Tout d'abord, qu'est-ce qu'une compromission de données ? La réponse est simple : une compromission de données se produit lorsqu'une personne non autorisée accède à des données confidentielles.
La suite n'est pas si simple. Un hacker peut s'emparer de ces données confidentielles et les modifier ou les supprimer. Il peut aussi les exfiltrer et les partager avec d'autres. Tous ces actes ont des conséquences graves pour l'entité victime de la compromission.
Cet article traite des actions à engager pour contrer cette menace. Il traite de la réponse à apporter aux compromissions de données et de l'importance d'élaborer une stratégie coordonnée dans ce domaine. Pour bien répondre à une compromission, il faut coordonner les personnes, les processus et les technologies généralement transverses à plusieurs départements d'une organisation. La réponse commence en fait avant que la compromission ne se produise, avec la préparation et les mesures préventives.
Comprendre les compromissions de données
Il existe de nombreux types de compromissions de données. Certains sont furtifs, comme ceux mis en place par les services de renseignement. Par exemple, on soupçonne des agents des services chinois de s'être introduits dans les systèmes d'entreprises de l'aérospatial et d'avoir exfiltré les plans de l'avion de chasse F-35. La victime ne s'est rendue compte de l'attaque qu'après un certain temps.
D'autres attaques apparaissent immédiatement au grand jour, l'attaquant divulguant des informations compromettantes sur la place publique, comme ce fut le cas pour les Wikileaks.
Si l'un des objectifs d'une compromission de données peut être le vol, un autre peut être l'installation de malwares dans un référentiel de données. Des ransomwares peuvent ainsi être installés lors d'une compromission de données, au cours d'attaques qui peuvent soit se produire en temps réel, soit après que le ransomware soit resté dormant sur une période donnée. Les attaquants peuvent ainsi chiffrer les données de la cible et fournir la clé de déchiffrement en échange d'une rançon.
Causes des compromissions de données
Les attaquants disposent d'un large éventail de vecteurs d'attaque pour compromettre des données.
Vol d'identifiants : les attaquants peuvent exploiter une gestion lacunaire des mots de passe ou lancer des campagnes de phishing pour détourner des comptes d'utilisateurs légitimes
Force brute : les attaquants multiplient les tentatives pour deviner les identifiants d'un utilisateur légitime et accéder au système
Man-in-the-Middle (MITM) : les attaquants exploitent des vulnérabilités du réseau pour intercepter les données lorsqu'elles circulent entre différents systèmes
Ingénierie sociale : les attaquants utilisent les ressorts psychologiques de l'humain pour amener les utilisateurs à dévoiler leurs identifiants
Impact des compromissions de données sur les entreprises
Une compromission de données peut avoir des conséquences très graves. Ou elle peut n'être qu'une nuisance mineure. Mais même dans ce cas, la compromission nécessitera une remédiation des systèmes affectés et la notification des principales parties prenantes.
Quoi qu'il en soit, la gestion d'une compromission de données implique beaucoup de travail et des dépenses non négligeables.
Parmi les tâches coûteuses à engager :
Analyse forensique de l'origine de l'attaque et de son impact sur les systèmes et les données
Remédiation des systèmes affectés
Restauration des données supprimées ou modifiées lors de la compromission
Détermination de l'ampleur de la compromission et de l'étendue des parties affectées, par exemple les clients et les partenaires
Notification des parties concernées, y compris les pouvoirs publics tels que l' État de Californie en cas de violation de la loi CCPA, les clients, les compagnies d'assurance, etc.
Paiement d'amendes, par exemple pour infraction au RGPD de l'UE
Détermination de la responsabilité juridique, le cas échéant
Traitement des demandes d'information des clients, des médias et des investisseurs
Le coût de ces activités peut s'avérer élevé. Selon une étude d'IBM, une compromission de données en 2023 a coûté en moyenne 4,45 millions de dollars, soit une augmentation de 15 % par rapport aux trois années précédentes.
Et ces coûts ne tiennent pas compte des atteintes à la réputation, qui peuvent être graves. Par exemple, une société de services financiers dont la marque repose sur la confiance pourrait perdre en crédibilité aux yeux des marchés en cas de mauvaise gestion d'une compromission des données de ses clients par des hackers. En outre, les amendes réglementaires peuvent être élevées, jusqu'à 10 millions d'euros dans le cas du RGPD. Quant aux obligations de notification et de remédiation des compromissions de données, elles ne cessent de se durcir.
Nécessité d'un plan de réponse aux compromissions de données
Si vous n'avez pas envie de débourser 4,45 millions de dollars et de voir votre activité paralysée, élaborez et implémentez un plan de réponse cohérent en cas de compromission de vos données.
Ce plan est un impératif absolu. Sans lui, vous vous trouverez démuni face à une crise qui pourrait être fatale à votre entreprise. Vous devrez improviser une réponse susceptible de prolonger la durée, d'aggraver le préjudice et d'alourdir les coûts associés à la compromission des données.
Un bon plan peut atténuer certaines des conséquences en termes de responsabilité et de réglementation. Il démontrera votre engagement pour la sécurité et le traitement responsable des données sensibles. En cas de compromission – et il est probable que chaque organisation en subisse une à un moment ou à un autre –, le plan guidera vos équipes tout au long du processus de réponse. Il rendra l'expérience aussi simple et économique que possible.
Un plan de réponse à une compromission de données peut s'inscrire dans un plan de continuité d'activité (PCA) global.
Les quatre éléments clés d'un plan de réponse à une compromission de données
Quels sont les éléments d'un plan de réponse efficace en cas de compromission de données ? Bien que chaque plan soit différent et s'adapte aux besoins uniques d'une organisation donnée, les meilleurs plans adhèrent tous à un modèle similaire. Ils suivent en substance le processus de la compromission elle-même, en commençant par les événements qui se produisent avant l'attaque. Voici les quatre éléments clés d'un plan de réponse à une compromission de données :
Préparation
La prévention des compromissions commence par de solides contre-mesures de cybersécurité globales. S'il est difficile de s'introduire dans votre environnement, vous avez déjà réduit le risque de compromission.
Il est également judicieux de mettre en œuvre des pratiques de préparation aux compromissions, notamment en dressant un inventaire des données sensibles. Savoir quelles données vous possédez et où elles se trouvent peut s'avérer d'une grande aide en cas de compromission. Il est également utile de bien comprendre les rôles des utilisateurs, à savoir qui est qui et à quelles données ils ont accès.
Sollicitez également le soutien d'experts capables de traduire la stratégie de cybersécurité de votre organisation en procédures concrètes de cyber-résilience. Lorsqu'un cyberincident se produit (et les études montrent qu'un cyberincident se produira probablement), il est essentiel de garder la tête froide et de suivre le plan.
Un élément clé de ce plan est la mise en place d'un bon système de sauvegarde et de restauration. Ainsi, en cas d'endommagement ou d'inaccessibilité des données de production, vous pouvez rapidement reprendre vos activités. Grâce aux playbooks automatisés, votre équipe de cybersécurité peut récupérer des données critiques et sensibles en appuyant sur un gros bouton intitulé « Start Cyber Recovery ». Ensuite, les données contenues dans un emplacement isolé peuvent être restaurées en production, conformément aux plans de cybersécurité.
Blocage et neutralisation des menaces entrantes
Se préparer à une compromission, c'est d'abord être en mesure de détecter et d'identifier les menaces susceptibles de mettre vos données en péril. Cela passe par l'analyse des menaces sur les données, qui elle-même recourt à des technologies de surveillance des menaces dans le cadre d'activités de Threat Hunting.
Par exemple, un système comme Rubrik Threat Monitoring peut automatiquement identifier les indicateurs de compromission dans les sauvegardes à l'aide d'un flux actualisé de Threat Intelligence. Ainsi, il est possible d'identifier les malwares cachés dans votre infrastructure. Le Threat Hunting consiste à analyser les snapshots de sauvegarde et à y découvrir d'éventuels malwares susceptibles d'entraîner une réinfection lors de la restauration des données. Parallèlement, le processus recherche des snapshots non infectés à utiliser pour la restauration.
Endiguement et éradication des compromissions
Si vous êtes victime d'une compromission, vous devrez limiter le « rayon d'impact » de l'attaque et déterminer ce qui a été touché.
À partir de là, il est préférable de procéder à l'endiguement de l'attaque, qui consiste à bloquer les possibilités d'actions malveillantes et de dommages supplémentaires par des malwares. Par exemple, si l'attaquant s'introduit dans une instance de SQL Server, vous devrez l'empêcher de passer à l'instance suivante, et ainsi de suite.
Pour atteindre cet objectif, il peut être nécessaire de segmenter le réseau ou de mettre en place une architecture Zero Trust. Avec le Zero Trust, les utilisateurs ne sont autorisés à accéder qu'à une plage très limitée de données, une pratique qui minimise l'impact en cas de compromission.
Récupération et remédiation
Une fois qu'une compromission est avérée, il est indispensable de procéder à un rétablissement rapide et complet. Mais comment restaurer la dernière version des données de l'entreprise sans réintroduire une vulnérabilité ou un exploit antérieur à la compromission ? Dans ce cas, le choix des systèmes de sauvegarde et de restauration est essentiel.
La bonne solution sera celle qui permettra un rétablissement rapide. Dans le cas d'un ransomware, la récupération peut être possible sans payer de rançon si vous conservez une copie de vos données protégée par air-gap . De cette manière, les hackers ne peuvent pas mettre la main sur vos données de sauvegarde. Vous pourrez également rechercher la présence d'éventuelles menaces dans votre système de restauration afin d'éviter toute réinfection. Avec une telle solution de récupération en place, vous pourrez rapidement relancer vos opérations IT sans trop d'interruption.
Une compromission nécessite également une action de suivi. Il peut s'agir d'une analyse forensique approfondie pour déterminer la cause de l'attaque et d'un processus de suivi pour s'assurer que toutes les vulnérabilités qui ont conduit à l'attaque sont corrigées. Cela pourra également déboucher sur un renforcement des cyberdéfenses. Le suivi devra également inclure une recherche approfondie d'éventuels « implants ». Les cyberattaquants, en particulier les acteurs du ransomware, laissent souvent derrière eux des malwares cachés qui leur serviront à se réintroduire et à causer de nouveaux dégâts. D'où l'importance de découvrir et d'éliminer ces menaces enfouies.
Réponse aux compromissions de données : les cinq bonnes pratiques
La réalité de la cybersécurité est quelque peu paradoxale : les compromissions de données sont tellement nombreuses que nous disposons désormais d'un riche ensemble de bonnes pratiques pour y remédier. Mais toutes les réponses ont un élément commun : maintenir l'alignement des facteurs humains et organisationnels sur la mission. Le processus de réponse nécessite une bonne collaboration entre des personnes issues de différentes branches de l'entreprise. La communication est essentielle.
A partir de là :
Soyez rapide : dans l'idéal, vous réagirez à la compromission avant qu'elle ne cause de graves dommages. Mais dans le cas contraire, une lecture rapide de la situation est souhaitable. Dès lors, plus vite vous prendrez les mesures de rétablissement nécessaires et informerez les principales parties prenantes, mieux cela vaudra pour tout le monde.
Testez régulièrement : au fur et à mesure que la technologie évolue et que les personnes changent de rôle dans l'organisation, il est impératif de tester votre plan de réponse et de le mettre à jour en conséquence.
Maintenez la conformité : si vous respectez les règles de conformité en vigueur et vous vous conformez à vos obligations de reporting, vous constaterez que vous avez déjà fait beaucoup pour atténuer l'impact d'une compromission de données, par exemple en mettant en place des contrôles d'accès rigoureux.
Surveillez vos données : assurez un suivi permanent de vos données pour détecter les anomalies et autres signaux faibles d'une compromission imminente.
Visez une amélioration continue : apprenez des expériences d'autres entreprises et inscrivez-vous dans une optique d'amélioration permanente de votre réponse aux compromissions de données.
Étude de cas : réponse à un ransomware
Avec quelque 35 000 clients dans l'État de Washington, le Lewis County Public Utility District (LCPUD) a été la cible d'une attaque par ransomware en 2019. Presque instantanément, les données de la compagnie d'énergie ont été chiffrées et les attaquants ont exigé une énorme rançon de 10 millions de dollars pour les décrypter. Ce qui aurait pu être incident dévastateur s'est en fait avéré être un inconvénient mineur, car l'entreprise avait déjà mis en œuvre Rubrik Security Cloud.
Avec Rubrik Security Cloud, les données du LCPUD avaient préalablement été sauvegardées sous une forme immuable. Les attaquants n'ont pu ni les chiffrer ni les supprimer, de sorte qu'elles étaient en sécurité et faciles à restaurer. Les données ont été récupérées et tous les systèmes ont été remis en service en deux heures seulement.
L'avenir de la réponse aux compromissions de données
La réponse aux compromissions de données devra continuer d'évoluer face à des attaquants qui ne cessent de se réinventer. À l'avenir, les menaces seront sûrement plus sophistiquées et difficiles à détecter, et de nouveaux modes d'extorsion apparaîtront. Les attaques de ransomware par chiffrement-déchiffrement font rapidement place à des modèles d'extorsion multifacettes. Par exemple, dans le cas d'une double extorsion, le hacker peut voler et revendre les données de la cible en plus de les verrouiller. Une triple extorsion peut même ajouter une attaque par déni de service (DoS) ou d'autres modes de perturbation à la demande initiale de rançon.
Bien se préparer à l'inévitable
Les risques sont élevés. Une compromission de vos données est probable, voire inévitable. Et les coûts associés sont colossaux. C'est pourquoi il est essentiel de bien se préparer avec un plan de réponse mûrement réfléchi et testé en cas de compromission des données. Rubrik Security Cloud peut vous aider. Rubrik vous permet de protéger vos données, de surveiller les risques et de récupérer vos données et applications pour maintenir votre entreprise sur de bons rails.