Les outils à renforcer face aux trois attaques les plus fréquentes

1. Dans le cas d’une infection par un ver informatique

Une fois identifiés les flux réseaux utilisés par les pirates, l’entreprise doit chercher à contenir l’infection via  l’activation de règles de filtrage au niveau des routeurs ou des pare-feu présents. Si l’attaque a mis à mal  l’infrastructure et que les échanges numériques sont ralentis, l’utilisation d’un réseau privé virtuel (VPN) permet de désengorger les liens, notamment vers et en provenance des datacenters. Ce qui aide, dans un premier temps, à  rétablir le fonctionnement du système d’information pour une grande partie des employés. Ce travail est à réaliser en étroite collaboration avec l’opérateur réseau. Enfin, la présence de fonctions de supervision intégrées est un élément  clé de succès.

Les outils : il faut s’assurer de la présence d’un antivirus à jour sur chaque poste de travail et de la  capacité à déployer des correctifs de sécurité régulièrement et en urgence. Car au moment d’une attaque, la capacité  à désengorger le réseau pourra dépendre de la vitesse de diffusion de l’antidote. Tous les moyens de coupure réseau  sont les bienvenus : pare-feu ou boîtiers de détection et de prévention d’intrusions aident à nettoyer le trafic en temps réel sans tout bloquer d’un coup.

2. Dans le cas d’une attaque en déni de service distribué sur un site internet

Cette attaque silencieuse est fondée sur une extraction d’information à long terme, souvent ciblée. Dans ce cas de  figure, qui peut aller jusqu’à la perte de contrôle du système d’information, il est vital de mobiliser des personnes  ayant des compétences pointues, capables de faire face à des situations ou des techniques inédites. Ils devront  suivre un protocole de réponse précis et utiliser des outils leur permettant d’identifier et d’éradiquer la menace. Sans  oublier de superviser et de renforcer la sécurité du système initialement compromis. 

Les outils : tous les moyens de sécurité existants peuvent être mis à profit pour juguler l’attaque. Toutefois, comme cette dernière peut avoir de nombreux aspects, la contrer demande avant toute chose de comprendre ce qui se passe sur le réseau. Avec des  outils d’analyse de journaux ou de centralisation de corrélations, par exemple. La présence d’un SIEM (Security  Information Management System) s’avère très utile mais son déploiement demande six mois. Il existe des solutions plus petites et plus mobiles comme celles proposées par Picviz. D’autres outils savent analyser les flux en profondeur pour savoir s’il y a du contenu malicieux spécifique. Ils reconstruisent le trafic réseau et peuvent faire fonctionner  dans une machine virtuelle des pièces jointes pour s’assurer qu’elles ne sont pas vérolées, que ce soit sur tout le flux  ou sur des profils particuliers (Trend Micro et Fire Eye). Pour comprendre les causes et les effets d’une intrusion, il est  conseillé de faire appel à des outils d’investigation (forensic) qui aident à savoir ce qui se passe sur les postes  infectés, d’où l’attaque est venue, quelles informations elle a dégradé ou volé, et par où les fichiers dérobés sont  partis. Ces outils sont souvent apportés par les équipes d’intervention spécialisées (Mandiant, F-Response) mais  peuvent aussi être utilisés par les cellules sécurité des entreprises si elles sont expérimentées.

3. Dans le cas d’une attaque de type APT (Advanced Persistent Threat)

L’implication de l’opérateur télécoms ou du fournisseur d’accès internet est essentielle. Très souvent, les mesures de  sécurité – pare-feu, IPS (système de prévention d’intrusion), IDS (système de détection d’intrusion) – déployées sur le site du client sont inefficaces face à ce type d’attaque. Par contre, un opérateur ayant investi en systèmes et en  équipes de sécurité sera en mesure d’activer au coeur de son backbone réseau des mécanismes de réponse tels que  le trou noir (blackhole) ou mieux de rediriger les flux vers un centre de nettoyage (cleanpipe).

Les outils : il existe  des moyens pour nettoyer le trafic arrivant jusqu’au serveur web. Une première solution consiste à installer sur son  propre réseau (si le site est hébergé en interne) des outils hybrides issus de la famille des répartiteurs de charge et  des IPS dédiés à la lutte contre le déni de service (Radware, Arbor Networks). La limite de cette démarche est liée au  tuyau d’entrée de l’entreprise. Les deux autres solutions – les plus courantes aujourd’hui – consistent pour l’une à passer par un service cloud (Akamaï, Polexic) et pour l’autre à déporter cette lutte vers un service proposé par  l’opérateur de l’entreprise.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !