L’incapacité à identifier la cause des violations expose de nombreuses organisations à de nouvelles attaques. Les pénuries de ressources, la pression des tirs, les problèmes de planification et le manque de suivi après l’incident sont à blâmer.
L’analyse post-incident reste aujourd’hui une préoccupation majeure pour la plupart des organisations de sécurité. Selon l’étude Security Priorities de Foundry, 57 % des responsables de la sécurité déclarent que leur organisation a eu du mal à trouver la cause profonde des incidents de sécurité survenus au cours de l’année écoulée, ce qui les expose à un risque accru d’être à nouveau victime d’une violation.
« Sans une analyse post-mortem approfondie pour identifier la cause profonde, les entreprises se défendent les yeux bandés, condamnées à répéter les mêmes erreurs », explique Agha.
Résilience grâce à l’analyse des causes profondes
D’autres experts conviennent que trop d’entreprises considèrent la réponse aux incidents comme un exercice opérationnel plutôt que analytique. En conséquence, les actions de confinement et de récupération peuvent être bien répétées tandis qu’une enquête médico-légale plus approfondie et un retard d’apprentissage après l’incident.
« Sans une approche disciplinée de la préservation des preuves et de l’analyse des causes profondes, des informations précieuses sont perdues », déclare Tom Moore, directeur de l’investigation numérique et de la réponse aux incidents chez BlueVoyant, fournisseur de services de sécurité gérés. « Une réponse robuste aux incidents ne consiste pas seulement à remettre les systèmes en ligne : il s’agit également d’utiliser les leçons apprises pour éclairer les stratégies de détection, de prévention et d’atténuation des risques. »
Moore ajoute : « Cette boucle de rétroaction continue favorise en fin de compte la résilience à long terme et est particulièrement précieuse lorsque le paysage des cybermenaces évolue et s’adapte si rapidement. »
Marie Hargraves, consultante principale en gestion de crise chez Semperis, fournisseur de sécurité cloud, convient que « la plupart des organisations se concentrent sur la lutte contre les incendies au lieu d’apprendre des flammes ».
Chaque crise comporte trois phases : la détection, la réponse (la phase aiguë) et l’examen.
« Il s’agit de la troisième phase, l’examen post-crise, au cours de laquelle la résilience est renforcée », explique Hargraves. « Les organisations qui capturent des données en temps réel, les analysent rigoureusement et agissent sur les leçons identifiées se rétablissent plus rapidement et en ressortent plus fortes. »
« La réponse aux incidents ne consiste pas seulement à survivre ; il s’agit également de s’adapter et de renforcer la résilience », ajoute Hargraves.
Tracer un chemin d’attaque
La préparation est essentielle, c’est pourquoi les entreprises doivent disposer d’outils et de compétences dédiés à l’investigation numérique avant qu’un incident ne se produise, grâce à des technologies telles que la gestion des incidents et des événements de sécurité (SIEM).
Les appareils SIEM sont importants car, par exemple, de nombreuses passerelles et appareils VPN disposent d’un stockage local qui s’écrase en quelques heures.
« Si un cybercriminel s’introduit via le VPN et y reste pendant environ un jour avant de se tourner vers des serveurs critiques pour l’entreprise, alors la télémétrie du VPN s’évapore dans l’abîme », explique Agha de Huntress. « La centralisation et la conservation des journaux VPN, comme via un SIEM, permettent des détections réactives mais stockent également des données précieuses et permettent une analyse des causes profondes pour déterminer comment la violation initiale (s’est produite). »
Les statistiques de Huntress montrent que près de 70 % des cybercriminels sophistiqués s’introduisent via le VPN. «Là où SIEM a été activé, nous sommes en mesure de les détecter beaucoup plus tôt dans leur chemin d’attaque, mais également de déployer une analyse rétrospective pour identifier la cause profonde exacte qui a conduit à la violation», explique Agha.
Divers services tels que la détection et la réponse gérées (MDR) et la détection et la réponse étendues (XDR) peuvent également inclure un logiciel de capture médico-légale – une technologie qui permet aux fournisseurs de travailler main dans la main avec des cyber-enquêteurs légistes pour identifier la source de la violation et y remédier.
« Sans outils comme celui-ci, il devient de plus en plus difficile de travailler rétrospectivement pour identifier le « comment » », déclare Rob Derbyshire, directeur technique de la société de cybersécurité Securus Communication. « Certaines entreprises proposent des services de réponse aux incidents lorsque des violations se produisent, mais la clé pour les trier rapidement et empêcher que cela ne se reproduise est de s’assurer que vous disposez déjà des outils et des processus nécessaires pour rendre toute réponse beaucoup plus simple. »
Arda Büyükkaya, analyste principale du renseignement sur les cybermenaces chez EclecticIQ, souligne que sans une analyse approfondie des causes profondes, « la cause réelle de l’attaque reste inconnue et potentiellement toujours active ».
« Les meilleures pratiques devraient inclure une expertise en criminalistique numérique, des processus d’analyse des causes profondes et l’intégration des renseignements sur les menaces pour relier les incidents à des tactiques et campagnes plus larges des attaquants », conseille Büyükkaya. « Cette approche permet aux organisations de renforcer leur résilience face à chaque incident. »
Planification robuste
Une équipe de réponse aux incidents, généralement dirigée par le RSSI, doit être désignée pour prendre en charge un incident. Le plan doit également préciser les rôles et responsabilités de chaque partie prenante, du personnel informatique aux conseillers juridiques.
- Préparation: Maintenez un plan de réponse aux incidents testé, des rôles clairs et des chemins d’escalade.
- Détection et analyse : Centralisez la surveillance, exploitez les renseignements sur les menaces et garantissez des capacités médico-légales.
- Confinement et récupération : Agissez vite mais préservez les preuves ; valider les systèmes avant la restauration.
- Autopsie: Menez des examens structurés, documentez les résultats et intégrez-les à l’architecture de sécurité et à la formation.
- Amélioration continue : Intégrez la modélisation des menaces, automatisez le confinement et investissez dans le développement des compétences.
De nombreuses organisations choisissent d’utiliser des cadres établis et des normes ISO comme modèles pour leurs plans de réponse aux incidents.
« Ces cadres offrent une approche structurée, fournissant des sections et sous-sections qui couvrent tous les domaines essentiels, de la gouvernance aux réponses techniques », déclare Richard Ford, CTO chez Integrity360. « En utilisant un cadre reconnu, vous garantissez non seulement l’exhaustivité, mais facilitez également la communication avec les parties externes qui peuvent connaître le cadre. »
Renforcer la résilience organisationnelle
Une réponse efficace aux incidents doit être axée sur la création d’un processus structuré, reproductible et axé sur l’intelligence qui renforce la résilience au fil du temps.
Les plans de réponse aux incidents doivent être régulièrement testés, affinés et mis à jour – par exemple, au moyen de simulations ou d’exercices sur table – dans le cadre d’une stratégie plus large de continuité des activités et de résilience organisationnelle.
Bharat Mistry, directeur technique du fournisseur de cybersécurité Trend Micro, affirme que de nombreuses organisations souffrent d’un manque de maturité dans leur réponse aux incidents, qui devrait aller au-delà du simple confinement et de la récupération pour englober l’analyse médico-légale et les autopsies.
« Lorsque les organisations contournent l’analyse des causes profondes, elles ne traitent que les symptômes », prévient Mistry. « Ce défi découle d’une combinaison de problèmes : une visibilité fragmentée en raison d’outils cloisonnés qui empêchent une reconstruction précise des attaques, un manque de compétences qui laisse les équipes à court d’expertise en matière d’investigation et de chasse aux menaces, et des faiblesses de processus où les post-mortems sont souvent informelles ou simplement ignorées. »
Briser le cycle « brèche, correction, répétition »
Dans de nombreux cas, les preuves sont détruites par inadvertance, par exemple lorsque les serveurs sont effacés, les journaux sont perdus et les traces médico-légales disparaissent, car l’accent est mis sur la restauration rapide des opérations.
« À cela s’ajoutent la pression exercée par l’entreprise, les contraintes de temps ainsi que les ressources limitées, qui poussent les équipes à passer à la prochaine tâche urgente plutôt que de tirer les leçons de l’incident », ajoute Mistry. « En conséquence, les analyses rétrospectives, l’analyse des causes profondes et les mises à jour des procédures sont souvent ignorées. »
Le vecteur d’attaque initial et le mouvement latéral restent souvent inconnus, laissant les vulnérabilités non résolues et créant un cycle de « brèche, correction, répétition ».
« Pour briser ce cycle, les organisations doivent intégrer la préparation médico-légale dans leur stratégie d’intervention : préserver les preuves, mener des analyses post-mortem structurées et garantir que les enseignements tirés soient répercutés dans l’architecture et la formation de sécurité », conclut Mistry.
