Recouvrer les traces d’une attaque informatique : plus facile à dire qu’à faire, selon Balázs Scheidler, co-founder et CTO, Balabit.
Selon l’un des principes fondamentaux de la police scientifique, sur une scène de crime, tout contact laisse une trace. Dans l’univers du cybercrime, chercher les traces pour remonter le fil des événements jusqu’à l’auteur de l’attaque, se révèle souvent compliqué.
«Lorsqu’un incident survient, il est généralement difficile pour l’entreprise de définir qui a accédé à son système d’information et ce que cette personne a fait, estime Balázs Scheidler. Que l’incident soit le résultat d’une action malveillante d’un utilisateur interne, d’une erreur humaine ou d’une faille, dès lors que l’entreprise n’est pas capable de remonter les informations, elle passe à côté de preuves cruciales, et rend l’enquête beaucoup plus longue et onéreuse.»
Le temps, un facteur crucial
Pour mener à bien une enquête, il est plus facile, plus précis et généralement moins coûteux de conduire une analyse criminalistique poussée immédiatement.
Lorsqu’une faille est avérée, l’entreprise dépend des logs générés par les terminaux et les applications sur le réseau, pour déterminer la cause initiale et remonter les étapes de l’attaque. En pratique, trier les informations peut prendre des jours.
«Les logs doivent respecter le standard légal des preuves, explique Balázs Scheidler. Les logs qui ont été modifiés ou qui n’ont pas été stockés de manière sécurisée, ne seront pas acceptés comme preuve légale dans une cour de justice.»
Cependant, même pour les organisations qui ont implémenté des solutions fiables de collecte et de gestion des logs, l’information cruciale peut manquer et cela peut empêcher l’entreprise de reconstituer tout le cheminement de l’incident et ainsi de retrouver la source initiale du problème.
En ciblant les comptes à privilèges qui disposent de droits d’accès étendus, voire sans aucune restriction au système d’information, aux bases de données, et aux couches applicatives, les cybercriminels s’octroient le pouvoir de détruire, de manipuler ou de voler les données les plus sensibles de l’entreprise (financières, clients, personnelles, etc.).
L’analyse comportementale : un nouveau rempart
Les nouvelles approches de sécurité basées sur la surveillance des utilisateurs et l’analyse comportementale permettent aux entreprises d’analyser l’activité de chacun des utilisateurs, et notamment les événements malveillants.
«Ces nouvelles technologies permettent de tracer et de visualiser l’activité des utilisateurs en temps réel, assure Balázs Scheidler. Si l’entreprise est victime d’une coupure informatique imprévue, les circonstances de l’événement sont immédiatement disponibles dans le journal d’audit, et la cause de l’incident peut être identifiée rapidement.»
Ces journaux d’audit fournissent non seulement des preuves recevables légalement dans le cadre d’une procédure judiciaire, mais ils assurent à l’entreprise la possibilité d’identifier la cause d’un incident grâce à l’analyse des données de logs.
«Lorsque ces journaux sont complétés par de l’analyse comportementale, cela offre à l’entreprise une capacité à mener des enquêtes criminalistiques beaucoup plus rapidement et à moindre coût, tout en répondant pro-activement aux dernières menaces en temps réel», conclut Balázs Scheidler.