Des exercices de simulation pour découvrir des risques cachés

La sécurité est une industrie qui évolue rapidement. Et garder le rythme en tant que cadre dirigeant dans le domaine est un défi permanent. Déterminer les priorités au sein d’un vaste éventail de contrôles et d’activités de sécurité est difficile lorsque l’on observe constamment de nouvelles attaques faire les gros titres. Ces difficultés s’aggravent encore lorsqu’il s’agit de définir les priorités pour répondre à des risques alors même que l’on ne soupçonne pas certains d’entre eux. Les tests d’intrusion – ou penetration testing – peuvent être d’une grande aide pour découvrir les risques. Mais ils ont une limite : leur périmètre. La dette technique et organisationnelle que représente le risque de sécurité peut s’accumuler dans de nombreux domaines différents, dont certains ne sont pas des cibles évidentes de tests d’intrusion, comme une application Web majeure ou l’infrastructure réseau corporate.

Les exercices de simulation sont une façon peu coûteuse d’identifier les risques et peuvent être appliqués à virtuellement tout scénario, y compris ceux qui sont à l’origine de ces brèches qui font les gros titres. La but de l’exercice est de réunir les membres de plusieurs équipes différentes pour leur faire suivre les processus, les échanges, les actions et les outils utilisés pour la réponse à un incident hypothétique. L’inspiration, pour des scénarios pertinents dans le contexte de l’organisation, peut venir de différentes origines : ce qui préoccupe majoritairement les équipes de sécurité ou les dirigeants de l’entreprise ; les scénarios qui sont utilisé dans le contexte des brèches survenant dans votre secteur d’activité ou dans des structures comparables.

Une fois le scénario sélectionné, l’exercice de simulation consiste en seulement trois étapes. La première consiste à rédiger le scénario suivant des étapes survenant progressivement dans le temps et représentant les quatre phases d’un incident : détection, confinement, nettoyage et retour aux conditions opérationnelles normales.

Ensuite, il convient de programmer l’exercice – sur une ou deux heures – avec un ou deux membres de chacune des équipes susceptibles d’être impliquées dans le processus de réponse à incident. Il est possible de choisir de préparer des documents présentant la politique de réponse à incident, le scénario, et tout support d’accompagnement pertinent.

Enfin, il convient de prendre des notes durant l’exercice et de rédiger un rapport contenant un résumé des éléments de discussion et, plus important encore, tous les écueils identifiés.

Lors de l’exercice, un modérateur devrait présenter l’événement, expliquer les objectifs à tous les participants, et enfin les accompagner tout au long de chacune des étapes de l’incident hypothétique. A chaque étape de l’incident, le modérateur devrait demander à chaque participant (ou équipe) d’indiquer ce qui devrait être fait selon sa perspective, quelles seraient ses responsabilités, etc. Le rôle du modérateur est de poser de solliciter des réponses, des détails, pour s’assurer que les capacités et les processus évoqués existent réellement et fonctionnent comme prévu. Dans certains cas, tester certains contrôles spécifiques peut être une suite complètement appropriée. Mais attention : l’une des règles de base, tant pour les participants que pour le modérateur, est de ne blâmer personne lorsqu’un manque est identifié.

Prenons l’exemple d’un vecteur d’attaque particulièrement commun et examinons quelques questions qui pourraient être posées par le modérateur d’un exercice de simulation. Un attaquant a réussi à faire entrer dans l’organisation un e-mail de hameçonnage contenant ce qui semble être une forme de rançongiciel.

• Détection : pouvons-nous identifier d’autres utilisateurs ayant été visés par la même attaque ? Pouvons-nous identifier la faille de logiciel malveillant qui s’exécute sur le poste de l’utilisateur touché ?
• Confinement : devons-nous mettre en quarantaine le système concerné et comment procédons-nous ? Y a-t-il des ressources de stockage partagées susceptibles d’être affectées, et comment nous assurer qu’elles ne le soient pas ? Comment pouvons-nous rapidement déterminer s’il ne s’agit que de ransomware et pas d’un logiciel malveillant hybride ? Devons-nous désactiver le compte de l’utilisateur, et comment pouvons-nous le faire rapidement ?
• Eradication : avons-nous besoin de ré-imager le système de l’utilisateur ? Comment pouvons-nous sauvegarder de manière sûre les données sensibles de manière à ne pas réintroduire la menace ?
• Retour en conditions opérationnelles : le code malicieux a-t-il fait quoi que ce soit pour accéder à des données réglementées ? Devons-nous déclarer cet incident à des clients ou aux autorités ? Disposons-nous de suffisamment de sauvegardes pour restaurer les données affectées ou avons-nous besoin de payer la rançon ? Ces sauvegardes sont-elles suffisamment protégées ?

Ces questions ne sont certainement pas exhaustives, mais pourraient être utilisées par le modérateur d’un exercice de simulation pour guider la discussion dans la salle. Ce scénario devient également intéressant lorsqu’il est appliqué à grande échelle, lorsque plusieurs utilisateurs sont affectés en parallèle. Un responsable sécurité qui échoue à répondre ou fournit des réponses peut robustes à l’une des questions ci-dessus représente un manque potentiel dans le processus, qui n’aurait pas été découvert par des techniques de découverte de risques traditionnelles comme les tests d’intrusion.

Les exercices de simulation devraient être conduits selon un rythme trimestriel, en changeant les scénarios de manière à impliquant différentes équipes et personnes. L’un des bénéfices additionnels de ces exercices est qu’ils montrent aux personnes extérieures au domaine de la sécurité le processus intellectuel lié à la défense et à la réponse à ces scénarios, diffusant un peu plus la culture de la sécurité au sein de l’organisation.