Ver, déni de service, attaque APT… Comment faire face ? Après un incident, il est indispensable de vérifier l’équipement sécurité et de se doter d’outils de parade spécifiques. Car toute attaque est amenée à se reproduire.

1. Dans le cas d’une infection par un ver informatique

Une fois identifiés les flux réseaux utilisés par les pirates, l’entreprise doit chercher à contenir l’infection via l’activation de règles de filtrage au niveau des routeurs ou des pare-feu présents. Si l’attaque a mis à mal l’infrastructure et que les échanges numériques sont ralentis, l’utilisation d’un réseau privé virtuel (VPN) permet de désengorger les liens, notamment vers et en provenance des datacenters. Ce qui aide, dans un premier temps, à rétablir le fonctionnement du système d’information pour une grande partie des employés. Ce travail est à réaliser en étroite collaboration avec l’opérateur réseau. Enfin, la présence de fonctions de supervision intégrées est un élément clé de succès.

Les outils : il faut s’assurer de la présence d’un antivirus à jour sur chaque poste de travail et de la capacité à déployer des correctifs de sécurité régulièrement et en urgence. Car au moment d’une attaque, la capacité à désengorger le réseau pourra dépendre de la vitesse de diffusion de l’antidote. Tous les moyens de coupure réseau sont les bienvenus : pare-feu ou boîtiers de détection et de prévention d’intrusions aident à nettoyer le trafic en temps réel sans tout bloquer d’un coup.

2. Dans le cas d’une attaque en déni de service distribué sur un site internet

L’implication de l’opérateur télécoms ou du fournisseur d’accès internet est essentielle. Très souvent, les mesures de sécurité – pare-feu, IPS (système de prévention d’intrusion), IDS (système de détection d’intrusion) – déployées sur le site du client sont inefficaces face à ce type d’attaque. Par contre, un opérateur ayant investi en systèmes et en équipes de sécurité sera en mesure d’activer au cœur de son backbone réseau des mécanismes de réponse tels que le trou noir (blackhole) ou mieux de rediriger les flux vers un centre de nettoyage (cleanpipe).

Les outils : il existe des moyens pour nettoyer le trafic arrivant jusqu’au serveur web. Une première solution consiste à installer sur son propre réseau (si le site est hébergé en interne) des outils hybrides issus de la famille des répartiteurs de charge et des IPS dédiés à la lutte contre le déni de service (Radware, Arbor Networks). La limite de cette démarche est liée au tuyau d’entrée de l’entreprise. Les deux autres solutions – les plus courantes aujourd’hui – consistent pour l’une à passer par un service cloud (Akamaï, Polexic) et pour l’autre à déporter cette lutte vers un service proposé par l’opérateur de l’entreprise.

3. Dans le cas d’une attaque de type APT (Advanced Persistent Threat)

Cette attaque silencieuse est fondée sur une extraction d’information à long terme, souvent ciblée. Dans ce cas de figure, qui peut aller jusqu’à la perte de contrôle du système d’information, il est vital de mobiliser des personnes ayant des compétences pointues, capables de faire face à des situations ou des techniques inédites. Ils devront suivre un protocole de réponse précis et utiliser des outils leur permettant d’identifier et d’éradiquer la menace. Sans oublier de superviser et de renforcer la sécurité du système initialement compromis.

Les outils : tous les moyens de sécurité existants peuvent être mis à profit pour juguler l’attaque. Toutefois, comme cette dernière peut avoir de nombreux aspects, la contrer demande avant toute chose de comprendre ce qui se passe sur le réseau. Avec des outils d’analyse de journaux ou de centralisation de corrélations, par exemple. La présence d’un SIEM (Security Information Management System) s’avère très utile mais son déploiement demande six mois. Il existe des solutions plus petites et plus mobiles comme celles proposées par Picviz. D’autres outils savent analyser les flux en profondeur pour savoir s’il y a du contenu malicieux spécifique. Ils reconstruisent le trafic réseau et peuvent faire fonctionner dans une machine virtuelle des pièces jointes pour s’assurer qu’elles ne sont pas vérolées, que ce soit sur tout le flux ou sur des profils particuliers (Trend Micro et Fire Eye).

Pour comprendre les causes et les effets d’une intrusion, il est conseillé de faire appel à des outils d’investigation (forensic) qui aident à savoir ce qui se passe sur les postes infectés, d’où l’attaque est venue, quelles informations elle a dégradé ou volé, et par où les fichiers dérobés sont partis. Ces outils sont souvent apportés par les équipes d’intervention spécialisées (Mandiant, F-Response) mais peuvent aussi être utilisés par les cellules sécurité des entreprises si elles sont expérimentées.