Gestion de crise

Après la crise : l'importance de l’investigation

Déterminer la fin d'une crise cyber demeure complexe, celle-ci étant souvent marquée par la cessation des mesures d'urgence et la reprise d'activité, parfois en mode dégradé. Cependant, une fois les cellules de crise fermées, il reste un enjeu de taille : continuer les investigations et réaliser une analyse post-mortem. Le but ? Renforcer la résilience cyber de son organisation.
4 min

Quelles sont les étapes de l'investigation post-crise ?

L'investigation post-crise doit débuter par une analyse détaillée de la gestion de l'incident. Chaque étape, action et décision doivent être consignées avec précision. 

En parallèle de cette analyse post-mortem, les analystes du Security Operations Center (SOC) vont devoir continuer à investiguer pour déterminer l'étendue réelle de l'impact et identifier toute présence persistante d'activités malveillantes.  

S’appuyer sur les bons outils  

Durant cette étape, les analystes du SOC vont approfondir leur compréhension des tactiques, techniques et procédures (TTP) employées par les attaquants. En analysant les journaux d'événements, les fichiers de logs, et en recourant à des outils d'analyse comportementale, les analystes chercheront à identifier des corrélations entre les différentes activités suspectes.  

C'est à cet effet que l'Endpoint Detection and Response (EDR)  se positionne comme un allié incontournable.  

Analyser et préciser le contexte d'une attaque 

Un EDR donne aux équipes IT et cyber l’ensemble des éléments contextuels liés aux évènements de sécurité. C’est dans cette optique qu’il est crucial de continuer à exploiter ces données pendant la phase d’investigation post-crise. Cette capacité à contextualiser des éléments disparates dans le temps permet d'apporter une compréhension approfondie des tactiques utilisées par les attaquants. 

Ces informations (événements de sécurité, corrélations, télémétrie) peuvent également être utilisées pour retracer l’attaque et comprendre le cheminement de l’attaquant. 

Repérer les traces persistantes 

Certaines attaques laissent des traces persistantes dans le système. Par exemple, un acteur majeur de la distribution a pu retrouver des traces d'attaques anciennes suite au déploiement de son EDR sur l'ensemble de ses terminaux. Cette investigation poussée montre donc ici aussi son utilité pour s’assurer que l'organisation est réellement hors de danger, et que l'attaquant n'est plus présent dans le système. 

Garder les traces pour le dépôt de plainte 

Il est crucial de garder les traces informatiques et de les exploiter. Ces traces, souvent désignées sous le terme de "preuves numériques", récupérées dans un EDR, sont essentielles pour le processus de dépôt de plainte et les enquêtes subséquentes.  

Ainsi, les traces informatiques constituent des preuves électroniques admissibles en justice. Elles soutiennent les allégations et fournissent des éléments tangibles pour étayer une plainte.

Que faire à partir des résultats de l’investigation ?

Prioriser ses efforts 

L'analyse des TTPs des attaquants joue un rôle central dans la priorisation des efforts de sécurité. Les leçons tirées d'attaques sophistiquées, à l'instar de celle contre l’entreprise de cybersécurité américaine FireEye en décembre 2020, soulignent l'importance de se focaliser sur les techniques et tactiques spécifiques exploitées lors d’une attaque.  

Le plan d’action post-investigation découle directement des constats issus des investigations approfondies. Il englobe un ensemble de mesures ciblées visant à renforcer la sécurité et la résilience de l’infrastructure informatique. Parmi ces actions, peuvent figurer, entre autres, le déploiement de solutions de sécurité sur des machines non couvertes, la révision et la modification des privilèges administratifs, et le renforcement des politiques de sécurité des systèmes d’information de l’entreprise.  

Reconfigurer ses outils  

En fonction des retours d’investigation, il conviendra de changer la configuration de ses outils de détection (NDR, MDR, SIEM, EDR...). 

Par exemple, concernant l'EDR, les règles de détection pourront être modifiées ou ajoutées suite à l’analyse des TTPs pendant la phase d’investigation. Ces règles s'appuient sur des formats standards et reconnus tels que YARA, pour la détection à base de signatures, et SIGMA, pour la détection comportementale.  

Tirer les enseignements pour se prémunir des risques à venir 

En conclusion, l'investigation post-crise ne se limite pas à une simple analyse rétrospective. Menée avec les outils adéquats, elle donne aux analystes les clés de compréhension du déclenchement de la crise. Ce qui va permettre par la suite d’en tirer les enseignements nécessaires et d’ajuster sa stratégie de sécurité informatique, et éviter que des incidents similaires ne se reproduisent. Cette phase d'investigation s'inscrit donc dans une démarche d’amélioration continue, visant à renforcer la posture de sécurité de l'organisation sur le long terme. 

Améliorez votre stratégie cyber avec le retour d'expérience d'Antonin Garcia, RSSI chez Veepee.

Je veux tout savoir