Faire face à une cyber-attaque d’envergure internationale

EBRC se prépare et renforce encore sa capacité à mieux comprendre les mécanismes des cyber-attaques et à mieux y répondre. Une coopération renforcée avec POST Luxembourg et les acteurs nationaux de la Cybersécurité permettra une meilleure coordination des moyens et compétences pour atténuer l’exposition au risque et diminuer l’impact d’un incident de sécurité. Dans un environnement où la protection et la gestion de la donnée sont de plus en plus critiques, c’est une condition indispensable à la confiance.

lionel-dupreEBRC se prépare et renforce encore sa capacité à mieux comprendre les mécanismes des cyber-attaques et à mieux y répondre. Une coopération renforcée avec POST Luxembourg et les acteurs nationaux de la Cybersécurité permettra une meilleure coordination des moyens et compétences pour atténuer l’exposition au risque et diminuer l’impact d’un incident de sécurité. Dans un environnement où la protection et la gestion de la donnée sont de plus en plus critiques, c’est une condition indispensable à la confiance.

Par Sébastien Lambotte pour l’édition ITnation Mag Avril 2016

« EBRC présente l’avantage d’être en mesure d’éprouver les exercices les plus complexes. »

La menace cybercriminelle évolue sans cesse. Voici quelques années, les cybercriminels s’attaquaient aux systèmes. Aujourd’hui, ils s’en prennent de plus en plus directement à la donnée. Les récents cas d’attaque au ransomware, locky ou crypto-locker, à l’étranger comme au Luxembourg, sont des exemples significatifs de cette évolution.

Tester la réponse  en cas d’attaque majeure

Parce que la détection ne suffit pas, il nous faut également penser aux réponses à apporter en cas d’attaques. Celles-ci peuvent être testées à travers les exercices réalisés. Nous voulons aller plus loin dans ce domaine et tester un éventail de scénarios de plus en plus complexes ; en imaginant, par exemple, qu’une attaque puisse toucher le Luxembourg à grande échelle, comment serions-nous impactés ? Quelles sont les interdépendances avec l’extérieur et comment composer avec ? Comment sommes-nous organisés pour redémarrer nos services et ceux de nos clients le plus rapidement possible si une attaque parvenait à mettre à mal nos défenses ? Comment s’organisent les communications avec les clients et les autorités en cas d’attaque d’une envergure qui dépasse le cadre d’EBRC ?

EBRC présente l’avantage d’être en mesure d’éprouver les exercices les plus complexes. Et nous le faisons effectivement et régulièrement, avec la réalisation d’exercices grandeur nature. Nous testons nos capacités en mettant à l’épreuve la sécurité de nos systèmes et la continuité des opérations en cas d’attaque. Cette année, afin de tester notre organisation face à une telle éventualité, EBRC participera au programme CyberEurope 2016, organisé par ENISA. Le programme simulera des attaques massives à l’échelle du Continent Européen et permettra d’observer comment réagissent les acteurs impliqués / impactés. D’autre part, il proposera des exercices de type « table top », impliquant l’ensemble des pays en Europe.

Pour EBRC, acteur leader dans la gestion de la donnée sensible, ce type de programme d’exercice est crucial. Car, même si nous mettons tout en œuvre pour nous protéger contre la plupart des menaces, le risque zéro n’existe pas. En cas d’attaque globale-scénario qui n’est aujourd’hui pas à exclure- nous devons être en mesure de retrouver des opérations normales dans un délai le plus court possible. Aussi, il nous faut dans ce contexte être prêt à toute éventualité.

Protéger les systèmes ne suffit pas

Assurer la sécurité de nos clients revient à constamment adapter la manière avec laquelle nous appréhendons la menace. Cela passe notamment par la mise en œuvre d’une approche centrée sur l’information. Protéger uniquement les systèmes est désormais insuffisant ; c’est autour de la donnée qu’il faut mettre en place des mesures de sécurité ainsi que des réponses améliorées à ces incidents d’un nouveau type qui ne se contentent plus seulement de voler les données mais également de les corrompre.

Nous devons par conséquent renforcer notre capacité de détection et de réponse aux incidents affectant les données, tout en continuant d’assurer un niveau élevé de la sécurité des systèmes et des infrastructures : EBRC a ainsi décidé de rassembler les experts en sécurité informatique et les gestionnaires des opérations de l’informatique au sein d’une structure dédiée à la réponse à apporter à tout problème de sécurité IT. Autrement dit, EBRC formalise actuellement son CERT. Cette équipe pluridisciplinaire interne est une combinaison de compétences unique ; elle nous permet aujourd’hui de gagner en maturité et en efficience pour répondre aux incidents et aux cyber-attaques.

« Une meilleure lutte contre la menace passe par un meilleur échange des informations relatives aux attaques. »

Un CERT pour mieux appréhender la menace

La démarche s’inscrit dans la cohérence et la stratégie définie avec notre actionnaire POST Luxembourg : après avoir présenté une offre de sécurité commune, nous renforçons la gestion et la lutte contre la menace cyber à travers ce CERT. Nous systématisons la veille technologique et la surveillance des menaces.

Le CERT est aussi partie prenante dans la communauté : la veille permet de collecter des informations sur les modus operandi des attaques qui deviennent de plus en plus élaborées et complexes. Le CERT EBRC contribuera donc à enrichir la connaissance des méthodologies d’attaques en coopération avec les équipes sécurité du groupe POST Luxembourg mais aussi avec le CIRCL et la communauté CERT / CSIRT au sens large. Une meilleure lutte contre la menace passe par un meilleur échange des informations relatives aux attaques. La finalité est simple : comprendre comment les cybercriminels opèrent pour mieux nous protéger, et ainsi mieux protéger les clients qui nous ont confié leurs systèmes et leurs données.

Cette expertise intégrée de manière transversale dans le CERT viendra renforcer l’offre de SOC (Security Operations Centre) qu’EBRC a développé ces dernières années ainsi que les solutions d’investigation.

Mieux détecter les comportements malicieux

Sécuriser les données exige surtout de dépasser les approches traditionnelles de protection des systèmes. Un des grands enjeux est donc de faire évoluer les processus et les techniques de détection des incidents, en améliorant notre compréhension des comportements malicieux. Hier, la protection s’établissait autour de règles bien établies : en cas d’écart à ces règles, une alerte était donnée et une réaction enclenchée. Il nous faut désormais aller plus loin et nous appuyer sur des modèles de comportement. Des solutions comme Encase de Guidance Software ou celles de Varonis, dans ce contexte, joueront un rôle important dans cette montée en maturité.

Efficience opérationnelle

Ce CERT renforce l’efficience opérationnelle : il intègre donc veille technologique et évaluation permanente des menaces ; il améliore les aspects techniques et organisationnels nous permettant de créer des procédures précises pour réagir plus rapidement en cas d’incident. Avec cette nouvelle instance, EBRC gagne donc en efficience et permet une « industrialisation » des processus permettant de systématiser la sécurité des infrastructures et des données.

En photo : Lionel Dupré, CISO, EBRC