Secu
Les data clean rooms : le kit de survie des RSSI
Par La rédaction, publié le 07 février 2024
Face à des cybermenaces sans cesse croissantes, l’adoption de Data Clean Rooms se révèle être une stratégie défensive moderne et essentielle, permettant aux organisations de protéger leurs données vitales tout en facilitant une récupération rapide et efficace après une attaque. Décryptage…
Par James Blake, RSSI EMEA de Cohesity
Parmi les pires scénarios de cyberattaques possibles, les plus redoutables sont ceux qui entraînent une destruction totale des systèmes ou le chiffrement partiel, voire complet, des données les plus critiques de l’entreprise. Ce « coup d’arrêt » brutal est malheureusement une réalité pour bon nombre d’organisations victimes de cyber intrusion. Le blackout peut alors être général : plus aucune communication téléphonique ni électronique n’est possible au sein de l’entreprise qui n’a dès lors aucun moyen d’alerter les autorités, ses clients et ses partenaires. Les systèmes de sécurité sont également à l’arrêt, empêchant la remise en marche voire l’accès aux bâtiments de l’entreprise.
Pour éviter de telles situations, les équipes IT et de sécurité peuvent se tourner vers les « clean rooms », ces espaces sécurisés et isolés dans lesquels sont stockés les données élémentaires ainsi que les outils nécessaires à la récupération et la remise en route des systèmes informatiques. Très utiles en cas d’urgence, les clean rooms s’avèrent aussi très efficaces pour désamorcer proactivement une attaque avant qu’elle ne prenne de l’ampleur.
La réalité des menaces cyber
De nombreux RSSI utilisent le cadre MITRE ATT&CK, qui cartographie plus de 292 techniques d’attaques en 14 étapes ou « tactiques ». Cette base de données, mise à jour en permanence, répertorie des analyses précises d’attaques réelles et décrypte les techniques couramment utilisées par les cybercriminels – reconnaissance des réseaux cibles, exfiltration de données, suppression de données lors d’une attaque par wiper ou chiffrement lors d’une attaque par ransomware — ainsi que la manière dont elles interagissent entre elles.
Pour les cybercriminels, il existe donc une multitude de stratagèmes pour s’introduire dans une entreprise, et créer des couloirs d’attaque parfois même encore inconnus. Une fois infiltrés, ils peuvent aisément compromettre les données de l’entreprise et exercer une pression significative sur cette dernière. Un exemple récent est la dénonciation à la SEC, par des cybercriminels, d’une entreprise n’ayant pas signalé la violation de ses systèmes et le paiement d’une rançon, procédure pourtant obligatoire depuis juillet 2023. La preuve qu’en dépit d’investissements importants dans des techniques de défense, le recrutement de personnel compétent et l’attention accrue des conseils d’administration pour les sujets de cybersécurité, les acteurs de la menace parviennent toujours à pénétrer dans les plus grandes entreprises.
Des conséquences encore sous-estimées
En matière de gestion de crise, la plupart des entreprises ne réalisent même pas l’ampleur des conséquences que peut avoir une cyberattaque, partant du principe que les fonctions vitales (communications, analyses, sécurisation) ne seront pas affectées.
Pourtant, dans le cas d’une attaque par ransomware réussie, une grande partie de l’infrastructure peut être touchée : du serveur de contrôle d’accès physique aux systèmes de Voice-over-IP, en passant par la base de données de gestion de configuration et tous les autres services et outils informatiques.
Si bien qu’en cas d’incident substantiel, les différentes parties de l’écosystème de l’entreprise se retrouvent isolées, la perturbation des systèmes s’accumule, laissant possiblement la porte ouverte à de nouvelles intrusions cyber.
Il est fondamental d’avoir cette vue d’ensemble en tête, et pour se préparer à cette éventualité, de mettre en place une data clean room contenant tous les outils de sécurité, de collaboration et de communication nécessaires pour rétablir rapidement les capacités de l’entreprise à comprendre, contenir, éradiquer et se remettre d’un incident en cours.
Des environnements de stockage hermétiques
Par définition, une data clean room est une zone isolée, hautement sécurisée et séparée du reste du réseau. L’infrastructure sous-jacente doit consister en un stockage immuable et suivre les principes de Zero Trust. Toutes les données doivent donc y être chiffrées, à la fois en transit et en stockage.
Encore aujourd’hui, les entreprises tendent à concentrer leurs efforts de sécurisation uniquement sur le rétablissement rapide des systèmes de production, délaissant le risque qui pèse sur les outils de récupération eux-mêmes. Ces derniers sont pourtant essentiels pour garantir l’atténuation du risque à l’origine de l’incident. D’où l’intérêt de les stocker en salles sécurisées, complètement hors de portée des attaquants. Ces clean rooms s’avèrent alors être de véritables trousses de premier secours pour les responsables IT et de sécurité, qui peuvent ainsi déployer toutes les étapes de réponse et de récupération après incident.
Parallèlement, grâce aux sauvegardes et copies des systèmes affectés, les équipes peuvent procéder aux analyses nécessaires, soumettre les données à des outils tels que VirusTotal et identifier les indicateurs de compromission éventuels pendant toute la durée de l’incident.
Idéalement, les data clean rooms devraient intégrer la possibilité d’effectuer ces analyses et de classer les données sans avoir à déployer d’autres outils de sécurité additionnels. Toutefois, cela reste possible si l’entreprise utilise déjà une plate-forme de gestion et de sécurité des données proposant des services de sauvegarde.
On ne le répétera jamais assez : la préparation est le meilleur moyen de reprendre rapidement et sereinement ses activités après un sinistre ou une cyberattaque. Combinées aux plates-formes de gestion des données, les data clean rooms font partie des éléments fondamentaux à mettre en place pour renforcer sa posture de défense cyber et garantir ainsi un niveau de préparation plus élevé.
À LIRE AUSSI :
