Gestion de crise

Anticiper une crise cyber : pourquoi faut-il absolument cartographier ses systèmes d’information ?

Pourquoi se préparer à affronter une crise grâce à la cartographie ? Et comment réaliser sa cartographie pour un maximum d'efficacité ? Suivez le guide.
10 min

Dans notre série “Anticiper une crise cyber”, retrouvez les meilleurs conseils et retours d’expérience des experts d’HarfangLab, ainsi que ceux de RSSI et autres acteurs de l’écosystème cyber. Un objectif : capitaliser sur les expériences de terrain pour enrichir les connaissances de chacun. Dans cet article, retrouvez les témoignages de Jean-Sylvain Chavanne, RSSI au CHRU de Brest, et de Théo Plantier, CEO d’OverSOC, solution de gestion et de visualisation 3D des données cyber.


Qu’est-ce que la cartographie du système d’information ?

Difficile de trouver une définition de la cartographie du SI qui fasse totalement consensus. La cartographie, quelle que soit sa forme, se définit surtout par l’objectif auquel elle répond. Selon l’ANSSI, elle sert à “représenter le SI d’une organisation ainsi que ses connexions avec l’extérieur. Elle permet d’avoir connaissance de l’ensemble des composants du SI et d’obtenir une meilleure lisibilité de celui-ci en le présentant sous différentes vues. La cartographie est un outil essentiel à la maîtrise du système d’information. ”

Un “outil essentiel” donc, sur le principe. Dans les faits, la cartographie est souvent un travail de grande ampleur, qui en décourage certains d’avance… Mais quand on sait que 50% du temps des experts cyber est mobilisé pour de la manipulation de données et du reporting (selon Forrester), la cartographie est devenue indispensable pour transformer ces données en plan de gestion du risque. Aussi, c’est souvent en temps de crise que l’on réalise l’importance de cet outil, et malheureusement, c’est qu’il est déjà trop tard !

Jean-Sylvain Chavanne, RSSI du CHRU de Brest, en a fait l’expérience en mars 2023 lorsque son établissement a été victime d’une intrusion informatique.

“Quand je suis arrivé au CHRU de Brest, il n’y avait pas de cartographie du SI, ni de cartographie des outils de détection qui pouvaient être mis en place. Nous utilisions les outils de sécurité de manière assez spartiate. Avec le recul, une fois le stress de la crise passé, nous avons fait le point sur ce qui aurait pu être amélioré.

Par exemple, il y a quelque chose que j’aurais aimé savoir avant cet incident : les systèmes de communication comme Cobalt Strike qui avaient été utilisés chez nous fonctionnent avec des ports particuliers. Or, si je l’avais su avant, j’aurais pu mettre en place des mesures de sécurité qui m’auraient permis de détecter la menace plus rapidement.

Nous aurions aussi pu nous entraîner à faire des relevés de logs. Nous avons perdu beaucoup de temps pendant la crise à chercher où étaient stockés les logs d’une ferme RDS. Cela semble tout bête, mais au final nous avons perdu un temps monstrueux en matière d’investigation, et donc ensuite pour la reprise d’activité.

Par la suite, avec l’aide de la DSI, notamment des administrateurs systèmes et réseaux, nous avons pu justement développer cette capacité de détection au sein du SI, et faire en sorte qu’elle soit la plus exhaustive possible. Car il n’y a rien de pire que le blind spot, c’est-à-dire l’angle mort par lequel les attaquants vont pouvoir s’introduire. Mon conseil est donc de bien prendre le temps de cartographier son SI.”


Pourquoi cartographier vos systèmes d’information ?

Disposer d‘une vue d‘ensemble de vos actifs sous forme de cartographie va vous permettre de retirer des bénéfices concrets au niveau de 4 piliers : maitrise, protection, défense et résilience.

Maîtrise

  • Disposer d’une vision commune du SI
  • Piloter l’évolution du SI
  • Elever le niveau de maturité de son organisation
  • Capitaliser sur les expériences
  • Connaître ses points faibles

Protection

  • Localiser les données sensibles et les sécuriser
  • Déterminer les évènements susceptibles d’avoir les conséquences les plus importantes et les plus probables pour mettre en place des mécanismes de protection sur les points les plus exposés

Défense

  • Identifier et caractériser le périmètre de compromission
  • Qualifier rapidement les impacts sur les services numériques et la continuité des activités métiers de l’entité
  • Raccourcir le circuit de décision
  • Permettre aux équipes techniques (cyber et IT) de réaliser les investigations
  • Simplifier et localiser les interventions

Résilience

  • Identifier les activités clés pour définir son PCA

Théo Plantier, CEO OverSOC

« La cartographie du système d’information est très utile en temps de crise, mais également lorsque la situation est stable.

Lors d’une crise, c’est souvent la panique à bord : la situation est stressante, les intervenants sont sous pression, et malgré tout, de nombreuses personnes doivent se coordonner dans ces conditions difficiles.

Dans ce contexte, il n’y a rien de plus efficace qu’un medium commun pour organiser et synchroniser les actions. Avoir cette visibilité permet aussi d’identifier les actifs qui ont de la valeur et qui doivent être protégés en priorité.

L’idéal est d’ailleurs de pouvoir faire le lien entre les outils de détection et la cartographie du SI. Lors d’un incident, l’un de nos clients a été capable d’identifier les failles sur son système d’information quasiment en temps réel, grâce au croisement des données de la cartographie de son SI et de celles de l’EDR. C’était redoutablement efficace.

Lorsque la situation est stable, la cartographie permet de mettre les décideurs d’accord sur les priorités. Elle est donc très utile pour prendre les bonnes décisions par exemple lors de plans de restructuration du SI, de l’ajout d’un patch, ou lors du déploiement de nouveaux outils.

Et elle permet surtout de maîtriser sa surface d’attaque exposée sur internet. Lorsque l’on demande à des DSI de décrire leur surface d’attaque, nous nous retrouvons souvent avec des réponses différentes de la réalité. Or, toute surface d’attaque non identifiée est une porte d’entrée potentielle pour les attaquants.  » 


Comment cartographier vos SI ?

Appuyez-vous sur les bons outils

Il existe aujourd’hui de très bons outils pour vous aider à cartographier vos systèmes d’information, qui vous feront gagner en temps et en efficacité. Ils permettent d’avoir un aperçu exhaustif de votre surface d’attaque, et de faciliter la prévention des risques et le pilotage de vos cellules de crise. Certains proposent même des interfaces gamifiées, inspirées de l’univers des jeux vidéo. Qui a dit que la cartographie était ennuyeuse ?

Pour choisir votre outil, posez-vous les questions suivantes :

  • Quels sont les enjeux, les parties prenantes et le périmètre à cartographier ?
  • Quel est le niveau de maturité souhaité ?

Commencez avec les ressources les plus critiques

L’ANSSI recommande un minimum d’éléments pour disposer d’une vue sur vos SI. Mais si vous vous reposez sur un outil personnalisé aux besoins de votre organisation (ce que nous vous recommandons), les éléments à cartographier seront susceptibles d’évoluer et de s’affiner.

Voici les recommandations de l’ANSSI, a minima :

Volet stratégique

  • Cartographier les services, applications et activités critiques, et les données essentielles de l’organisation.
  • Identifier les actifs à protéger et à surveiller en priorité en cas de crise à partir d’un bilan d’impact sur l’activité.
  • Mettre à jour régulièrement et sauvegarder hors ligne cette liste de ressources critiques pour l’organisation.

Volet opérationnel

  • Cartographier les principaux actifs technologiques et leurs dépendances.
  • En cas d’externalisation des services numériques, cartographier aussi les interconnexions et lister les contacts d’urgence des prestataires.
  • Mettre régulièrement à jour ces éléments et les sauvegarder hors ligne.

Un conseil : avez-vous demandé à la DSI de votre organisation si une cartographie du SI avait été réalisée ? Des travaux ont peut-être déjà été initiés pour optimiser les coûts et régler des problèmes de shadow it. Or, ces informations peuvent se recouper avec vos besoins. Parfois, l’information est disponible, mais on ne pense pas toujours à vérifier ce qui a été fait par le passé, notamment si cela a été réalisé dans un autre service que le nôtre.

Faites le lien entre les processus métiers et les périmètres IT dans votre cartographie

Toute gestion de crise est étroitement liée aux métiers de votre organisation. En cas de cyberattaque, les conséquences les impacteront directement, et vous devrez répondre à leurs nombreuses demandes pour continuer à fonctionner en mode dégradé (poursuite de l‘activité sans informatique par exemple). Aussi, la crise devra être gérée par des acteurs qui n’ont pas forcément l’habitude de travailler ensemble ou qui ne parlent pas toujours le même langage : équipes IT, communication, RH, juridique…

C’est pourquoi la cartographie du SI doit absolument permettre une compréhension des périmètres IT en lien avec les processus métiers.

Anticiper la crise sous cet angle vous permettra par la suite de :

  • Qualifier les impacts IT et métiers
  • Composer vos cellules de crise, en fonction de ces impacts

Au CHRU de Brest, c’est d’ailleurs un processus métier qui a été à l’origine de l’incident, comme l’explique Jean-Sylvain Chavanne :

« Un interne de l’hôpital s’était connecté au SI du CHU depuis son poste de travail personnel. Or les attaquants avaient déposé un infostealer sur son ordinateur… Mais on ne peut pas empêcher les internes, ou autres professionnels de l’hôpital de travailler à distance : c’est absolument indispensable pour eux de fonctionner ainsi. Il faut donc comprendre les enjeux des équipes métiers, s’y adapter, et renforcer la sécurité au niveau des points de vulnérabilité.”


Protégez vos SI avec l’architecture trois tiers

Connaissez-vous la méthode de l’architecture trois tiers ? Vous pencher sur la cartographie de vos systèmes d’information est un bon moment pour évaluer la robustesse de votre SI.

L’architecture trois tiers a pour but d’organiser l’ensemble de votre infrastructure informatique en différentes couches hermétiques les unes des autres, en fonction de leur niveau d’importance.

L’objectif ? Si une couche de votre infrastructure est compromise, vous pouvez activer un kill switch : vous évitez ainsi de contaminer les autres couches de votre infra, et vous empêchez l’escalade. Ce système en trois tiers vous permet aussi de mesurer rapidement l’impact d’une potentielle attaque.

Pour séparer efficacement vos 3 différentes couches, vous devez utiliser des comptes d’administration différents pour chacune d’entre elles, et mettre en place les GPO et la configuration pour restreindre l’accès à des couches inférieures ou supérieures selon le type de compte admin utilisé. Cela fera potentiellement 3 comptes admin différents pour un même collaborateur par exemple, qui a besoin d’accéder aux différentes couches de l’infra.

TIERS 0 : actifs critiques qui servent à gérer le contrôle des identités de l’entreprise (Active Directory, PKI interne…)

TIERS 1 : serveurs et applications de l’entreprise (applications internes et composants qui permettent la gestion du parc informatique).

TIERS 2 : ensemble des postes de travail et terminaux mobiles.


En conclusion

  • Définissez les enjeux, le périmètre à cartographier et le niveau de maturité souhaité
  • Choisissez le bon outil en fonction des paramètres précédents
  • Construisez votre inventaire et les différentes vues de votre cartographie
  • Partagez votre cartographie et mettez là à jour régulièrement

Vous souhaitez passer au niveau supérieur pour protéger votre parc informatique ? 

Contactez-nous !