ANSSI : 3 étapes pour piloter la remédiation cyber

Que faire en cas de cyberattaque ? Cette question revient souvent dans les préoccupations des entreprises, à juste titre.

Pour vous aider à y voir plus clair, nous vous proposons un résumé des 2 premiers guides de l’ANSSI sur le pilotage de la remédiation après une cyberattaque !

Notre abrégé s’appuie sur la version initiale de ce corpus de guides, en date de décembre 2023 et disponible dans son intégralité ici.

 

Bonne lecture.

 

Quelles sont les différentes phases de la gestion d’un incident cyber ?

 

Lorsqu’un incident cyber frappe une organisation, il convient de distinguer plusieurs phases qui se joueront dans le même temps.

D’une part, la gestion de crise, qui va organiser la stratégie de l’organisation face à l’attaque.

 

D’autre part, le pilotage de l’investigation, qui vise à retracer l’historique de l’attaque.

 

Ainsi que le pilotage de la remédiation, qui vise à organiser et suivre la réalisation des actions de remédiation.

 

Schéma de l’ANSSI détaillant les différents temps de la gestion d’un incident cyber 👇

 

Qu’est-ce que la remédiation ?

 

“ La remédiation est, avec l’investigation et la gestion de crise, l’une des dimensions majeures de la réponse à incident cyber (atteinte aux activités ou espionnage). Elle est définie comme le projet de reprise de contrôle d’un système d’information compromis et de rétablissement d’un état de fonctionnement suffisant.” - ANSSI

 

La remédiation consiste de fait, lorsqu’une cyberattaque survient au sein d’une organisation, à poser les fondements pour une reprise durable du contrôle du système d’information, dans le but d’en retrouver la pleine possession et de rétablir l’ensemble des activités de l’entreprise impactées.

 

La remédiation vise ainsi à :

1. Arrêter la progression de l’attaquant
2. L’exclure du cœur de votre SI
3. Nettoyer l’intégralité du système.
4. Reconstruire le SI pour le rendre à nouveau opérationnel et sécurisé

Le tout en profitant idéalement de cette intrusion pour venir renforcer la sécurité du SI dans sa conception même.

 

Schéma de l’ANSSI détaillant les différentes phases de la remédiation 👇

“ Le bon accomplissement de la séquence E3R vise à doter les défenseurs d’un système d’information maîtrisé, sur lequel les tentatives de retour de l’attaquant sont détectées et neutralisées. ” - ANSSI

Malik Himiche, RSSI du SIIM 94, nous partage son expérience d'une remédiation réussie. Il a, avec son équipe, réussi à circonscrire une cyberattaque en moins de 24h. Découvrez son témoignage juste ici.

 

 

Si cette phase de remédiation est bien pilotée, elle devient une opportunité d’optimisation et de perfectionnement de la sécurité globale de l’organisation touchée.

 

Dans ce résumé, nous passons en revue les bonnes pratiques données par l’ANSSI pour piloter la remédiation tout en renforçant la sécurité des systèmes d’information.

 

La conception du plan de remédiation

 

Dans un premier temps, il vous faudra concevoir votre plan de remédiation. Celui-ci peut se décomposer en 3 phases.

1. L’identification des objectifs stratégiques 

 

Ceux-ci doivent être peu nombreux pour ne pas disperser les moyens et être cohérents avec les priorités métiers.

En effet, la réussite de la restauration d’un service se mesurera au fait que le métier puisse valider le fonctionnement attendu et pas seulement au fait que le redémarrage de l’infrastructure ait été effectué.

 

2. Décliner les objectifs opérationnels

 

Chaque objectif opérationnel défini sera traité comme un sous-projet, avec ses propres échéances et moyens.

3. Décliner les actions techniques

“ Le plan de remédiation est un projet qui décline des objectifs stratégiques en objectifs opérationnels et les objectifs opérationnels en actions techniques.

Par exemple, l’objectif stratégique « verser la paie à la fin du mois » peut se décliner en plusieurs objectifs opérationnels : « restaurer les sauvegardes de l’application RH dans la semaine », « réinstaller l’application RH », « mettre en place des postes pour la saisie des temps », etc. Ensuite, si l’on regarde de plus près, l’objectif opérationnel « restaurer les sauvegardes de l’application RH dans la semaine » peut se décliner en actions techniques telles que « installer un serveur de restauration », « réindexer les bandes de sauvegarde », « restaurer les bandes contenant les données de l’application RH », etc.” - ANSSI

Voici dans un schéma détaillé, l’articulation de la gestion d’incident et de la remédiation 👇

 

Les 3 phases de la remédiation

 

Un projet de remédiation se construit autour de 3 phases clefs.

1. L'endiguement

 

Il est nécessaire de prendre des mesures pour limiter la progression de l’attaquant au plus tôt. L’objectif dans un premier temps n’est pas d’expulser de façon pérenne l’intrus mais de limiter ses agissements afin de ne pas aggraver la situation et de donner du temps aux équipes de défense pour s’organiser et reprendre petit à petit la main sur le SI.

 

Ainsi, il vous faudra dans un premier temps :
→ Préserver les traces (celles-ci seront utiles par la suite à la compréhension de l’incident)

→ Limiter l’extension des dommages en empêchant l’adversaire de détruire ses traces, en limitant l’extension d’un chiffrement ou d’une destruction d’information et en empêchant l’extension de l’attaque à d’autres systèmes.

 

“ La limitation des possibilités de latéralisation ou d’escalade de privilèges représente souvent les mesures de sécurité les plus efficaces, sur lesquelles il est recommandé de concentrer les plus gros efforts.” - ANSSI

Si vous avez, préalablement à l’attaque, mis en place un gestionnaire de mots de passe au sein de votre organisation, celui-ci vous permettra de ralentir une possible latéralisation de l’attaquant, voire de la bloquer, grâce à des droits d’accès strictes sur les différents accès. Optez de préférence pour une solution centralisée.

 

Attention cependant, à bien faire le choix d’un outil permettant de gérer finement les privilèges de chaque collaborateur sur les mots de passe avec une historisation des logs comme peut le proposer LockPass. L’usage d’un KeePass auquel tout un service a accès ne pouvant remplir ce besoin en sécurité et traçabilité.

→ Limiter les impacts métiers en mettant hors de portée de l’attaquant les services et données compromis et en protégeant les informations sensibles ou nécessaires à la reconstruction du système.

→ Limiter la liberté de l’attaquant en restreignant les canaux de communication possibles et en isolant les ressources compromises identifiées.

→ Augmenter vos connaissances sur l'attaque en supervisant les moyens d’attaque identifiés ou probables et en contraignant l’adversaire à utiliser des moyens de communication détectables.

 

Voici quelques actions d’endiguement qui pourront être menées :
→ Coupure de l’accès Internet par filtrage sur le pare-feu extérieur
→ Mise en sécurité des sauvegardes par déconnexion du réseau
→ Segmentation du réseau au niveau 2 sur les commutateurs Ethernet
→ Extinction de machines sensibles
→ Sauvegarde instantanés de machines virtuelles
→ Désassociation de services avec le domaine Active Directory

 

2. Éviction

 

L’éviction vise à recréer un espace sécurisé, sous contrôle de l’organisation touchée et depuis lequel mener les actions de reconstruction du SI et d’éradication des emprises de l’attaquant. C’est la création de ce qu’on appelle le cœur de confiance.

 

“ Le cœur de confiance est la brique centrale du système d’information, d’où l’attaquant est exclu de façon certaine et qui est indispensable pour mener les actions de remédiation. ” - ANSSI

 

Rétablir un espace sain, dans lequel l’attaquant est éradiqué avec certitude est indispensable. C’est de cet espace que vous pourrez ensuite mener les différentes actions de reconstruction pour rétablir une confiance totale dans l'intégralité de votre SI. Si cette phase est mal menée, le SI sera exposé à des phases récurrentes de compromission.

 

“ Le cœur de confiance est la partie d’un système d’information sur laquelle repose la sécurité de la totalité du système d’information. Dans la plupart des systèmes d’information, le cœur de confiance inclut : la gestion des identités, l’administration, les composants assurant la supervision de sécurité, et les hyperviseurs.

 

La compromission d’un composant du cœur de confiance entraînerait celle de la totalité du système d’information.” - ANSSI

 

Ce cœur de confiance est dans la plupart des cas, centré autour de l’Active Directory. Pour en savoir plus sur la sécurisation d’un SI reposant sur AD, rendez-vous dans cet article de blog dédié.

 

Les objectifs de l’éviction sont donc de :

→ Créer un socle système et réseau hors de portée de l’attaquant

→ Mettre en place des moyens d’administration fiables

→ Concilier le besoin d’assurance sur les éléments importés du système compromis (typiquement les annuaires et une partie des informations d’authentification), et la minimisation des travaux de reconstruction.

→ Construire les services d’authentification et de gestion système de confiance sur lesquels appuyer la remise en production du système d’information.

 

Concrètement, cela se traduit par la réalisation d’actions telles que :

→ Recréation d’une infrastructure de virtualisation.

→ Création d’une compartimentation réseau isolant les composants sensibles.
→ Bascule d’un annuaire Active Directory compromis à un annuaire sain.

→ Mise en place de stations d’administration dédiées et renforcées.

 

Les opérations d’éviction devront faire l’objet d’une préparation minutieuse : identification du cœur minimal, architecture de la nouvelle infrastructure, acquisition et installation de serveurs et de postes d’administration, planification des changements d’identifiants.

 

“ Il est recommandé qu’un moment de bascule brutale du système compromis vers un système sain soit planifié. La soudaineté du changement vise à réduire les opportunités pour l’attaquant de compromettre le nouveau cœur de confiance lors de son passage en production.” - ANSSI

 

Suivant le rythme de l’incident, la préparation de ce “moment pivot” s’étendra sur plusieurs jours voire semaines et l’exécution se fera en quelques heures.

 

3. Éradication

 

Dans cette dernière phase, vous devrez rechercher et éliminer toute persistance de l’attaquant dans le système d’information et à déployer des mesures pour empêcher son retour.

 

⚠️ Vous ne pourrez pas avoir la certitude d’une éradication totale. Ainsi, il sera essentiel de mettre en place des outils pour superviser la sécurité du SI et détecter les nouvelles tentatives de retour qui n’auraient pas été anticipées.

Les objectifs de l’éradication sont donc de : 

→ Supprimer les accès de l’adversaire.

→ Éliminer les voies de retour possible pour l’attaquant.

→ Acquérir une visibilité sur les tentatives de retour.

 

Pour cela vous pouvez très concrètement : 

→ Déployer un EDR et superviser les postes de travail

→ Découper le SI en sous-systèmes et pour chaque zone, migrer dans une architecture contrôlée avec inspection ou réinstallation des machines

→ Mettre en place une collecte des événements détaillés (via Syslog par exemple)

→ Migrer les données vers de nouvelles instances des services

 

Quelques éléments clefs à garder en tête lors de la réalisation du plan de remédiation

 

Quelle que soit la motivation de l’intrusion, l’attaquant a des raisons de s’opposer à la remédiation. Ainsi les actions mises en place doivent s’effectuer en tenant compte de cette présence malveillante afin d’assurer que l’intrusion ne puisse pas se reproduire.

Durant toute la durée de la remédiation, il convient de garder à l'esprit que toutes les actions qui peuvent être visibles par l’attaquant seront une communication implicite à son égard, pouvant provoquer une réaction et une adaptation de sa part.

Cela implique notamment : 

• De bloquer les chemins de compromission utilisés par l’adversaire,
• D’éradiquer les moyens d’accès que l’attaquant aurait conservés sur le système d’information,
• De s’assurer de l’intégrité des nouveaux systèmes ou systèmes réinstallés lors de leur acquisition, de leur configuration et de leur mise en œuvre,
• De protéger les échanges entre intervenants sur la remédiation face à l’adversaire.
  
  

Bien souvent, l’attaquant va chercher à surveiller les échanges des défenseurs afin de récupérer les documents générés par les équipes travaillant sur l’incident et tenter de collecter les nouveaux mots de passe au fur et à mesure de leurs changements afin de garder prise dans le SI.

 

“ Il est donc impératif que le travail de remédiation soit totalement dissocié du système faisant l’objet de l’intrusion. Cela inclut l’usage de stockage et de moyens d’échange externes au système compromis. Les postes utilisés doivent aussi être protégés. Idéalement, des postes neufs ou réinstallés, non liés au système d’information, devraient être utilisés. Les données échangées en dehors des postes protégés doivent être chiffrées en transit et de préférence en stockage, afin de ne pas être interceptées.” - ANSSI

 

Pour cela, la mise en place d’outils de transferts sécurisés et certifiés par l’ANSSI tels que LockTransfer sont une nécessité !

 

 

“ L’ANSSI délivre le Visa de sécurité à un certain nombre de prestataires, Il est donc possible de s’appuyer sur des prestataires de confiance dont le niveau de compétence a été vérifié.” - ANSSI

 

Autre conseil : Garder un œil sur l’humain. La gestion du moral et de la fatigue sur la durée seront cruciaux pour mener à bien le projet de remédiation. Ménagez-vous et vos équipes.

 

_____

La fin du projet de remédiation sera atteinte lorsque tous les objectifs stratégiques auront été satisfaits. 

Dans l’idéal, la remédiation devra être l’exécution de votre plan de continuité et de reprise d’activité, préparés en amont pour faire face aux incidents cyber.

Quoi qu’il en soit, ce temps de la remédiation devra faire l’objet d’un recueil de retours d’expériences qui aidera à établir un plan d’action de sécurisation post-incident. 

“ Une partie considérable des équipes intervenant sur les remédiations sont des spécialistes externes aux organisations victimes des attaques. Il est donc conseillé de procéder à des phases de recueil de retours d’expérience « à chaud » afin d’y inclure des interlocuteurs qui risquent d’être plus tard indisponibles.” - ANSSI

Un dernier conseil : sortez de l’immédiateté. Les incidents cyber se gèrent en semaines et en mois. Vous faire absorber par l’activité “à la minute” est un gouffre dont il vous sera utile de vous extirper. 

Rappelez-vous que la remédiation est un marathon et non un sprint.

Pour la mise en place technique de votre projet de remédiation, nous vous recommandons de suivre attentivement le troisième guide de l’ANSSI qui vient compléter ce corpus, disponible ici 🤓

Si vous souhaitez aller plus loin sur le sujet de la remédiation, nous vous avons détaillé les 3 scénarios possibles pour une remédiation proposés par l’ANSSI.