Retour au blog

Piloter la remédiation : 3 scénarios proposés par l’ANSSI

Cybersécurité • 01 février 2024

Dans le cadre du projet de remédiation d’un incident cyber, l’ANSSI vous propose 3 scénarios types à appliquer, suivant les besoins de votre organisation. Zoom sur ces 3 scénarios pour identifier rapidement celui qui sera le plus adapté à votre situation.

Nous vous conseillons de lire au préalable cet article sur la remédiation afin de comprendre les tenants et aboutissants de cette phase de la gestion d’incident cyber.

Ces scénarios peuvent couvrir une remédiation simple, mais ils peuvent également être utilisés comme des phases successives, dans des plans de remédiation plus complexes. 

 

Scénario n°1 : “Restaurer au plus vite des services vitaux”

 

Dans ce scénario, la priorité est de pouvoir rétablir les services vitaux de l’organisation au plus vite, avec une sécurisation réduite au strict minimum. Dans ce cas de figure, le redémarrage du cœur de service se fait au détriment du reste du système d’information, momentanément sacrifié.

 

“ Ce scénario n’est à privilégier qu’en cas d’extrême urgence : mise en péril de la survie de l’organisation, menace immédiate des intérêts vitaux de la nation ou risque sur les personnes.” - ANSSI

 

Bien sûr, afin que ce scénario puisse être mis en place, il faut nécessairement que les services vitaux puissent être décorrélés du reste du SI.

 

1. Continuité ou redémarrage dans un délai bref. 

 

Les objectifs stratégiques de ce 1er scénario visent à assurer la continuité ou le redémarrage d’un service vital pour l’organisation au plus vite.

2. Un cœur de confiance minimal est restauré 

 

Parmi les objectifs opérationnels de ce plan de remédiation : 

  • Création d’un socle de confiance restreint pour le service vital (réseau, virtualisation, identification).

  • Restauration sécurisée du service vital (réinstallation ou nettoyage).

  • Suppression des accès résiduels de l’attaquant dans la bulle des services critiques.

  • Préparation d’une sécurisation du SI vital sur la durée.

  • Remédiation minimale aux vulnérabilités exploitées par l’attaquant sur le reste du SI.

  • L’enjeu est de restaurer un cœur de confiance minimal et de venir construire une bulle de redémarrage autour.

  • Cette bulle devra être mise sous supervision de sécurité serrée et le service sera redémarré au plus tôt.

  • La montée en sécurité de reste SI sera dans cas de figure, traité ultérieurement.

 

3. Un scénario rarement pérenne


La séparation forte d’un service essentiel du reste de l’organisation est rarement pérenne. À terme, il sera nécessaire de réintégrer ce service dans le système d’information sécurisé.

Ce scénario a davantage l’objectif de donner du temps aux équipes pour traiter cette réintégration en dehors de l’urgence liée à l’attaque.

“ Quand un chantier de sécurisation en profondeur n’est pas mené après un incident, l’ANSSI note que le coût de la récurrence d’incidents affectant les métiers peut rapidement dépasser ceux d’une remédiation plus complète.” - ANSSI 

Scénario n°2 : “Reprendre le contrôle du SI”

 

Ce 2ème scénario a pour objectif de rétablir le SI tel qu’il était avant l’attaque. Ce scénario n’implique pas de transformations profondes mais plutôt un renforcement de l’existant minimisant les changements. La diminution durable des risques est ainsi reportée sur l’amélioration continue.

 

1. Reprise du contrôle et retour à la normale

 

Les objectifs stratégiques de ce 2ème scénario sont de pouvoir reprendre le contrôle du SI et de retrouver, dans un délai raisonnable, un fonctionnement et une activité de production normale au sein de l’organisation.

 

2. Restauration de la sécurité du SI et suppression des accès de l’attaquant

 

Parmi les objectifs opérationnels de ce plan de remédiation :

  • Création d’un cœur de confiance dur et maîtrisable dans la durée.

  • Restauration du niveau de sécurité antérieure du SI en dehors du cœur de confiance.

  • Remédiation aux vulnérabilités spécifiques exploitées par l’attaquant hors du cœur de confiance.

  • Suppression des accès de l’attaquant dans tout le système d’information.

     


 

Dans ce scénario, le cœur de confiance du SI doit être reconstruit à l’état de l’art et disposer de mesures de supervision forte du SI, maintenues durablement. Le niveau de supervision en dehors du SI sera progressivement ramené à un état moins élevé mais durablement supportable.


“ Dans ce scénario, la priorité est accordée à la vitesse de sortie de crise et au retour à un rythme normal de fonctionnement. Il en résulte que des travaux de sécurisation en profondeur en dehors du cœur de confiance ne peuvent être menés et que les risques de future compromission et d’escalade de privilège restent élevés.” - ANSSI

 

Scénario n°3 : “Saisir l’opportunité pour préparer une maîtrise durable du SI”

 

Le 3ème scénario est le plus complet, assurant une meilleure sécurisation du SI sur le long terme.

Dans ce scénario, l’incident rencontré sera le point de départ pour une restructuration globale du système d’information, visant à réduire durablement les risques liés aux attaques envers le SI.

 

Ce scénario implique un rétablissement plus long et des investissements initiaux plus élevés. Si vous avez besoin de restaurer au plus vite des services vitaux, visez plutôt la mise en place du scénario n°1 de remédiation.

 

1. Retrouver un fonctionnement et une activité “normale” et protéger durablement le SI

 

Les objectifs stratégiques de 3ème scénario visent à rétablir dans un premier temps l’ensemble des activités de l’entreprise ayant été impactés tout en mettant en place une protection durable du SI pour éviter qu’une situation comparable à celle vécue ne puisse se reproduire.

 

2. Sécurité intégrée au cœur des objectifs opérationnels

 

Parmi les objectifs opérationnels de votre plan de remédiation :

  • Créer un cœur de confiance renforcé et maîtrisable dans la durée
  • Créer un niveau de sécurité maîtrisé et durable sur les pratiques d’administration des serveurs et des applications
  • Remédier aux vulnérabilités exploitées par l’attaquant sur les terminaux
  • Mettre en place une capacité durable de détection / réaction / correction sur la totalité du SI
  • Supprimer les accès de l’attaquant de l’intégralité du système d’information

L’enjeu est de reconstruire entièrement le cœur de confiance, et de superviser avec une sécurité élevée celui-ci avant son redémarrage et de le maintenir dans la durée. Les services en dehors du cœur de confiance sont à découper en secteurs qui seront traités successivement. Les secteurs seront considérés compromis par défaut afin de ne prendre aucun risque et de venir sécuriser un maximum l’ensemble du SI reconstruit.


“ Aucun système d’information moderne ne peut assurer une protection forte de tous les segments du système d’information. En particulier, parmi les postes terminaux, il est accepté que certains restent compromis. Les efforts sont concentrés sur la limitation des escalades et des impacts, afin que les incidents de faible gravité n’escaladent pas.
La construction du cœur de confiance assure que, même en cas d’incident grave, il soit possible de reprendre la main sur le système d’information sans opérations de grande ampleur.” - ANSSI

 

Des objectifs opérationnels S.M.A.R.T

 

Quel que soit le scénario de remédiation appliqué, vos objectifs opérationnels devront répondre à des critères du S.M.A.R.T pour assurer le meilleur taux de réussite possible !

Spécifique : L’objectif doit être défini clairement et compris par toutes les parties prenantes.

Mesurable : Il faut pouvoir déterminer si l’objectif a été atteint ou pas.

Accepté : Toutes les parties prenantes doivent adhérer à l’objectif.

Réaliste : L’objectif doit être réalisable dans le temps de la crise et avec les moyens réellement disponibles.

Temporellement défini : chaque objectif devra être défini et limité dans le temps.

 

Un conseil, dans le même temps et pour une bonne remédiation n’oubliez de prendre en compte les équipes métiers dans l’établissement des objectifs opérationnels en :

→ Identifiant les impacts et les priorités métier  

→ Partageant les objectifs avec eux

→ Impliquant les métiers dans le rythme de la reconstruction
→ Validant et coordonnant la reprise pour s’assurer auprès d’eux, qu’une fois leurs outils relancés d’un point de vue technique, tout fonctionne bien de leur côté.

 

Pour aller plus loin découvrez le corpus de guides détaillés rédigés par l’ANSSI, en date de décembre 2023 et disponible dans son intégralité ici.

 

Découvrez LockSelf

La solution cyber adaptée à vos équipes métiers

Certifiée par l'ANSSI.

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.

Découvrir
LockSelf

Retour d'expérience

Circonscrire une cyberattaque en moins de 24h

Malik Himiche, RSSI du SIIM 94 vous raconte
Télécharger
Couverture du SIIM 94

LA CYBER MISSIVE

Tout savoir sur l'actualité cyber en France

1 fois par mois dans votre boîte mail 📩

À lire aussi

Les derniers articles

Cybersécurité

Les cyberattaques contre le secteur public français en 2023

Découvrez notre tour d’horizon des cyberattaques à l’encontre du secteur public les plus marquantes de 2023.

Réglementations et normes

Entreprise : 7 mesures pour se conformer à la directive NIS2

Découvrez nos conseils pour commencer à se conformer à la directive NIS2 et faciliter son application en entreprise.

Actualité LockSelf

Le connecteur SSH : nouvelle fonctionnalité LockPass à venir

Romain Challier, Lead DevSecOps chez LockSelf nous dévoile cette fonctionnalité à venir permettant de stocker et lancer des connexions SSH depuis LockPass.

LockSelf SAS
6 Rue des Bateliers
92110 Clichy

contact@lockself.com
01 87 66 15 65
Solutions
LockPass
LockTransfer
LockFiles
Suite LockSelf
Extensions
Chrome
Brave
Edge
Firefox ESR
Autres
Hébergement
Sécurité
Livres Blancs
Observatoire LockSelf 2024
Support
Contact
Copyright © LockSelf 2022
CGU
CGV
Mentions légales