Ces dernières semaines ont été indéniablement difficiles pour Revendeurs britanniques, M&S, The Co-Op et Harrods étant tous victimes de cyberattaques (très publiques). Dans chacun de ces cas, les détaillants ont dû faire face non seulement à un certain niveau d'interruption des services, mais également à des problèmes potentiels en termes de réputation et de finances, dont l'ampleur ne sera connue que bien plus tard. Lorsque de tels noms connus sont ciblés, de nombreuses organisations, de toutes tailles et de tous secteurs, sont susceptibles de se demander : et si nous étions les prochaines ? Que pouvons-nous faire pour nous protéger ? et surtout, par où commencer ?
Dans ce Hacker Headspace, je traiterai du plan de réponse aux incidents très nécessaire et très basique et d'autres éléments de la planification de la continuité des activités, ainsi que d'autres mesures proactives que les organisations peuvent prendre pour se protéger en cas de cyberincident. Pourquoi ? Parce que cela me fait frissonner le dos (et je suis sûr que beaucoup d'autres professionnels de la sécurité), un initié anonyme a révélé à Sky News que M&S « n'avait aucun plan de continuité des activités [pour cela], nous n'avions pas de plan de cyberattaque. » - Argh. C'est suffisant pour donner du fil à retordre à n'importe quelle équipe de sécurité et/ou n'importe quel responsable de la suite.
Anatomie d'un cyberincident : déconstruire la faille M&S
Regardons d'abord ce que nous savons.
En février, Marks & Spencer a été victime d'une cyberattaque, probablement un incident de rançongiciel orchestré par le groupe de piratage connu sous le nom de Scattered Spider. D'après un Avis CISA à partir de 2023, Scattered Spider est « un groupe cybercriminel qui cible les grandes entreprises et leurs services d'assistance informatique sous contrat ».
Certaines recherches suggèrent qu'il s'agit de l'œuvre d'un gang d'adolescents et de jeunes adultes basés au Royaume-Uni et aux États-Unis. Ce qui est intéressant, c'est l'affiliation du gang à AlphV/BlackCat, le gang de rançongiciels russophone. Scattered Spider est censé agir en tant que courtier d'accès initial (IAB) pour le groupe, ce qui signifie que l'entreprise est spécialisée dans la prise de contact initiale au sein du réseau d'une organisation cible, qui peut ensuite être vendue ou cédée à des opérateurs de rançongiciels pour déployer des logiciels malveillants. Les techniques de Scattered Spider impliquent souvent une ingénierie sociale sophistiquée, comme l'usurpation d'identité d'employés ciblant le service d'assistance de M&S, afin de contourner des mesures de sécurité telles que l'authentification multifactorielle. Cela leur permet d'accéder, de voler des données et de déployer des logiciels malveillants, ce qui entraîne de nombreuses perturbations dans de nombreux cas (nous l'avons vu en 2023 avec le piratage de MGM Resorts, auquel le groupe était également lié).
Fin avril, il a été signalé que les systèmes critiques de M&S avaient été chiffrés à l'aide du malware DragonForce. L'attaque a provoqué des perturbations généralisées, interrompant les commandes en ligne, affectant les paiements sans contact et perturbant l'approvisionnement. On pense que l'attaque a entraîné une perte de revenus de plus de 650 millions de livres sterling. L'un des plus gros problèmes ? L'absence de plan de continuité des activités de l'entreprise pour déterminer si (ou, au fur et à mesure que les attaques se multiplient, quand) une attaque se produit.
À propos des plans de réponse aux incidents et de la continuité des activités
Les organisations doivent planifier en cas de problème. Certains secteurs, comme la banque et la finance (après le krach financier de 2008), l'exigent. L'absence de continuité des activités en cas d'incident peut nuire à la valeur actionnariale, ainsi qu'à la confiance des employés et des clients. Cela signifie également qu'une organisation peut subir une atteinte importante à sa réputation et qu'il peut falloir encore plus de temps pour s'en remettre.
Les organisations doivent désigner une personne responsable du plan de réponse aux incidents (IR). Ils devraient être habilités à plaider auprès du conseil d'administration en faveur d'investissements préventifs dans des cyberressources décentes. Cependant, il est essentiel, et on ne le soulignera jamais assez, que les plans soient testés. Une façon d'y parvenir consiste à effectuer des exercices sur table. Les exercices sur table, y compris l'engagement de la haute direction, donnent à la cybersécurité une apparence plus « réelle ». La raison pour laquelle ces exercices sont si importants est que beaucoup sous-estiment la profondeur qu'un retrait peut avoir au sein d'une organisation. En réalité, les organisations sont bien plus interconnectées que beaucoup ne le pensent. Bien que ces exercices soient davantage un jeu de plateau imparfait que la réalité, ils peuvent révéler à quel point une violation serait importante et à quel point il est essentiel de réagir rapidement et de manière appropriée. Cela peut contribuer à stimuler l'engagement et le financement, deux éléments essentiels en matière de justification de la sécurité.
Un bon plan de réponse aux incidents doit également inclure des sauvegardes, qui peuvent être restaurées en cas d'incident. Ces sauvegardes doivent être segmentées, quasiment déconnectées d'Internet et être faciles à restaurer si nécessaire.
En mettant en place un solide plan de continuité des activités, les organisations peuvent s'efforcer d'améliorer leur cyberrésilience.
Les organisations sont complexes, une sécurité parfaite est quasiment impossible à atteindre
Mais le simple fait de disposer d'un plan de réponse aux incidents et d'exercices pratiques ne suffit pas.
En matière de sécurité, de nombreux fournisseurs tentent de se tourner vers la gauche en intégrant des pratiques et des tests de sécurité dès les premières étapes du cycle de vie du développement logiciel (SDLC) afin d'identifier et de corriger les vulnérabilités de manière proactive avant qu'elles ne deviennent coûteuses à corriger ultérieurement. Nous le constatons avec les initiatives Secure by Design, telles que L'engagement de CISA en matière de sécurité dès la conception, qui gagnent en popularité dans le monde entier. Cependant, la réalité des organisations modernes, en particulier les plus grandes comme M&S, est qu'elles disposent de parcs informatiques très complexes, comportant de nombreuses facettes et points d'entrée sur le réseau d'entreprise à sécuriser et une surface d'attaque étendue. Qu'il s'agisse de services d'assistance, d'applications destinées aux consommateurs, de systèmes informatiques d'entreprise, de magasins physiques, de chaînes d'approvisionnement, d'outils d'inventaire ou d'usines de fabrication, ces organisations sont extrêmement complexes. La réalité est que toutes les zones ne seront jamais parfaitement protégées. Ce qu'il faut, ce sont des niveaux de sécurité, y compris des failles et des failles, afin qu'un pirate informatique persistant ne puisse pas continuer à parcourir un système et à accéder à des données critiques.
La première étape d'une bonne stratégie de sécurité est de savoir ce que vous avez et ce que vous devez protéger. Un bon scan de la surface d'attaque permet de cartographier et de surveiller les points d'entrée faibles et les vulnérabilités connues. Dans le cas d'une grande organisation en particulier, il peut y avoir de nombreux actifs à découvrir et à protéger, une multitude d'entre eux en fait (c'est pourquoi nous appelons notre outil ASM Observatory !) Vous ne pouvez pas protéger ce que vous ne savez pas avoir. Allumer la lumière pour avoir une vue d'ensemble des actifs (et les inventorier) est une première étape cruciale.
De plus, il ne sert à rien de disposer de nombreux outils de sécurité si vous ne les utilisez pas correctement. Les cibles doivent être découvertes et des journaux doivent être conservés, analysés et traités en cas d'intrusion. Ces éléments sont essentiels à une défense multicouche.
Réflexions finales ?
Les organisations doivent prendre la cybersécurité au sérieux, en se préparant à anticiper le moment où un cyberévénement risque de se produire et non à l'éventualité d'un tel événement. Il faut toutefois reconnaître le mérite à ceux qui gèrent les systèmes informatiques des grands réseaux d'entreprise, comme dans le cas de M&S, car il peut être difficile de tout sécuriser correctement. Les organisations ont besoin d'investissements adéquats pour mettre en place une bonne stratégie cybernétique à plusieurs niveaux, y compris des scans du réseau et des plans IR.