[Tribune de Stuart McKenzie, SVP EMEA, Consultant chez Mandiant] Les sommets géopolitiques, les élections et les manifestations sportives comptent parmi les événements les plus visibles, qu’ils se déroulent à l’échelle internationale, nationale ou régionale. Ils présentent également des défis uniques en matière de cybersécurité pour les infrastructures critiques et les chaînes d’approvisionnement. La défense contre les cybermenaces devient donc une considération importante pour les organisateurs et n’est plus un sujet sur lequel nous pouvons nous enfouir la tête dans le sable.
La défense de ces types d’événements sociétaux nécessite des défenses actives soutenues par les derniers renseignements sur les attaquants potentiels. Les organisateurs doivent disposer de programmes de sécurité stratégiques et de solutions techniques adaptées pour renforcer leur posture de sécurité avant l’événement et pour soutenir les opérations une fois l’événement lancé. La mise en place de cybercapacités résilientes dans un laps de temps très court, sous l’œil attentif du public, est un défi majeur qui exige concentration et investissement dans la planification et la mise en œuvre.
Il y a trois phases clés à considérer ici, avant et pendant un événement majeur :
- Comprendre l’environnement : Se préparer, se renforcer et s’exercer
- Anticiper les menaces : Tester, surveiller et se défendre
- Survivre aux attaques : répondre, contenir et remédier.
Comprendre l’environnement
Cette phase doit avoir lieu avant un événement majeur, dans le but de protéger et de renforcer de manière proactive la posture de sécurité de l’événement. En savez-vous assez sur les adversaires potentiels et avez-vous préparé votre personnel, vos processus et vos technologies de la bonne manière ?
Tout d’abord, assurez-vous que vous pouvez surveiller et examiner les alertes, rechercher de manière proactive les attaquants, et contenir et remédier aux menaces. Ensuite, déployez des technologies de détection des points de terminaison et des réseaux dans tout l’environnement, ainsi qu’une authentification multifactorielle pour tous les comptes et services externes. En outre, des alertes doivent être émises pour les vulnérabilités émergentes et actuellement exploitées, ainsi que pour les menaces actuelles et imminentes, sur la base des dernières informations sur le paysage des menaces. Surveillez les médias sociaux, les blogs, les forums, les sites d’information et les applications de chat pour détecter les menaces et les campagnes de désinformation. Enfin, coordonnez votre action avec les organismes nationaux compétents pour obtenir et fournir des informations connexes.
Lorsqu’il s’agit de durcir l’infrastructure, procédez à des évaluations de la compromission et validez les contrôles pour vérifier la sécurité et l’intégrité de l’environnement et des données clés à protéger. Réfléchissez aux différents moyens d’accéder à cet environnement et veillez à consigner et à analyser régulièrement tous les actifs réseaux tournés vers l’extérieur.
Assurez-vous d’avoir désigné une équipe de réponse à la crise et de disposer du soutien organisationnel, exécutif et de communication adéquate. Effectuez un exercice sur table pour vous assurer que tous les participants comprennent leurs rôles et responsabilités en cas d’incident, et testez les procédures de sauvegarde pour garantir que les données essentielles peuvent être rapidement restaurées et que les fonctions commerciales essentielles peuvent rester disponibles.
Anticiper les menaces
Une fois l’événement majeur commencé, le risque de cyberattaques destructrices ou perturbatrices augmentera. Les principales priorités seront de valider en permanence les contrôles de sécurité et de défendre les actifs critiques. Il s’agit d’empêcher l’accès dont un adversaire a besoin pour atteindre son objectif. Les tests sont importants, qu’il s’agisse d’exercices de tests de pénétration sur tous les actifs tournés vers l’extérieur, de tester la capacité et la technologie de l’équipe interne à détecter, prévenir et répondre, ou de tester les temps de réaction de l’équipe de réponse aux incidents face à des méthodes adverses réelles.
- Créer une salle de situation pour recueillir les informations et les communications relatives aux opérations, aux renseignements et aux organisations externes.
- Surveiller, analyser et communiquer en permanence les données et analyses pertinentes provenant des sources de renseignement.
- Menez une chasse et une surveillance renforcées des comportements non marqués ; partez du principe que des attaques ont lieu et que les contrôles techniques ont manqué quelque chose.
- Valider en permanence l’efficacité des contrôles de sécurité contre les comportements d’attaque actifs.
- Restreindre les communications de sortie sur les systèmes critiques.
- Protégez les infrastructures spécifiques de grande valeur et l’architecture du réseau pour limiter ou supprimer l’accès des adversaires aux systèmes critiques, et assurez-vous de disposer de sauvegardes hors ligne à utiliser en cas de besoin.
Survivre aux attaques
Lors d’un événement majeur, la couverture médiatique nationale, internationale et sociale est souvent parallèle à l’activité en temps réel. Disposer de renseignements détaillés sur les tactiques, techniques et procédures existantes et émergentes des acteurs de la menace vous permet d’apporter une réponse efficace et efficiente aux incidents.
Une réponse efficace aux incidents et aux brèches va au-delà de l’enquête technique, du confinement et de la récupération et inclut la communication exécutive et la gestion de crise, comme les considérations juridiques, réglementaires et de relations publiques. Pour ce faire, il faut adopter le point de vue de l’adversaire potentiel sur la situation. Se préparer à un incident d’un côté, sans s’appuyer sur l’expérience du monde réel et les données sur les menaces connues, ne résout que la moitié de l’équation. Après l’événement majeur, prenez le temps de détailler les succès, les défis et les recommandations. Nous pouvons toujours continuer à tirer des enseignements d’événements similaires et essayer de partager autant d’informations que possible pour éviter que de telles circonstances ne se reproduisent à l’avenir.
Ces défis deviennent encore plus aigus lors d’événements majeurs. Pour protéger de tels événements, des capacités de cyberdéfense rapides et adaptables doivent être disponibles dans des conditions de stress et de pression exceptionnelles. Une stratégie et un cahier des charges cybernétiques préparés et mis en pratique contribuent à garantir une issue favorable non seulement pour les hôtes, mais aussi pour tous les participants, spectateurs et téléspectateurs du monde entier.