Dans le cadre du projet de remédiation d’un incident cyber, l’ANSSI vous propose 3 scénarios types à appliquer, suivant les besoins de votre organisation. Zoom sur ces 3 scénarios pour identifier rapidement celui qui sera le plus adapté à votre situation.
Nous vous conseillons de lire au préalable cet article sur la remédiation afin de comprendre les tenants et aboutissants de cette phase de la gestion d’incident cyber.
Ces scénarios peuvent couvrir une remédiation simple, mais ils peuvent également être utilisés comme des phases successives, dans des plans de remédiation plus complexes.
Dans ce scénario, la priorité est de pouvoir rétablir les services vitaux de l’organisation au plus vite, avec une sécurisation réduite au strict minimum. Dans ce cas de figure, le redémarrage du cœur de service se fait au détriment du reste du système d’information, momentanément sacrifié.
“ Ce scénario n’est à privilégier qu’en cas d’extrême urgence : mise en péril de la survie de l’organisation, menace immédiate des intérêts vitaux de la nation ou risque sur les personnes.” - ANSSI
Bien sûr, afin que ce scénario puisse être mis en place, il faut nécessairement que les services vitaux puissent être décorrélés du reste du SI.
Les objectifs stratégiques de ce 1er scénario visent à assurer la continuité ou le redémarrage d’un service vital pour l’organisation au plus vite.
Parmi les objectifs opérationnels de ce plan de remédiation :
Ce 2ème scénario a pour objectif de rétablir le SI tel qu’il était avant l’attaque. Ce scénario n’implique pas de transformations profondes mais plutôt un renforcement de l’existant minimisant les changements. La diminution durable des risques est ainsi reportée sur l’amélioration continue.
Les objectifs stratégiques de ce 2ème scénario sont de pouvoir reprendre le contrôle du SI et de retrouver, dans un délai raisonnable, un fonctionnement et une activité de production normale au sein de l’organisation.
Parmi les objectifs opérationnels de ce plan de remédiation :
Création d’un cœur de confiance dur et maîtrisable dans la durée.
Restauration du niveau de sécurité antérieure du SI en dehors du cœur de confiance.
Remédiation aux vulnérabilités spécifiques exploitées par l’attaquant hors du cœur de confiance.
Suppression des accès de l’attaquant dans tout le système d’information.
Dans ce scénario, le cœur de confiance du SI doit être reconstruit à l’état de l’art et disposer de mesures de supervision forte du SI, maintenues durablement. Le niveau de supervision en dehors du SI sera progressivement ramené à un état moins élevé mais durablement supportable.
“ Dans ce scénario, la priorité est accordée à la vitesse de sortie de crise et au retour à un rythme normal de fonctionnement. Il en résulte que des travaux de sécurisation en profondeur en dehors du cœur de confiance ne peuvent être menés et que les risques de future compromission et d’escalade de privilège restent élevés.” - ANSSI
Le 3ème scénario est le plus complet, assurant une meilleure sécurisation du SI sur le long terme.
Dans ce scénario, l’incident rencontré sera le point de départ pour une restructuration globale du système d’information, visant à réduire durablement les risques liés aux attaques envers le SI.
Ce scénario implique un rétablissement plus long et des investissements initiaux plus élevés. Si vous avez besoin de restaurer au plus vite des services vitaux, visez plutôt la mise en place du scénario n°1 de remédiation.
Les objectifs stratégiques de 3ème scénario visent à rétablir dans un premier temps l’ensemble des activités de l’entreprise ayant été impactés tout en mettant en place une protection durable du SI pour éviter qu’une situation comparable à celle vécue ne puisse se reproduire.
Parmi les objectifs opérationnels de votre plan de remédiation :
“ Aucun système d’information moderne ne peut assurer une protection forte de tous les segments du système d’information. En particulier, parmi les postes terminaux, il est accepté que certains restent compromis. Les efforts sont concentrés sur la limitation des escalades et des impacts, afin que les incidents de faible gravité n’escaladent pas.
La construction du cœur de confiance assure que, même en cas d’incident grave, il soit possible de reprendre la main sur le système d’information sans opérations de grande ampleur.” - ANSSI
Quel que soit le scénario de remédiation appliqué, vos objectifs opérationnels devront répondre à des critères du S.M.A.R.T pour assurer le meilleur taux de réussite possible !
Spécifique : L’objectif doit être défini clairement et compris par toutes les parties prenantes.
Mesurable : Il faut pouvoir déterminer si l’objectif a été atteint ou pas.
Accepté : Toutes les parties prenantes doivent adhérer à l’objectif.
Réaliste : L’objectif doit être réalisable dans le temps de la crise et avec les moyens réellement disponibles.
Temporellement défini : chaque objectif devra être défini et limité dans le temps.
Un conseil, dans le même temps et pour une bonne remédiation n’oubliez de prendre en compte les équipes métiers dans l’établissement des objectifs opérationnels en :
→ Identifiant les impacts et les priorités métier
→ Partageant les objectifs avec eux
→ Impliquant les métiers dans le rythme de la reconstruction
→ Validant et coordonnant la reprise pour s’assurer auprès d’eux, qu’une fois leurs outils relancés d’un point de vue technique, tout fonctionne bien de leur côté.
Pour aller plus loin découvrez le corpus de guides détaillés rédigés par l’ANSSI, en date de décembre 2023 et disponible dans son intégralité ici.