Les 4 pires titres de l'actualité pour un RSSI

En discutant avec des responsables de la cybersécurité, j’ai récemment appris que l’une des plus grandes craintes des directeurs de sécurité informatique est de se réveiller pour découvrir leur organisation dans les titres à la une des médias, dévoilant des failles de sécurité qu’ils ne contrôlent pas.

Lorsque la question « Que fait-on à ce sujet ? » a été posée, une réponse est sortie du lot. Un responsable a expliqué qu’ils rédigent de faux articles de presse sur leur entreprise et qu’ils les soumettent ensuite à leur équipe de sécurité en vue de tester leur niveau de préparation.

Inspiré par cette approche particulière, j’ai décidé de partager une version de cet exercice qui peut être utilisée pour avoir au moins une idée de vos points faibles en matière d’enquêtes de sécurité. Vous trouverez ci-dessous quelques titres fictifs basés sur les quatre principaux cauchemars de sécurité des directeurs de sécurité informatique aujourd’hui. Remplacez VOTREENTREPRISE avec le nom de votre organisation et réfléchissez aux réponses que vous apporteriez aux questions suivantes :

Titre à la une : Les affaires sont interrompues car tous les postes de travail de VOTREENTREPRISE sont chiffrés avec le dernier ransomware

Bien qu’il ne soit pas nouveau, ce scénario se produit encore tous les jours. Il suffit d’une nouvelle vulnérabilité zero-day et de quelques utilisateurs malheureux qui cliquent sur la pièce jointe d’un e-mail. Si vous étiez victime de cette faille courante, seriez-vous en mesure :

• De vous référer à un plan de crise pour restaurer vos machines ?
• D’identifier les modèles de la vulnérabilité ou du malware ?
• D’identifier le patient zéro ?
• De garantir que les réinfections ne se propagent pas ?

Titre à la une : Des fuites d’informations des RH et de la paie provoquent l’indignation en matière d’égalité des salaires chez VOTREENTREPRISE

En fonction de la culture de votre entreprise, cela ne serait pas « simplement » une violation des données à caractère personnel, mais une cause potentielle de tensions internes si les informations de paie de tous les employés devenaient accessibles au public. Face à ce scénario, seriez-vous en mesure :

• D’identifier la manière dont l’auteur de l’attaque a pu avoir accès à ces informations ?
• De comprendre quels utilisateurs ou privilèges ont été utilisés ?
• D’empêcher l’accès aux comptes utilisateurs affectés, au cas où une exfiltration serait toujours en cours ?

Titre à la une : Depuis deux ans, VOTREENTREPRISE héberge un serveur Commande et contrôle pour un botnet à grande échelle sur la page web Carrières, sans que personne ne s’en aperçoive

Vous pensez peut-être que ce gros titre est peu probable car les serveurs Commande et contrôle sont principalement hébergés sur des serveurs inédits et inconnus ou sur des sites web présentant des vulnérabilités. Cependant, chaque page d’inscription de votre entreprise où une personne peut s’inscrire, charger et télécharger des données (comme par exemple un CV sur votre page Carrières) peut être utilisée comme un serveur Commande et contrôle. Des robots ont même utilisé les pages de réseaux sociaux de cette manière. Dans cette situation, seriez-vous en mesure :

• De rechercher les nouveaux utilisateurs enregistrés ?
• De surveiller les écarts-types par rapport à la fréquence habituelle ou au nombre de connexions par utilisateur, ou encore au volume d’adresses IP de sources distinctes par utilisateur individuel ?

Titre à la une : Les coûts d’énergie et AWS explosent en raison d’un duo de malware non détecté chez VOTREENTREPRISE

Le crypto-détournement est un moyen intéressant pour les cybercriminels de monétiser les hôtes infectés qu’ils détournent ou les environnements cloud auxquels ils ont accès. L’utilisation abusive de la puissance de traitement pour le crypto-minage, si elle est effectuée de manière stratégique, peut rester inaperçue pendant un certain temps et est souvent détectée lorsqu’il est déjà trop tard. Seriez-vous en mesure de mener une investigation en surveillant du point de vue de la sécurité les métriques des opérations informatiques traditionnelles, telles que l’utilisation du CPU ?

Rappelez-vous : ce n’est pas tant les gros titres que les directeurs de sécurité informatique craignent, mais bien de ne pas être assez préparé pour pouvoir répondre : « la situation est sous contrôle ». Que cela fasse ou non la une de l’actualité, seriez-vous en mesure de répondre à ces questions en cas de faille de sécurité ?

La plupart des réponses sont cachées dans les données de votre machine et l’exploitation de toutes les données de la machine (pas seulement à partir de vos dispositifs de sécurité) permettra à votre équipe d’être préparée. Prenez les premières mesures pour faire face aux craintes de votre directeur de sécurité informatique, commencez à centraliser les données de votre machine dès aujourd’hui et découvrez les Quatre manières d’améliorer votre position de sécurité avec la journalisation centralisée.

Merci de m’avoir lu,

Matthias

^{*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}