devraient commencer par évaluer (et tester) leurs plans de reprise après sinistre AD actuels, identifier les lacunes par rapport aux nouvelles exigences et mettre en œuvre des solutions de reprise automatisées pour améliorer la réactivité.
Ce que les nouvelles exigences du règlement S-P de la SEC signifient pour les RSSI
La SEC exige des entreprises qu'elles informent les clients concernés dans les 30 jours suivant la survenance d'une cyber-faille. L'entreprise doit procéder à une analyse médico-légale de la violation :
- Ce qui s'est passé
- Comment cela s'est passé
- Ce qui a été violé
Pour répondre à ces exigences de base en matière de rapports, dans 90 % des cas, les entreprises doivent d'abord restaurer Active Directory. Sans un AD fonctionnel, le réseau plus large et les systèmes opérationnels risquent d'être indisponibles.
Pour mieux illustrer les conséquences d'une protection inadéquate de l'AD, prenons l'exemple suivant :
- 74% des violations de données commencent par une utilisation abusive des informations d'identification privilégiées
- Le temps moyen nécessaire à un acteur malveillant pour accéder à AD est de 16 heures
- Le temps médian nécessaire à un attaquant pour se déplacer latéralement après la compromission de l'appareil est de 1 heure et 42 minutes
- Le délai moyen de récupération d'Active Directory après une attaque est de 21 jours
Désormais, conformément aux exigences du règlement S-P de la SEC, les entreprises doivent également être en mesure de "se remettre d'un accès non autorisé aux informations sur les clients et d'une utilisation non autorisée de ces informations". La SEC reconnaît que les entreprises "doivent anticiper et se préparer à la possibilité de se voir refuser l'accès à un système particulier et mettre en place des procédures pour se conformer aux exigences en matière de notification".
Un plan détaillé et documenté pour la récupération des données est essentiel pour répondre à ces exigences.
Active Directory : la cible privilégiée
Au cours des trois dernières années, de nombreuses attaques à grande échelle ont visé Active Directory, l'épine dorsale de la plupart des réseaux d'entreprise. Si AD est hors service, tous les systèmes sont généralement hors service.
Il s'agit d'un changement radical par rapport aux cibles d'attaque prévisibles telles que les données des patients et les fichiers comptables de votre organisation. Pour protéger ces actifs critiques contre les attaques, vous devez d'abord identifier les systèmes qui en contrôlent l'accès.
Active Directory, qui gère l'authentification des utilisateurs et les droits d'accès sur le réseau, est devenu un vecteur d'attaque lucratif. Les acteurs malveillants cherchent à accéder à Active Directory parce qu'il constitue le chemin le plus facile vers l'ensemble de votre réseau, offrant un accès au niveau de l'utilisateur et même de l'administrateur à tout ce qui se trouve à l'intérieur de ses limites. Et c'est une cible facile : De nombreux environnements AD anciens présentent des failles de sécurité qui se sont accumulées au fil du temps, créant ainsi d'innombrables portes d'entrée pour les attaquants.
Malheureusement, il est souvent plus difficile de se remettre d'une attaque contre Active Directory que d'une attaque contre d'autres applications critiques ou même contre vos serveurs. Bien que le processus soit le même - arrêter l'hémorragie, commencer le rétablissement et communiquer avec les parties prenantes conformément aux directives de la SEC - il peut être difficile de déterminer l'ampleur de l'attaque, la durée de la compromission du système et même la manière dont il est compromis. Les serveurs peuvent être redémarrés sur un fichier de récupération, mais souvent, AD doit être trié, récupéré et réinstallé dans toute la forêt, ce qui prolonge les délais de récupération de quelques jours à plusieurs semaines. Ce n'est qu'après la récupération que vous pouvez commencer une analyse médico-légale pour déterminer l'étendue et la portée de l'attaque.
Protéger et planifier la récupération
Compte tenu de la gravité d'une attaque contre Active Directory, comment pouvez-vous vous protéger et planifier une reprise rapide ? Votre plan de reprise après sinistre doit tenir compte de la véritable nature d'une compromission d'Active Directory.
- Reconnaître la portée potentielle. Vous devez commencer par reconnaître la portée potentielle d'une attaque. Non seulement vous avez affaire à une attaque de système, mais les noms d'utilisateur et les mots de passe de vos employés sont probablement exposés. En général, si un attaquant accède à Active Directory, il dispose des informations d'identification nécessaires pour accéder à d'autres systèmes. Tous les actifs critiques, y compris les dossiers de vos clients et de vos patients, sont compromis. Une fois qu'un pirate s'est emparé d'Active Directory, il dispose d'un pouvoir considérable, qui a des répercussions sur l'ensemble du réseau de votre organisation et sur les actifs connectés au réseau.
- Évaluez la capacité de votre organisation. Vous devez également évaluer la capacité de votre organisation à trier les attaques et à y remédier. Souvent, les vecteurs d'attaque d'AD sont obscurcis. Il peut s'agir d'un point d'accès unique, comme le nom d'utilisateur et le mot de passe d'un employé. Dans d'autres cas, les attaquants ont pu créer des portes dérobées qui permettent un accès continu et sans protection. L'analyse forensique peut aider à révéler comment et où la compromission s'est produite, il est donc important de s'assurer que votre organisation dispose des ressources et de l'expertise nécessaires pour effectuer l'analyse forensique. C'est là qu'un partenariat avec une société tierce s'avère utile. Si votre organisation ne dispose que d'un nombre limité d'analystes judiciaires qualifiés, les organisations spécialisées dans la restauration AD - y compris l'analyse post-fraude - peuvent vous fournir les outils et le support à la demande dont vous avez besoin pour accélérer une restauration complète.
- Tenir compte du temps de récupération prolongé. Votre plan de reprise après sinistre doit également tenir compte du temps réel nécessaire pour se remettre d'une attaque AD. Cela implique souvent
- Isolement de l'environnement compromis
- Reconstruction de l'infrastructure Active Directory
- Vérification et nettoyage de tous les systèmes connectés
- Mise en œuvre de nouvelles mesures de sécurité
- Formation des employés aux nouveaux protocoles de sécurité
Ces étapes peuvent prendre des semaines, voire des mois, ce qui peut avoir une incidence sur la capacité de votre organisation à fonctionner sans interruption.
Les enjeux et la solution
Face à la sophistication croissante des cybermenaces, les entreprises du secteur financier et bancaire sont confrontées à un environnement de sécurité difficile - la protection d'Active Directory doit être une priorité absolue. AD est une cible de choix pour les cybercriminels car il constitue l'épine dorsale de la plupart des réseaux d'entreprise. Les dommages potentiels d'une compromission d'AD sont considérables, et la récupération peut être complexe et prendre du temps.
La protection de votre AD est intrinsèquement liée à la sécurité de l'ensemble de votre écosystème numérique. En comprenant les risques, en mettant en œuvre des mesures préventives solides et en élaborant un plan de reprise complet, les organisations peuvent mieux naviguer dans les nouvelles exigences du règlement S-P de la SEC et mieux se protéger contre l'évolution des menaces.
En savoir plus sur le rôle de la sécurité d'Active Directory dans la résilience la résilience cybernétique et opérationnelle des services financiers.
Plus de ressources
