Que faire une fois qu’un collaborateur a cliqué sur un lien malicieux ?

Il y a trois domaines à considérer après qu’un utilisateur est susceptible d’avoir cliqué sur un lien malicieux dans un e-mail. Et comme pour tout le reste en sécurité, c’est l’ensemble du problème qu’il convient d’examiner, et pas uniquement le symptôme.

La première étape consiste à vérifier si le système a été compromis. Ce qui implique d’étudier la manière dont les équipes de sécurité sont susceptibles d’être informées de l’incident – l’utilisateur l’a-t-il signalé ou une alerte a-t-elle été générée ? – et de s’en servir comme point de départ. De là, il convient de passer en revue tous les systèmes de supervision de la sécurité pour voir s’il y a eu des activités suspectes à partir de cette machine ou de ce compte utilisateur après le clic. Pour cela, il faut inspecter les logs du système et s’assurer que tous les agents du poste de travail sont à jour et actifs. Si possible, il est recommandé de réaliser un instantané du système avec des outils de réponse à incident tels que Redline de Mandiant ou la plateforme de Resilient Systems, afin d’obtenir une image plus précise de ce qui se passe en coulisse sur le système concerné.

Surtout, il est impératif d’étudier le lien malicieux sur une machine de laboratoire afin d’observer précisément ce qui se passe après le clic. Il est bon, là, de disposer d’un environnement de test distinct du réseau de production et où les machines peuvent être redémarrées à tout moment dans un état antérieur – avec des outils tels que Deep Freeze de Faronics ou Time Freeze de Toolwiz. Les liens malicieux doivent être testés alors que fonctionne un outil de capture de paquets réseau pour examiner les transferts de données. Les logs des filtres anti-spam et les entêtes d’e-mail peuvent fournir des compléments d’information sur l’origine du message.

Ensuite, il convient de déterminer s’il existe des manques dans la préparation ou l’architecture. L’organisation dispose-t-elle de la stratégie, des procédures et des technologies nécessaires pour empêcher les attaques par hameçonnage de passer sur le réseau ? Et si elles passent entre les mailles du filet, est-il possible de les stopper sur le poste de travail ? C’est pour cela que les rançongiciels sont devenus un tel problème au cours des dernières années. La technologie existe pour en stopper une grande partie. Mais disposer d’une équipe de réponse à incident qui comprend comment réagir, avoir des outils tels que des filtres anti-spam/phishing, ou encore des protections du terminal de nouvelle génération, mais également de politiques internes strictes de gestion des correctifs ne doit pas être négligé.

Enfin, et c’est peut-être le plus important, il faut former en continu les utilisateurs aux attaques par hameçonnage. De nombreux attaquants ont arrêté de cibler le périmètre pour se concentrer sur des utilisateurs qui constituer le vecteur d’entrée le plus simple. Des outils de formation dédiés, tels que PhishMe ou le Phishing Security Test de KnowBe4, accrocher des affiches, et construire une culture de la vigilance peuvent apporter beaucoup. Car si les utilisateurs ne cliquent plus sur les liens malicieux, cela fait une source d’inquiétude en moins.

Adapté de l’anglais.