Accueil

Exercices de simulation de rançongiciels : Guide du professionnel en résilience pour la reprise des activités en entreprise

Un exercice de simulation sur table de ransomware ou un exercice pratique qui est un forum structuré basé sur la discussion présentant un scénario d’attaque réaliste et permettant aux équipes de se préparer, de réagir, de répondre et de s’en remettre.
5 min de lecture
Chandrasekar S
Chandrasekar S
Directeur général adjoint, Cybersécurité, HCLTech
5 min de lecture
Exercices simulés de rançongiciels : Guide du professionnel en résilience pour la reprise des activités en entreprise

Introduction

Depuis que le monde a recommencé à reprendre ses activités professionnelles à plein potentiel après la COVID-19, une autre perturbation a commencé à prendre de l’ampleur. Cette fois, elle est complètement d’origine humaine. Les rançongiciels sont devenus une arme puissante dans le monde numérique. Peu importe si vous dirigez une petite start-up ou une grande entreprise manufacturière, un simple clic malencontreux peut vous mettre à genoux. Dès que vous êtes pris pour cible, vous remarquez un ralentissement, des messages et des billets qui s’accumulent, des employés qui s’appellent les uns les autres afin de comprendre ce qui se passe. Cette expérience va vous bouleverser. Les premières heures suffisent à déterminer si l’organisation peut diriger le navire pendant la tempête ou sombrer dans celle-ci.

Nous avons vu de nombreuses organisations diriger ce navire d’une manière ou d’une autre. Mais elles ont toujours un point en commun : la pratique. ne consiste pas à empêcher une attaque ou à la détecter, mais à traverser la situation et à garder les lumières allumées pendant toute la durée de l’incident. Pourtant, souvent, les professionnels se demandent comment s’exercer.

C’est là qu’entre en jeu un exercice de simulation de rançongiciel — ou une simulation pratique — qui est un forum structuré de type discussion, présentant un scénario d’attaque réaliste et permettant aux équipes de se préparer, de réagir, de répondre et de se rétablir. Et tout cela sans toucher à un seul système en production. Pensez-y comme un entraînement de filet pour le pire match de cricket qui puisse avoir lieu.

Pourquoi la répétition d’une récupération contre un rançongiciel est plus critique que des politiques

Le rançongiciel d’aujourd’hui ne concerne pas le chiffrement de fichiers ou le compromis sur la triade de sécurité de l’information (CIA). Les cybercriminels volent les données, ciblent les sauvegardes, menacent de divulgation publique, et perturbent les processus d’affaires et opérationnels dans tout l’écosystème. La continuité des activités ou la restauration après sinistre vous permet d’avoir un système redondant et parallèle fonctionnant depuis un site alternatif. Cependant, dans la plupart des scénarios d’attaque, le site de reprise est également compromis, ce qui rend impossible le déclenchement de vos plans de continuité des activités. C’est ici que des technologies comme l’isolation réseau, l’immutabilité des données et le mode WORM sont à privilégier.

Souvent, les professionnels et les entreprises tendent à investir leur temps dans la création de politiques ou de cadres. Cependant, tout ceci est inutile lorsque :

  • La moitié de l’équipe n’est pas sûre de son rôle.
  • Les canaux de communication ne sont pas clairs.
  • Les sauvegardes sont configurées en théorie, mais la restauration n’est pas pratiquée.
  • La direction ne sait pas comment prendre des décisions.
  • Les obligations légales et de conformité ne sont pas entièrement comprises.

Pourquoi les exercices de table sur la cybersécurité ou les rançongiciels sont nécessaires aujourd'hui.

Un exercice de table élimine la plupart des défis mentionnés ci-dessus. Il révèle comment votre personnel réagit et répond sous pression (sans la pression réelle). Il met également en évidence le type de décisions prises par les équipes de direction, ainsi que leurs dépendances. Il aide à présenter la perspective d’affaires devant eux, car les équipes TI dans une organisation ne pensent qu’aux systèmes, à la connectivité, à l’accès et à la restauration des données. Les exercices de table aident les organisations à se préparer à de tels incidents en validant les stratégies de réponse, en améliorant la coordination et en assurant la préparation face à l’évolution des menaces. Ci-dessous figurent certains des aspects qui peuvent être explorés ou évalués lors d’un exercice de table ?

  • Qui est le décideur ?
  • Quels rapports d'évaluation des dommages sont requis et qui les fournira ?
  • Quelles sont les équipes qui éprouvent des difficultés à fournir les résultats souhaités ?
  • Quels sont les SLA aux différentes étapes ?

Rôle de l’IA : Une arme à double tranchant ?

La majorité des entreprises croient que la récente montée en les aidera à combattre cette nuance. Toutes ces solutions de nouvelle génération produisent diverses techniques et mécanismes pour détecter ces attaques dès le premier point de contact et aider à évaluer les points d’entrée faibles. Cependant, cette même capacité est également exploitée de l’autre côté par les mauvais acteurs étatiques pour contourner votre environnement de sécurité. Les techniques d’IA aident également les attaquants à explorer de nouvelles façons d’exploiter les failles alors que les mesures d’atténuation sont encore en développement. Par exemple, il est désormais courant de voir un nouveau type de menace en hausse : le cryptojacking. Cette attaque cible spécifiquement les propriétaires de crypto-monnaie et démarre le minage de crypto à leur insu. Ainsi, l’IA peut jouer un rôle néfaste des deux côtés.

Souvent, on croit à tort qu’une attaque de rançongiciel est due à l’incapacité des entreprises à adopter la technologie ou les capacités d’IA les plus récentes. En réalité, la véritable cause est liée au comportement et à l’état d’esprit des employés. Même après avoir investi des millions de dollars dans la technologie de nouvelle génération, si un employé ne suit pas les pratiques exemplaires de sécurité de l’information, la technologie peut être rendue inefficace face à un attaquant.

Comment réaliser un exercice de simulation qui apporte une réelle valeur, pas seulement un exercice de conformité

Il existe plusieurs façons de mener un exercice de simulation cybernétique permettant de satisfaire les vérificateurs par une simple preuve de test, mais il existe des méthodes recommandées pour mener cet exercice, et sa qualité dépend essentiellement de sa préparation. Voici quelques éléments qui doivent être clairement définis et approuvés lors de la réalisation d’une telle simulation.

  1. Définir clairement l'objectif et la finalité : L'aspect principal consiste à définir ce que vous souhaitez valider ou ce que vous désirez observer lors de la simulation. Cherchez-vous à valider les procédures de récupération des données après une attaque ou bien la direction souhaite-t-elle évaluer la préparation des équipes pendant l'attaque? Dans la plupart des cas, le conseil d'administration sera surtout intéressé à comprendre la circulation de l'information entre les équipes, la prise de décision, et la clarté des rôles entre les équipes plutôt que la restauration et le contenu technique. Ainsi, l'objectif de la simulation doit être défini et articulé clairement.
  2. Rassembler les bonnes équipes : Dans de nombreuses organisations, dès que les employés entendent parler de cybersécurité ou de rançongiciel, ils pointent du doigt les équipes de cybersécurité ou les professionnels de la continuité des activités. Le rançongiciel n'est pas seulement une vulnérabilité de la cybersécurité, c'est beaucoup plus large. Cela touche tous les canaux des technologies de l'information et de la communication, tels que le centre de données, le nuage, les outils, les plateformes et les systèmes des utilisateurs finaux. Par conséquent, un test de simulation ne doit pas uniquement être représenté par les équipes de cybersécurité, mais devrait comporter une participation équitable de toutes les équipes. Une simulation équilibrée doit inclure l'infrastructure, les applications (au moins les systèmes numériques les plus précieux), la sécurité, la gestion des incidents majeurs, les coordinateurs de continuité des activités / reprise après sinistre et les équipes non TI comme le service juridique, la conformité, les RH et les communications d'entreprise. Sans oublier la direction et les gestionnaires. Souvent, on peut se demander si les fournisseurs et sous-traitants devraient jouer un rôle, ce qui dépendra à nouveau de l'objectif que vous souhaitez atteindre comme mentionné ci-dessus.
  3. Convenir d'un scénario réaliste reflétant une situation de la vraie vie : C'est l'étape clé de l'exercice. Il n'y a aucun intérêt à choisir un scénario facile à exécuter, car ce n'est pas une simple case à cocher. Une fois le scénario convenu, il faudra développer des « injects » pour modifier le déroulement, amener des développements imaginaires de type pire scénario, qui peuvent changer le cours de l'exercice. Dressez la liste des points d'entrée potentiels dans l'environnement et établissez une cartographie de tous les systèmes informatiques qui seraient susceptibles d'être touchés. Voici le déroulement recommandé à valider lors de la simulation.
    • Détection d'incident : Les employés / le COS signalent un comportement suspect ou un comportement multi-vecteur. Par exemple, les plateformes de surveillance des événements de sécurité révèlent des schémas de chiffrement anormaux.
    • Analyse d'incident : Lancement du triage, classification de l'incident, mobilisation des équipes requises sur le pont.
    • Confinement de l'incident : Les équipes tentent d'isoler les systèmes, segmentation du réseau, activités de confinement des comptes, des points de terminaison et de la TO.
    • Réponse à l'incident : Communications avec les clients / médias / fournisseurs de services infonuagiques / fournisseurs, décisions de la direction.
    • Récupération lors d'incident : Reconstruction en environnement propre, vérification de l'intégrité des données, salle de récupération, guides de reprise, et renforcement de la sécurité.
    • Restauration : Les équipes valident l'environnement assaini, vérifient la présence d'anomalies futures, utilisent des environnements alternatifs ou reconstruisent à partir de zéro.
  4. Prévoir une réunion de retour d'expérience et les prochaines étapes : Les activités post-simulation doivent inclure ce qui a bien fonctionné, ce qui n'a pas bien fonctionné ou a ralenti la prise de décision, comment les « injects » ont influencé la réponse des employés, quels processus/documents sont à jour, obsolètes ou inexistants, et élaborer un plan de mitigation avec des responsables, des échéanciers et des idées de scénarios pour la prochaine simulation afin de la rendre plus réaliste.

Conclusion

Bien qu'un exercice fictif sur les rançongiciels puisse être loin de la réalité et ne simule pas le comportement réel d'une cyberattaque, il améliore la confiance des dirigeants et des employés à faire face à un scénario. Les activités clés comme la prise de décision, la communication et les stratégies de rétablissement valent la peine d’être répétées à plusieurs reprises avec différentes permutations et combinaisons. L’essentiel est de s’assurer d’intégrer tous les apprentissages dans les prochaines tentatives afin d’être prêt à affronter l’avenir.

Related Contenu

Cybersécurité
VERITY Frontier AI Resilience: Securing Digital Transformation at AI Speed
Lire la suite
Fondation numérique
Avant que des agents IA gèrent votre entreprise : Réglez leur crise d'identité dès maintenant
En savoir plus
Cybersécurité
Avant que la tempête ne frappe : Élaborer un programme de sécurité prêt pour Mythos
En savoir plus
Etiquettes
Cybersécurité
Partager sur
copy-link Copier le lien copié!
DFS Cybersécurité Blogues Exercices de simulation de rançongiciels : Guide du professionnel en résilience pour la reprise des activités en entreprise