Face à la cybermenace qui pèse sur cet événement d’envergure, les cyberattaques devraient être 8 à 10 fois plus importantes que lors des JO de Tokyo selon le Comité d’Organisation des Jeux Olympiques (Cojo), SentinelOne, leader mondial de la sécurité alimentée par l’IA, liste les 8 étapes clés pour affronter cette situation.
Quelle que soit l’origine d’une violation de données (piratage, malwares, actions malveillantes au sein de l’entreprise, erreur humaine involontaire), les conséquences ont un impact technique, financier, juridique et peuvent également altérer la réputation de l’entreprise et la confiance de ses clients. Lorsqu’une attaque se produit, les entreprises doivent donc agir rapidement pour préserver les preuves, restaurer le système et mener une investigation efficace. SentinelOne rappelle les 8 étapes incontournables pour mettre en place une réponse solide et efficace :
Bien que les obligations légales varient souvent en fonction du pays ou du secteur d’activité, elles imposent généralement aux entreprises de notifier les personnes touchées par une attaque, d’informer les autorités compétentes et de prendre les mesures nécessaires afin d’éviter sa propagation et réduire les risques futurs. En outre, en fonction du cadre de conformité qui leur est imposé, les entreprises doivent transmettre les détails de la violation aux autorités réglementaires. Enfin, en cas d’incident, il est également conseillé d’informer son conseiller juridique interne ou externe et de contacter son prestataire de cybersécurité.
Si les procédures juridiques et de conformité doivent être déclenchées immédiatement après une cyberattaque, les responsables de la sécurité doivent également adopter une approche proactive pour préserver les données et les éléments de preuve. Pour ce faire, il est conseillé aux entreprises de ne pas désactiver les endpoints suspectés d’être compromis. Leur mémoire vive (RAM) contient des preuves précieuses qui, lorsque les systèmes sont arrêtés, sont définitivement perdues.
Il est indispensable de déconnecter le câble réseau, le Wi-Fi ou les données mobiles des systèmes potentiellement compromis. Séparer le réseau compromis du réseau sain (par exemple, réseaux locaux virtuels (VLAN) et listes de contrôle d’accès au réseau (ACL)) peut également faciliter la poursuite des activités.
Les entreprises doivent identifier les éléments de preuves potentielles dans tous les pare-feu (systèmes de détection d’intrusion (IDS), réseaux privés virtuels (VPN), solutions antivirus (AV), journaux d’événements) et s’assurer qu’ils sont configurés pour conserver ces preuves et qu’ils n’écrasent pas automatiquement les anciens journaux.
Il est important de recueillir tous les IoC connus et les échantillons de codes malveillants. Il peut s’agir d’adresses IP ou de domaines suspects, de hachages, de scripts PowerShell, d’exécutables malveillants, de notes de rançon, ... pour contribuer à l’investigation.
Préparer la restauration des fonctionnalités du réseau à l’aide de solutions de sauvegarde est clé. Il est notamment important s’appuyer sur les informations issues des investigations des systèmes compromis avant de restaurer les données. Avant de procéder à toute restauration, il est enfin essentiel de vérifier que les sauvegardes sont viables et propres.
Préparer une chronologie des événements suspects connus, indiquant le moment où l’attaque est censée avoir commencé et quelle est l’activité malveillante la plus récente, est primordial.
Les entreprises doivent déterminer les endpoints qui ont fait l’objet d’une activité suspecte, notamment en identifiant le premier système touché (patient zéro) et les sources éventuelles d’exfiltration.
Pour éviter de futures violations de données, qui risquent de se multiplier à l’occasion des prochains JO, de solides mesures de sécurité doivent être mises en place par les entreprises. Il est ainsi conseillé de :
Investir dans des solutions de cybersécurité robustes telles que la détection et la réponse étendues (XDR) et la détection et la réponse gérées (MDR), afin de garantir une approche holistique de la défense.
Mettre en œuvre des méthodes d’authentification forte telles que l’authentification multifactorielle (MFA) ou le contrôle d’accès basé sur les rôles (RBAC) pour empêcher l’accès non autorisé aux systèmes et aux données.
Réaliser des évaluations et des audits de sécurité réguliers afin d’identifier les vulnérabilités et y remédier
Contrôler et analyser régulièrement le trafic réseau afin d’identifier les menaces potentielles et y répondre
Mettre en œuvre le cryptage des données et d’autres contrôles de sécurité afin de protéger les données sensibles contre les accès non autorisés.
Créer et communiquer un plan de réponse aux incidents aux principaux dirigeants de l’entreprise afin de garantir une réponse rapide et efficace en cas d’atteinte à la protection des données.
Développer des partenariats avec des experts en cybersécurité afin d’être informé des dernières informations sur les menaces et d’accéder aux solutions de sécurité les plus récentes.
Former les employés à la sécurité des données et aux bonnes pratiques.
Singularity XDR, solution basée sur l’intelligence artificielle (IA) et l’apprentissage automatique (ML) de SentinelOne, répond à l’ensemble des écosystèmes de sécurité et protège chaque surface d’attaque.