Incident Argon: gestion de crise suite à un incident de sécurité fortement médiatisé
Lundi 9h39
Le téléphone au bureau sonne : le premier responsable d'une entreprise vient de se faire pirater et il a besoin d'aide. Notre interlocuteur nous explique qu'il a été choqué à son réveil de voir plusieurs appels en absence de clients et journalistes qui essaient de le joindre. En écoutant les premiers messages, il a vite compris que sa compagnie avait été piratée et que l'information s'est retrouvée à la Une des médias de masse. Les médias avancent des gros chiffres d'informations exfiltrées ce qui crée la panique auprès des clients. Certains clients menacent même de rompre leur contrat.
Nous collectons des informations sur les impacts constatés et les mesures de réponse déjà prises par l'entreprise et prenons l'adresse de la compagnie. Le client nous informe qu'il a arrêté l'application piratée.
Lundi 9h56
Comme pour toutes les situations d'urgence, nous réunissons notre équipe de réponses aux incidents dans notre salle de gestion des crises pour un débriefing. Dans le présent cas, nous faisons face à trois défis :
1- aider le client à répondre efficacement à l'incident et revenir en production le plus rapidement possible,
2- rassurer les clients de l'entreprise sur le fait que la situation sera maîtrisée et que des mesures de réponse énergiques seront mises en place
3- aider le client à gérer efficacement sa communication de crise.
Deux experts en réponse aux incidents de notre équipe se sont dépêchés de se rendre chez le client pour prendre la situation en main.
Lundi 10h47
Nous arrivons dans les locaux de l'entreprise piratée. Le téléphone n'arrête pas de sonner et le premier responsable de la compagnie est au four et au moulin. À l'autre bout du fil, des clients mécontents veulent savoir si leurs données personnelles ont été exfiltrées. Certains menacent de poursuivre l'entreprise tandis que d'autres demandent tout simplement à rompre leur contrat. Et cela ne s'arrête pas là.
Lundi 10h56
Nous faisons un débriefing avec le client et identifions les mesures pour confiner l’incident et éviter qu’il se propage sans le réseau. Nous l'aidons à rédiger un message qui est ensuite envoyé à l'ensemble de ses clients : la riposte a déjà commencé.
Lundi 11h15
Les mesures de confinement sont mises en place. Étape suivante : nous débutons les investigations. Notre premier objectif : déterminer l'étendue du piratage, son mode opératoire ainsi que les faiblesses du réseau qui ont été exploitées.
Lundi 11h47
Nous avons des pistes intéressantes. Notre équipe commence le développement d'un script qui va analyse des données collectées, ce qui nous permet de déterminer le nombre exact de données exfiltrées. Ce nombre est largement en dessous de ceux cités par les médias. Il nous reste maintenant à déterminer le mode opératoire de l'attaque. Une analyse approfondie du serveur impacté et une corrélation avec des données externes nous permettent de déterminer comment le pirate a pu avoir accès au réseau.
Nous reconstruisons les différentes étapes de l'attaque et déterminons les insuffisances du réseau qui ont été exploitées. Le pirate a profité d’une faille applicative permettant à un utilisateur (ayant un compte dans l’application) d’avoir accès aux comptes des autres utilisateurs, après s’être authentifié. La vulnérabilité ne peut donc pas être exploitée facilement à large échelle.
Lundi 13h15
Débriefing avec le client. À cette étape-ci, l'hémorragie est arrêtée et la tension baisse d'un cran.
Lundi 13h 25
Prochain objectif : déterminer si le pirate est encore dans le réseau afin de l’éjecter et de fermer toutes les portes pour éviter qu'il commette beaucoup plus de dégâts (s’il réalisait que l'on avait identifié sa présence dans le réseau). À cet effet, nous branchons notre technologie de détection de cyber menaces CDS dans le réseau. Le CDS commence à capturer et analyser le trafic réseau afin de détecter des traces d'attaques ou des comportements anormaux. Concomitamment, nos deux experts en sécurité fouillent dans le réseau afin de trouver toute trace de présence illégitime. La mise en relation des informations fournies par le CDS et l'analyse manuelle de nos experts nous permettent de confirmer que le pirate n'est pas dans le réseau.
Lundi 15h00
Débriefing. Les résultats sont communiqués au client. La tension baisse. Un deuxième message est écrit et envoyé aux clients.
Lundi 15h27
Il est primordial que l'entreprise revienne en production le plus rapidement possible pour minimiser les impacts sur ses clients. Nous devons donc tester l'application piratée afin d'identifier ses vulnérabilités et failles et les corriger. L'entreprise nous donne accès à une instance de son application dans un environnement de test. Nous dépêchons l'un de nos experts en test d'intrusions (communément appelé pentesteur) pour tester l'application de fond en comble.
Lundi 18h02
En attendant l'arrivée de notre pentesteur, nous mettons en place le réseau de tests avec l'aide de l'équipe informatique du client.
Lundi 18h49
Arrivée de notre pentesteur. Il a carte blanche pour son test...sky is the limit.
Lundi 23h54
Notre expert en tests d'intrusion a trouvé des pistes intéressantes.
Mardi 2h00
Débriefing avec le client. Le test d'intrusion continue. Notre pentesteur confirme que l’application dispose d’un bon niveau de sécurité et qu’un bon niveau d’expertise est nécessaire pour trouver et exploiter la faille dont il est question. Lors du test d’intrusions, d’autres vulnérabilités ont été trouvées et des exploits d'attaque sont en cours d'écriture par notre pentesteur pour les exploiter.
Mardi 6h
Resultat de la suite du Pentest = CONFIDENTIEL.
Une cartographie globale de la situation est dressée par l’équipe StreamScan en mettant en relation les trouvailles du test d’intrusion, le résultat de l’investigation de nos experts en réponse aux incidents et les événements de sécurité générés par notre technologie CDS.
Mardi 7h
Débriefing avec le client. Les principales recommandations correctives sont faites au client. L'équipe informatique du client s’attelle à les corriger avec notre support. Nous continuons à monitorer le réseau de notre client via le CDS, détectons des attaques en cours et les bloquons. Nous sommes en mesure de confirmer qu'il n'y a pas de lien entre ces attaques et l'incident en cours, ce qui rassure le client déjà nerveux et frileux.
Mardi 7h30
Repos mérité de notre pentesteur et de nos spécialistes en réponse aux incidents qui ont travaillé pendant toute la nuit. La situation étant maîtrisée, le monitoring de la sécurité du réseau via le CDS est confié à notre équipe DRG (Détection et Réponse Gérées). Cette équipe supervise à distance la sécurité des réseaux de nos clients et prend action dès qu’une anomalie ou quelque chose de douteux est détecté.
Mercredi 16h21
Les vulnérabilités de l'application ont été corrigées. Notre pentesteur revient chez le client et reteste l’application. Il confirme que tout est OK et que l'on peut remettre l'application en production.
Mercredi 21h30
Débriefing avec le client et nous convenons de remettre l’application en production le lendemain à 9h00.
Jeudi 9h00
L'une des étapes cruciales de la gestion des incidents est de s'assurer que l'incident ne se reproduit pas lorsque l'on revient en production. Une fois que l'application est remise en production, elle est surveillée de manière étroite par notre technologie CDS. À distance, à partir de nos locaux, les chasseurs en cybermenaces de notre équipe DRG surveillent le moindre mouvement suspect sur le réseau. Le moindre flux ou paquet réseau suspect est disséqué, les comportements anormaux sont passés au peigne fin.
Parallèlement, l'entreprise publie un communiqué informant ses clients que son application a été sécurisée et qu'elle est revenue en production.
Une surveillance post-incident aura lieu pendant plusieurs jours afin de confirmer que la situation est complètement maîtrisée.
Deux semaines plus tard
Nous rencontrons l'entreprise pour un retour global sur l'incident (rencontre post-mortem). Le client est satisfait de notre réaction rapide (prise en charge de l'incident dans ses locaux seulement 1h après son appel) ainsi que de notre gestion efficace de l'incident, ce qui lui a permis de revenir rapidement en production.
Il décide de nous confier la supervision à distance de la sécurité de son réseau sur le long terme, via notre technologie CDS.
A l'instar des pompiers appelés à agir en cas d'incendie, agir rapidement en cas d'incident de sécurité est normal pour nous, car nous savons que chaque minute compte. Nous sommes des cyber-pompiers.
Que vous soyez une grande entreprise ou une PME, si un incident de sécurité vous ciblant était médiatisé, seriez-vous prêts à y faire face?