10min

Qualifier et endiguer une fuite de données

Les conséquences d’une fuite de données sont potentiellement multiples : pertes financières, poursuites judiciaires, dégradation de la réputation et de la confiance envers l’organisation victime…
Cybersecurity Information System Mapping

Pour y faire face efficacement et remédier à la menace, il faut en premier lieu confirmer et qualifier l’incident, puis l’endiguer.

Les fiches réflexe d’InterCERT France proposent des conseils pratiques pour suivre ces étapes pas à pas, voici une synthèse.

Les prérequis pour qualifier une fuite de données 

La bonne coordination des personnes et des moyens est capitale pour la qualification d’une fuite de données. Les équipes impliquées ont besoin d’un accès à l’administration et au monitoring du système d’information, aux équipements de sécurité, à l’annuaire des contacts d’urgence, des clients et des partenaires… et elles doivent être informées des priorités métier et business.

En outre, l’organisation doit ouvrir une main courante qui consigne :  

  • La date et l’heure de l’action ou de l’événement, 
  • Le nom de la personne ou du service qui a détecté ou informé de l’événement,
  • La description détaillée de l’action ou de l’événement, et de l’avancement des actions. 

Cette main courante permet de suivre les actions qui suivent l’événement de sécurité et de partager les retours d’expérience pour améliorer leur coordination et leur efficacité.

Passons à présent aux étapes nécessaires à la qualification d’une fuite de données. 

Evaluer la fuite de données

Confirmer la fuite de données

Identifier l'origine de l'alerte de la fuite de données

Une fuite de données peut être signalée par un employé ou par un partenaire, ou encore, une alerte extérieure peut être donnée par un média, les réseaux sociaux, voire revendiquée par les attaquants ; une exfiltration peut aussi être signalée par un équipement de sécurité ou des outils d’analyse du réseau. 
 

Vérifier la crédibilité du signalement de fuite de données 

A ce stade, il s’agit de valider le signalement : la source du signalement est-elle fiable (prestataires CTI, ANSSI, CERT...) ? Un échantillon de données est-il disponible ? Ces données étaient-elles déjà accessibles publiquement ? S’agit-il d’une fuite récente ou de l’agrégation de fuites précédentes ? Les données de l’organisation ont-elles fuité, ou l’organisation est-elle simplement citée ? Si la fuite est revendiquée, qui est à l’origine de cette revendication et est-ce une menace avérée ? Des comportements anormaux sont-ils observés sur le système d’information ?
  

Déterminer si la fuite de données concernée l'organisation ou un tiers 

Dans le cas où les données fuitées sont publiées, un examen plus poussé est utile pour vérifier si ces données proviennent du système d’information de l’organisation ou de tiers.

Aussi, dans le cas d’une suspicion d’exfiltration de données - notamment s’il s’agit d’identifiants et de mots de passe - les éventuelles anomalies de trafic ou de comportement peuvent être recherchées et surveillées au moyen d’un EPP ou d’un EDR.

Tous ces éléments réunis visent à confirmer ou infirmer une fuite de données. Dans le cas où la fuite de données est avérée, la source des données doit être identifiée.

Identifier la source des données fuitées 

Une fuite de données peut aussi bien être liée à une erreur humaine qu’à une intention malveillante.

Elle peut impliquer des informations venant d’une base de données, une application, des e-mails, les fichiers d’un poste utilisateur, des identifiants et mots de passe... et elles peuvent provenir d’équipements internes ou externes (serveur web, GitHub ou GitLab public, appareil personnel, réseau interne...).

Par la suite, examiner les traces et les configurations (journaux d’authentification et système, règles d’accès et éventuels accès suspects...) aide à comprendre ce qui aurait permis la fuite de données. La corrélation avec d’autres événements peut aussi conduire à la conclusion d’une compromission plus large que la fuite de données qu’il est aussi nécessaire de qualifier et endiguer.

Evaluer le périmètre de la fuite de données 

L’analyse du périmètre des données fuitées nécessite de répondre aux questions suivantes :  

  • Quelle est la nature des données (données métier, clients, liées à un seul projet ou plusieurs...) ?
  • Sont-elles anciennes ou récentes ?
  • Quelle est la quantité de données fuitées, et un volume plus important pourrait-il être publié a posteriori ?
  • La fuite de données présente-t-elle un risque pour d’autres systèmes internes ou externes à l’organisation ?

Evaluer l'impact de la fuite de données 

Le type et la sensibilité des données sont déterminants pour évaluer l’impact de la fuite. Elle pourrait en effet exposer des secrets industriels, une stratégie, des contrats, des données personnelles protégées par des réglementations (RGPD, DORA, NIS 2...), l’accès à des systèmes sensibles, des informations classifiées...

Les répercussions de la fuite doivent aussi être évaluées pour anticiper les risques éventuels d’interruption de l’activité, les risques médiatiques, réputationnels, de pertes financières, de sanctions... Bien qu’il s’agisse de données, la fuite peut aussi avoir des conséquences pour la sécurité physique, par exemple en rendant possible l’accès des locaux.

L’avis d’expert 
Une fuite de données peut être suivie d’un chiffrement et d’une demande de rançon. Il faut donc estimer le potentiel d’aggravation de la situation et se préparer à aller plus loin dans les investigations.


Evaluer l'urgence à remédier à la fuite de données 

Si la fuite de données est toujours active et qu’il y a un risque immédiat d’intrusion ou de compromission du système d’information, des mesures d’endiguement doivent être prises. Il s’agit également de prévenir le risque de récidive par l’attaquant ou d’autres attaquants.

En outre, l’incident doit être déclaré aux assurances et aux autorités dans les 72h, et les actions de communication externes doivent être priorisées si la fuite est médiatisée ou est susceptible de l’être.

L’évaluation du statut et des risques qui découlent de la fuite de données permet d'envisager le degré d’urgence à résoudre l'incident - la gravité pouvant aller de l’anomalie courante à la crise cyber. A l’issue de cette phase de qualification, les mesures d’endiguement peuvent être entreprises.
 

Endiguer la fuite de données 

Contenir techniquement la propagation de l’attaque liée à une fuite de données

Bloquer les accès suspects du collaborateur

Si un collaborateur interne ou externe à l’organisation est à l’origine de la fuite de données (intentionnellement ou non), ses accès doivent être bloqués et les équipes RH et juridiques informées de la situation. Dans la mesure du possible, son matériel informatique doit être récupéré.
 

Bloquer et superviser les flux d’exfiltration  

L’identification des flux suspects peut être réalisée à l’aide des logs des outils de sécurité (EDREPP, IPS, IDS, proxy, DLP...).

Par ailleurs, des mécanismes de blocage réseau peuvent être utiles, par IP, ports ou protocoles, en prenant soin de conserver les flux essentiels pour l’activité de l’organisation. Les équipements ou segments réseaux suspects peuvent aussi être isolés et la communication vers les équipements tiers interrompue afin de contenir la fuite de données.

La surveillance doit également être renforcée à l’aide des alertes d’un SIEM ou d’une DLP, et les données sensibles chiffrées. 

Sécuriser les comptes et systèmes compromis 

Si les données fuitées sont des identifiants d’utilisateurs, il est indispensable d’identifier les comptes utilisateurs compromis (internes, externes, clients, partenaires) à la suite de l’exposition de ces données et d’en renouveler les mots de passe.

Aussi, toutes les sessions actives doivent être révoquées, les mots de passe durcis, les droits sur les systèmes revus et les certificats SSH associés renouvelés.

Enfin, les comptes à privilèges doivent faire l’objet de mesures de sécurité avancées (authentification multi facteurs, jetons de sécurité, authentification biométrique...) et de contrôles d’accès renforcés.

Limiter l’exposition des données  

Les données exposées de façon illégitime peuvent être exposées dans une zone interne à l’organisation ou en dehors.

Dans le cas d’une exposition en dehors de l’organisation, la suppression peut être demandée à la plateforme sur laquelle les données ont été exposées avec attestation de la suppression. Dans certains cas, elle peut être réalisée en présence d’un huissier de justice.

Si les données sont exposées dans une zone interne à l’organisation, il est nécessaire de couper l’accès aux données (route API ou page de serveur web, par exemple) sans éteindre la machine qui a besoin de rester allumée pour les investigations.

Dans le même temps, une surveillance accrue des documents et informations divulguées via les outils internes, et la gestion des surfaces d’attaque externes doivent être mises en place.
  

Préserver les traces  

Conserver les logs sur la période de temps la plus longue et avec le plus de détails possibles contribue fortement au travail d’investigation. Ainsi, les traces et les logs des équipements de sécurité (pare-feu, VPN, EDR, DLP, proxy...) et les journaux d’authentification sont capitaux. Il en va de même pour les fichiers liés à la fuite de données.

Tout élément de preuve peut aussi servir dans le cadre de poursuites judiciaires.

Maintenir la continuité des opérations  

Dans le cadre des mesures d’endiguement de la fuite de données, il faut aussi inclure la sécurisation des systèmes critiques, des données et des systèmes vulnérables, ainsi que la coordination des ressources et la priorisation des tâches essentielles en vue d'assurer le maintien de l’activité de l’organisation et la continuité des services.

Communiquer sur l’incident

Communiquer en interne sur la fuite de données

Les décideurs, notamment le DPO, doivent être tenus au courant des risques et des actions en cours, et les équipes de communication doivent être informées des éléments de langage destinés à l’externe.

L’incident doit être déclaré aux autorités compétentes dans les délais requis, avec éventuellement un dépôt de plainte.
 

Communiquer publiquement sur la fuite de données 

Une communication auprès des clients et des partenaires est nécessaire si leurs données ont fuité ou si des services les concernant sont impactés, et la presse peut être alertée de l’incident sur demande de la direction.

Pour finir, la sensibilisation des collaborateurs et des administrateurs est indispensable pour rappeler les bonnes pratiques essentielles de sécurité.

Fuite de données, attaque cyber, ransomware...
Comment vous préparer à gérer une crise ? Suivez le guide :


Les bonnes raisons de mener des exercices de crise

Plus d'articles

Cybersecurity Platform Management

Déploiement ou changement d'EDR, un travail d'équipe(s)

Qui impliquer dans un projet de déploiement ou de changement d'EDR, avant et pendant la mise en place d'un chantier…

En savoir plus
3min
Méthodologie
Blog Cybersecurity - Workspace Security Platform Setup

Méthodologies et outils pour cartographier un système d’information

La cartographie du système d’information est une tâche aussi essentielle qu’appréhendée parce que c’est un chantier souvent fastidieux et au…

En savoir plus
6min
Méthodologie
Cybersecurity Best Practices

Quelles règles de base pour une bonne hygiène informatique

La protection d’un système d’information doit s’adapter en continu pour faire face à l’évolution des usages mais aussi des menaces…

En savoir plus
11min
Méthodologie
Cybersecurity experts

Analystes SOC : quelles compétences nécessaires aujourd'hui ?

Le rôle d'un analyste SOC est en train de changer car la cybersécurité connaît une transformation rapide et importante. Quels…

En savoir plus
13min
Méthodologie