Investigation numérique : apprendre des cyberattaques


Afin d’améliorer considérablement leur dispositif de sécurité, les organisations se tournent vers l’investigation numérique. Elles comprennent ainsi mieux leurs agresseurs et peuvent prendre des mesures proactives contre une attaque déjà observée susceptible de se reproduire.

Selon Mordor Intelligence, le marché de l’investigation numérique valait 3,14 milliards de dollars en 2017 et devrait atteindre 5,37 milliards de dollars d’ici 2023. Des chiffres qui s’expliquent par la multiplication des cyberattaques, des fraudes d’identité et des atteintes à la sécurité des données.

La cybersécurité est aujourd’hui une préoccupation majeure pour les organisations. De nombreux cybercriminels opèrent avec des techniques difficiles à anticiper. Ils sont aussi capables de s’adapter rapidement à des écosystèmes changeants. Rob MacMillan, directeur de recherche chez Gartner a ainsi déclaré : « De façon paradoxale, de nombreux cybercriminels sont des pionniers du numérique, trouvant des moyens d’exploiter un grand nombre de datas et d’utiliser des techniques à l’échelle du web pour organiser des attaques et voler des données ».

Pour mieux comprendre la menace à la cybersécurité, il est essentiel d’être en mesure de consigner avec précision ce qui s’est passé lors d’une attaque et comment elle s’est déroulée. L’investigation numérique peut également être utilisée au sein de tests basés sur des scénarios d’attaque qui pourraient avoir un impact dévastateur sur votre entreprise. Le but ? Trouver la meilleure défense.

Suivre la piste de l'intrusion

Lorsqu’une attaque pénètre votre système d’information (SI), elle laisse une trace d’intrusion. Chez Orange Cyberdefense, notre Cyber Security Incident Response Team (CSIRT) trouve, collecte, interprète et déconstruit ces informations pour comprendre l’attaque. A titre d’illustration, l’attaque pourrait prendre la forme d’une fenêtre qui s’ouvre et proposer à l’utilisateur un téléchargement.

L’investigation numérique peut construire une analyse contenant le lieu, le moment et la raison pour laquelle un acteur malveillant a pénétré votre système. Cela permet de comprendre la faille et d’obtenir des conseils sur la façon de contrer une attaque si elle se reproduit. C’est aussi l’opportunité de découvrir les outils, tactiques et processus que les pirates utilisent pour s’introduire dans votre SI.

Le suivi de l’empreinte de l’acteur malveillant est l’un des points de départ de l’investigation numérique. Les cybercriminels préparent longuement et laborieusement leurs attaques avant de la lancer. Pour les détecter, il faut remonter à la source, examiner les schémas de préparation des pirates et établir des liens entre les différentes relations en jeu.

Nos experts font également de la rétro-ingénierie de logiciels malveillants. Orange Cyberdefense a développé un sandbox de troisième génération qui nous permet d’exécuter et de tester du code malveillant dans un environnement isolé, de comprendre comment il fonctionne dans le système d’information et de reconnaître rapidement des logiciels pirates similaires.

Une fois qu’une attaque est contenue et comprise, un plan de remédiation peut être mis en place. Cela permet de se prémunir contre de futures intrusions.

Développer votre cyber-résilience

Aujourd’hui, plus aucune entreprise n’est à l’abri d’une cyberattaque. La capacité d’une organisation à fonctionner, travailler et se remettre d’une intrusion détermine son niveau de résilience.

La cyber-résilience est centrée sur l’aptitude à se préparer et à s’adapter à une menace en constante évolution, tout en étant capable de résister et de récupérer rapidement après une attaque. Elle comprend l’identification des événements susceptibles de se produire, l’évaluation de leur probabilité, l’impact qu’ils pourraient avoir sur une entreprise et les mesures nécessaires pour les atténuer.

En outre, elle permet d’accéder aux outils, pratiques et procédures que les acteurs malveillants utilisent pour accéder aux SI. Ces renseignements peuvent être intégrés à une stratégie de cyber-résilience, qui fournit une vue d’ensemble des infrastructures et processus de sécurité.

L’élaboration d’une telle stratégie de résilience peut s’avérer complexe, c’est la raison pour laquelle de nombreuses organisations choisissent de travailler avec un partenaire. Chez Orange Cyberdefense, nous travaillons conjointement avec les entreprises pour définir, mettre en œuvre et évaluer les mesures existantes afin d’assurer la continuité des activités en cas de crise majeure, fournir des évaluations d’impact sur les actifs sensibles, revoir les politiques de continuité et plus encore.

L’investigation numérique peut aider à mettre en place une résilience proactive et réactive. Grâce à une image précise de son infrastructure, une capacité de surveillance et d’investigation des attaques, toute entreprise est plus en mesure de protéger ses systèmes et applications contre les risques.

L’objectif à terme est de garder l’acteur malveillant à l’extérieur le plus longtemps possible, tout en renforçant les défenses. Malheureusement, lorsqu’un cybercriminel ne parvient pas à atteindre sa cible, il revient généralement à la charge avec une attaque encore plus complexe – et il faut s’y préparer.

La vigilance est de mise : adopter une posture permanente de sécurité afin de prévenir et déceler les menaces. Il ne faut pas attendre qu’une brèche se produise pour réaliser qu’un cycle proactif d’analyse et de détection demeure beaucoup plus pertinent que d’ignorer le problème.

A propos du blogueur

Après 5 ans d’expériences internationales en investigation numérique et en réponse à incident dans des contextes PCI-DSS, de cybercrime et d’attaques étatiques, Robinson Delaugerre mène depuis un peu plus d’un an les activités du CSIRT (Computer Security Incident Response Team) Orange Cyberdefense. Ses activités passées incluent les tests d’intrusion, le conseil en sécurité de l’information, la modélisation des risques et l’analyse de protocoles réseau. Il a pour ambition de permettre à son équipes d’experts en réponse à incidents et investigation numérique d’occuper une place de leader français, voire européen, en y cultivant l’excellence technique et une approche qualité.

Robinson, expert cybersécurité chez Orange Cyberdefense