Consultez notre guide 101 sur les équipes de réponse aux incidents de sécurité informatique (CSIRT). Quel est leur rôle ? Et pourquoi devraient-elles faire partie de la stratégie de cybersécurité de toute organisation ?
Tout d’abord, qu’est-ce qu’un CSIRT ?
Les équipes de réponse aux incidents de sécurité informatique traitent les incidents de cybersécurité en direct qui affectent les organisations. Leur objectif est de réagir aux menaces et d’en minimiser l’impact. Elles sont également chargées de créer des processus qui aident les organisations à se préparer à une attaque. On peut considérer le CSIRT comme la version cybersécurité de l’Agence Tous Risques. Les grandes organisations/entreprises disposent souvent de leur propre équipe en interne. Mais d’autres organisations font appel aux services d’un tiers spécialisé comme Airbus Protect. Notre équipe CSIRT est souvent déployée pour travailler sur des incidents de cybersécurité dans toute l’Europe. Nous comptons parmi nos clients des institutions, des infrastructures critiques, l’écosystème Airbus, le secteur public et, plus généralement, des organisations privées de tous les secteurs. Un CSIRT est généralement dirigé par un chef d’équipe, qui est responsable du respect du protocole. Au sein d’un CSIRT, on trouve également une série d’intervenants hautement qualifiés en cas d’incident – des experts techniques capables d’éradiquer rapidement les problèmes. Quel que soit leur rôle, tous les membres d’un CSIRT possèdent les qualités suivantes : rapidité, efficacité sous pression et esprit d’analyse.
Je suis Incident Responder. Cela signifie que je suis chargé d’identifier, de contenir et d’atténuer les incidents de cybersécurité pour les clients du CSIRT d’Airbus Protect. Il peut s’agir de répondre à des violations de sécurité, d’enquêter sur des cyber-attaques pour établir une chronologie des actions malveillantes ou de trouver le modus operandi des acteurs de la menace. Chaque intervenant possède un ensemble de compétences différentes, comme la rétro-ingénierie de logiciels malveillants ou la réalisation d’une investigation numérique dans des environnements mobiles ou cloud.
Julien Houry, incident responder, Airbus Protect
Une entreprise a été attaquée – que fait le CSIRT ?
Chaque crise de cybersécurité est unique. Mais quel que soit l’incident, les équipes CSIRT disposent d’un solide ensemble de protocoles qu’elles doivent suivre. Les piliers fondamentaux de leur processus sont les suivants :
- Diagnostiquer l’incident, en établissant la cause première à l’aide de techniques d’investigation avancées
- Éradiquer le problème tout en conservant la chaîne de preuves numériques
- Reconstruire le système et le remettre en état de marche
- Approfondir l’enquête, en fournissant un rapport détaillé avec des recommandations sur la manière de sécuriser les systèmes et de favoriser la récupération des données.
Voyons plus en détail ce qu’implique chacun de ces piliers.
Diagnostic
Qualification de l’incident : La première priorité du CSIRT est généralement de comprendre la nature d’un incident, ainsi que sa portée et son impact. Il est essentiel de travailler rapidement, car cela permet au CSIRT de donner le coup d’envoi de sa réponse. L’identification des systèmes compromis et de la manière dont ils l’ont été aide également les équipes à comprendre les motivations des attaquants. Traitement des incidents : L’étape suivante consiste à élaborer un plan d’action pour résoudre l’incident. Pour ce faire, un CSIRT utilise ses connaissances internes approfondies. Après tout, ils n’en sont pas à leur premier coup d’essai.
Eradication
Confinement de l’incident : La première étape de l’éradication d’un incident consiste à prévenir tout autre dommage. L’endiguement d’un incident consiste à empêcher sa propagation à d’autres systèmes, réseaux et actifs.
Éradication de l’incident : C’est sans doute la partie la plus critique du processus ! Une fois l’incident contenu, le CSIRT agit rapidement pour supprimer le code malveillant d’un système et expulser les cybercriminels qui y ont accédé.
Enquête complémentaire
Investigation numérique : Les analystes digital forensics sont les experts en criminalistique du monde des CSIRT. En établissant et en maintenant une chaîne de preuves numériques, ils nous aident à comprendre les cybermenaces émergentes et à développer de nouveaux et meilleurs moyens de réponse.
Remédiation et prévention des incidents : L’équipe du CSIRT n’est pas seulement là pour maîtriser le chaos. Elle veut aussi éviter que cela ne se reproduise. Cela signifie qu’elle doit élaborer des recommandations détaillées pour aider les organisations à améliorer leur position en matière de cybersécurité.
« Un analyste digital forensic se concentre sur l’identification, la récupération et l’analyse de données provenant d’appareils, allant des ordinateurs portables aux consoles de jeux. Son analyse porte sur des événements qui ont déjà eu lieu et peut inclure des enquêtes sur différents types de délits, et pas seulement sur les délits cybernétiques. Dans mes fonctions précédentes, je pouvais travailler un jour sur une affaire de protection de l’enfance, et le lendemain essayer de savoir si la personne qui vous avait volé votre bien l’avait mis en vente sur Gumtree*”
Emma Mullins, analyste de première ligne en cybersécurité, Airbus Protect
*Site web anglais de petites annonces.
Comparaison des missions: Analystes en cybersécurité et digital forensics
Découvrez la différence entre les analystes en cybersécurité et les digital forensics en écoutant le témoignage d’une personne ayant une expérience dans les deux domaines.
Comment le recours à un CSIRT peut-il aider votre organisation ?
Trop souvent, lorsque les organisations sont touchées par une cyber-attaque, elles paniquent (et c’est compréhensible). Votre réaction réflexe pourrait être de tout débrancher. C’est une erreur. Vous allez détruire la chaîne de preuves numériques. Et vous perdrez probablement une grande quantité de données organisationnelles importantes. Les intervenants en cas d’incident sont formés pour travailler sous ce type de pression, vous n’avez donc pas à le faire.
Aujourd’hui, toute organisation disposant d’un système informatique est une cible pour les cybercriminels. En théorie, tout le monde peut donc avoir besoin des services d’un CSIRT. C’est pourquoi il est judicieux de s’adresser à un partenaire avant qu’un incident ne se produise. En général, vous devez obtenir une autorisation administrative et financière avant de faire appel à un CSIRT. En d’autres termes, un contrat devra être signé. Les premières heures d’un incident ne sont pas propices à l’élaboration et à la révision d’un accord par le biais d’innombrables emails, appels et réunions. Vous serez en bien meilleure position pour négocier si vous n’êtes pas en train d’essayer de gérer une crise en même temps !
« Je suis très fier du travail que nous accomplissons au sein du CSIRT. Tout au long de ma carrière, j’ai contribué à de nombreuses missions qui ont permis de retirer les pires personnes de la circulation grâce à la criminalistique numérique. L’un des projets les plus remarquables consistait à utiliser la criminalistique automobile pour extraire des données numériques de véhicules. Un autre projet concernait une violation de la sécurité interne d’une entreprise, causée par le vol de données clients par un employé. Nous avons obtenu un mandat de perquisition pour mettre en place une écoute téléphonique, puis nous avons installé quelques outils sur le réseau afin de recueillir des preuves qui ont ensuite étayé la thèse de l’entreprise.
Nous avons ensuite installé quelques outils sur le réseau afin de recueillir des preuves qui ont ensuite permis l’arrestation de l’employé.”
Theodore Wiggins, responsable technique CSIRT et pentesting pour l’Allemagne, Airbus Protect
Vous souhaitez en savoir plus sur les équipes de réponse à incidents de sécurité informatique d’Airbus Protect ? Contactez nous ici
