DIGITAL SOLUTIONS
Anticiper les attaques cybercriminelles
Pouvoir anticiper les attaques cybercriminelles ou y répondre efficacement exige d’être mieux informé, en temps réel, sur les menaces actuelles. Avec la mise en place de son CyberSecurity Incident Response Team (CSIRT), Telindus s’inscrit dans une démarche d’amélioration continue des connaissances en cybersécurité, afin de renforcer la protection de ses systèmes et générer une plus grande valeur ajoutée au profit de ses clients
August 1, 2016
Pouvoir anticiper les attaques cybercriminelles ou y répondre efficacement exige d’être mieux informé, en temps réel, sur les menaces actuelles. Avec la mise en place de son CyberSecurity Incident Response Team (CSIRT), Telindus s’inscrit dans une démarche d’amélioration continue des connaissances en cybersécurité, afin de renforcer la protection de ses systèmes et générer une plus grande valeur ajoutée au profit de ses clients. Par Sébastien Lambotte pour l’édition ITnation Mag Juillet 2016
« Renforcer la cybersécurité, quel que soit le niveau d’exposition à la menace, exige d’améliorer l’échange, entre professionnels de la sécurité informatique, d’informations relatives aux attaques perpétrées, commente Cédric Mauny, Responsable du département Security Audits & Governance Services et CSIRT Leader au sein de Telindus. Sans une meilleure communication, il devient désormais très difficile de se protéger de manière optimale et de pouvoir se préparer au mieux à toute attaque. » C’est dans cette optique que les Computer Emergency Response Team (CERT) ont vu le jour un peu partout dans le monde, en Europe et au Luxembourg.
Ces organisations, souvent rassemblées au sein de communautés comme CERT.
LU au Luxembourg facilitent l’échange d’informations autour de la menace, sur les risques et les manières de répondre aux attaques des cybercriminels. L’équipe de Telindus, qui développe depuis 2001 des services et une expertise dans le domaine de la sécurité, a notamment pris part à l’installation de plusieurs CERTs chez ses clients. Afin de poursuivre dans cette voie, depuis l’automne dernier, les équipes de Telindus spécialisées dans la cybersécurité ont décidé de se fédérer au sein d’un CyberSecurity Incident Response Team (CSIRT) privé pour Telindus et ses clients. L’équipe du CSIRT de Telindus à proprement parler compte aujourd’hui huit membres également spécialistes de la cyber-sécurité. « Parce que les acteurs au sein d’un même secteur sont confrontés à des problématiques de sécurité informatique similaires, il est intéressant de mettre en place des plateformes d’échange plus spécialisées autour des menaces, risques et incidents propres à leur domaine d’activité », poursuit Cédric Mauny.
Un échange d’informations entre acteurs de confiance
L’enjeu n’est pas de savoir si un incident aura lieu mais quand, et ainsi se préparer à y répondre. Pour y parvenir, il faut disposer de connaissances suffisantes sur les attaques perpétrées, afin de pouvoir mettre en œuvre des procédures et des outils adéquats pour éviter un nouvel incident ou pouvoir y répondre.
Un CSIRT, au cœur de l’entreprise, est un organe de réflexion et de conseil lié aux enjeux de sécurité, ainsi qu’une interface permettant de communiquer avec l’extérieur sur les enjeux de sécurité.
« La connaissance accumulée et partagée au sein de cette équipe va permettre d’apporter un support
aux autres équipes en interne ou encore une plus-value à nos clients en matière de réponse aux incidents, assure Jérémy Thimont, Consultant en Sécurité et Core-Team Member du CSIRT de Telindus. Si un acteur, au sein de la communauté de CSIRT que nous avons intégrée, a été confronté à une attaque, il peut partager son expérience afin que d’autres puissent mieux se protéger et apporter des réponses adéquates. De la même manière, les incidents que nous rencontrons, les attaques que nous détectons au niveau de nos réseaux et systèmes peuvent servir la communauté. »
Ne pas naviguer à vue
Bien entendu, les communications opérées au départ du CSIRT répondent à des procédures clairement établies. Il ne s’agit pas de communiquer toutes les informations relatives à une attaque ou incident, et certainement pas des informations relatives à des clients victimes d’une attaque, mais de partager une information sur la typologie de menace, son mode opératoire, son origine ou encore la destination d’une fuite de données. De telles communications, entre outre, ne peuvent s’effectuer qu’au sein d’un cercle de confiance, auquel ne peuvent accéder que des personnes identifiées et autorisées. « En tant qu’opérateur télécom, gestionnaire de réseau, Telindus dispose d’informations relatives à la menace et aux attaques, que nous pouvons mettre au service de la communauté », assure Jérémy Thimont. De la même manière, elle reçoit des données en retour. En résulte une connaissance plus fine de la menace.
« C’est essentiel. Quand on navigue sans vision, on n’a pas conscience du danger. Cela ne veut pas dire qu’il n’existe pas ou que l’attaque n’a pas déjà eu lieu », commente Cédric Mauny. Les cybercriminels redoublant d’ingéniosité pour passer inaperçus, il est essentiel pour ceux qui défendent de pouvoir s’adapter en permanence aux nouvelles techniques des attaquants.
« La veille dynamique opérée au niveau du CSIRT permet de renforcer notre propre sécurité ainsi que celle de nos clients. Nous pouvons, au départ d’une meilleure information, développer de nouveaux services à valeur ajoutée », précise Jérémy Thimont. C’est ainsi que le lien est fait avec le SOC (Security Operations Center) de Telindus. Cette tour de contrôle surveille à la fois les systèmes de Telindus ainsi que ceux de leurs clients et tire profit de l’interface mis en place par le CSIRT avec la communauté pour ces échanges d’information. Jusqu’à présent, le service SOC était uniquement opéré auprès des clients en managed services dans ses data centers mais désormais, Telindus propose également ce service à ses clients externes.
Mieux répartir l’effort en identifiant les failles
L’information de qualité dont Telindus dispose grâce à son CSIRT permet par exemple d’opérer des monitorings de meilleure qualité des flux échangés. Si l’on connaît les adresses IP à partir desquelles sont propagés les malwares ou vers lesquelles sont extraites les données lors d’attaques, on peut mieux répondre à la menace, aussi bien de manière préventive que réactive. « Avec un regard sur le réseau et sans ingérence sur la neutralité du Net, c’est un des services que nous pouvons apporter à nos clients en tant qu’opérateur », assure Cédric Mauny.
« Quand on navigue sans vision, on n’a pas conscience du danger. »
Dans une gestion toujours plus complexe de la sécurité, une information actualisée permet de positionner les efforts consentis pour renforcer la sécurité aux bons endroits. « Si, il y a encore quelques années, les acteurs économiques devaient se prémunir d’attaques visant le déni de service (DDoS), depuis quelques mois, ce sont avec des ransomware cryptolocker que les cybercriminels sévissent. En disposant des informations adéquates sur la menace et les attaques perpétrées par ailleurs, on peut mieux adresser les vulnérabilités. Si un incident a exploité une faille identifiée chez un autre acteur, grâce à l’échange d’information, l’ensemble de la communauté peut réagir pour éviter un nouvel incident et prévenir les réactions en chaînes et autres incidents systémiques pour également protéger le Luxembourg. » L’optimisation de la gestion des risques permise par un CERT ou CSIRT permet de mieux répartir l’effort à fournir en matière de sécurité, pour assurer une protection plus efficiente de chacun.