Faire face à une cyberattaque majeure nécessite une compétence spécifique et, heureusement, il ne s’agit pas d’un type d’incident que la plupart des équipes IT doivent traiter au quotidien. Si le pire devait se produire, faire appel à des experts spécialistes en réponse aux incidents pour vous aider à neutraliser et à effacer toute trace de l’attaque sera sans aucun doute une très bonne idée.
Répondre à une cyberattaque critique peut être incroyablement stressant. Bien que rien ne puisse réellement atténuer complètement le stress lié à une attaque, la mise en place d’un plan de réponse aux incidents efficace est un moyen infaillible de minimiser l’impact. Savoir à l’avance qui contacter pour obtenir une assistance spécialisée en matière de cyberincident accélérera votre réponse et réduira les coûts financiers et opérationnels générés par cette attaque.
Notre récente étude montre que 90 % des entreprises disposent d’une certaine manière d’un plan de réponse aux incidents. En intégrant Sophos Rapid Response à vos équipes dès maintenant, vous ne perdrez plus de temps à essayer d’identifier un fournisseur au beau milieu d’une attaque.
Si vous n’avez pas encore envisagé d’utiliser un service de réponse d’urgence aux cyberincidents, ces trois situations récentes dans lesquelles l’équipe Sophos Rapid Response a été appelée pourraient bien vous inciter à conserver à portée de main le numéro de téléphone d’un expert.
- Les systèmes IT modifiés augmentent les risques
De nombreuses entreprises ont subi un changement important pour s’adapter à la pandémie de COVID-19 et aux nouveaux modèles de travail à distance. Par exemple, dans le cas d’une entreprise, de taille moyenne, du secteur des médias, ouverte 24h/24 et 7j/7, le fait de faire passer son réseau d’un mode ‘air-gap‘ à un mode en ligne a modifié son niveau de risque, la laissant incidemment exposés à diverses attaques.
Les attaquants ont ainsi lancé un ransomware quelques heures plus tard, à 4 heures du matin, heure locale. Pendant les quatre heures qui ont suivi, l’équipe IT de la cible et l’équipe Sophos Rapid Response se sont retrouvées engagées dans un combat en direct avec les adversaires humains qui ont orchestré cette attaque.
L’attaque a finalement échoué, mais pas avant que les attaquants n’aient chiffré les données sur des appareils non protégés, supprimé les sauvegardes en ligne et anéanti un domaine en ligne et non protégé.
- Vous êtes surveillé
De nombreuses entreprises n’ont pas la visibilité nécessaire sur leur réseau qui leur permettrait de reconnaître un adversaire qui les guette, comme ce fut le cas avec l’attaque de ransomware ayant ciblé Colonial Pipeline.
De nombreux opérateurs de ransomwares actuels préfèrent opérer en toute discrétion jusqu’à ce qu’ils soient prêts à libérer leur charge virale finale, souvent pendant les heures de fermeture de l’entreprise. Selon l’étude de Sophos intitulée Active Adversary Playbook 2021, le temps de séjour médian des attaquants que nous avons pu observer est de 11 jours, certaines entreprises ayant des attaquants au sein de leur réseau pendant six mois ou plus.
De même, en cas d’attaque, une méthode de communication doit être mise en place pour assurer une réponse rapide. Cette précaution doit prendre en compte la possibilité que vos canaux de communication habituels (c’est-à-dire la messagerie électronique de l’entreprise) puissent être affectés par l’incident en question. Vous voudrez certainement informer vos employés des évènements en cours, mais les attaquants pourraient très bien vous espionner, alors n’utilisez pas vos canaux de communication classiques. Si les intrus sont dans votre réseau depuis un certain temps, ils auront probablement déjà accès à la messagerie électronique.
- La formation et sensibilisation des utilisateurs sont primordiales
Dans le cas d’une attaque contre un institut de recherche en sciences de la vie impliquant le ransomware Ryuk, des étudiants ont utilisé leurs ordinateurs personnels pour accéder au réseau. Une telle initiative a exposé l’institut lorsque l’un de ces étudiants externes a décidé qu’il voulait une copie personnelle d’un outil logiciel de visualisation de données qu’il utilisait déjà dans le cadre de ses travaux universitaires. Pour éviter d’acheter des logiciels coûteux, il a recherché une version “crackée” et a finalement téléchargé un info-stealer malveillant qui a déclenché l’attaque de ransomware.
Dans ce cas, la mise en œuvre d’une authentification réseau et de contrôles d’accès robustes, combinée à la formation des utilisateurs finaux, aurait pu empêcher cette attaque de se produire. Cet exemple doit servir de puissant rappel concernant l’importance de bien maîtriser les bases en matière de sécurité.
Conclusion
Mettez en place un plan de réponse aux incidents efficace et mettez-le à jour si nécessaire. Si vous pensez ne pas avoir les compétences ou les ressources pour surveiller les menaces ou pour répondre en urgence aux incidents, envisagez alors de vous tourner vers des experts externes pour obtenir de l’aide.
N’oubliez pas que vous ne pourrez peut-être pas utiliser vos canaux de communication habituels pendant un incident. Préparez-vous donc à cette éventualité en vous assurant que les contacts clés (notamment les experts externes) soient bien présents et détaillés dans votre plan de réponse et assurez-vous également que vous pouvez accéder au plan hors ligne.
Si vous rencontrez un incident actif, le service Sophos Rapid Response peut vous aider à sortir rapidement d’un cyberincident. Notre équipe d’experts en réponse aux incidents est disponible en mode 24/7/365 pour aider toute entreprise qui serait confrontée à une violation active.
Numéros de téléphone régionaux du service Sophos Rapid Response :
- France : +33 186539880
- Etats-Unis : +1 4087461064
- Australie : +61 272084454
- Canada : +1 7785897255
- Allemagne : +49 61171186766
- Royaume-Uni : +44 1235635329
Billet inspiré de Three reasons to add Sophos to your incident response plan, sur le Blog Sophos.