Sortie de crise : incident de disponibilité, d'intégrité et de confidentialité

La sortie de crise est fortement influencée par la nature de la crise elle-même.

Afin de décortiquer les moyens à notre disposition, nous avons découpé les incidents en 3 grands groupes, permettant ainsi de mieux comprendre les effets de chacun.

Cependant, un vrai incident est généralement un mélange des 3 grands groupes, ce qui ne limitera pas les actions posées qu'à ce qui est défini dans un seul groupe.

Incident de disponibilité

L'incident de disponibilité est celui qui est peut être le plus connu, le plus surveillé et généralement le plus facile à détecter. C'est la perte d'accès aux informations et aux systèmes.

Historiquement, en cybersécurité, nous faisions face à une attaque qui ne servait qu'à rendre indisponible par une surcharge des systèmes DoS. C'est également l'endroit où il y a une intersection forte avec le plan de continuité des affaires, où il devra y avoir des arrimages forts pour déclencher les bons processus lors de la crise et effectuer un retour en activité le plus rapidement possible.

La sortie d'une crise de disponibilité

se fait par le retour en ligne des informations

et systèmes qui ont été affectés.

Cela prend la forme d'une restauration des copies de sauvegarde, le rétablissement des fonctions des systèmes qui ont été perdus ou la restauration des systèmes dans un site de relève, d'intégrité et de confidentialité.

Incident d'intégrité

L'incident d'intégrité est le plus intéressant, puisque c'est celui qui est le plus sous-estimé et parfois le plus difficile à détecter.

Celui-ci va de la corruption de données mécaniques, jusqu'à la modification non autorisée de certaines valeurs ou informations qui peuvent avoir des conséquences importantes pour l'organisation.

Le meilleur exemple pour représenter l'ampleur d'une crise d'intégrité, c'est la modification non autorisée du solde d'un compte de banque, que ce soit en faveur de la banque ou du propriétaire du compte. Cette modification, une fois détectée par le propriétaire du compte, va ébranler sa confiance envers l'institution. Il faut également souligner que peu de systèmes offrent une vérification d'intégrité native. Les systèmes de fichiers se limitent à la corruption mécanique.

Les bases de données ont des mécanismes qui permettent de forcer l'intégrité, mais ces mécanismes ne sont pas toujours déployés sur les données critiques.

La sortie d'une crise d'intégrité

est la plus complexe des trois,

considérant qu'il est difficile de

mesurer l'étendue de la perte

d'intégrité des systèmes.

Cette difficulté est inhérente au design des systèmes qui ne mettent pas une emphase forte sur l’intégrité des données, hors des bris techniques, via la somme de contrôle. Il ne suffit pas de ramener les copies de sauvegarde, puisqu'il faut trouver les données qui ont été altérées de façon non autorisée et les rétablir à la bonne valeur . Parfois, cette valeur peut être difficile à trouver, puisqu’il faut déterminer la transaction malicieuse qui a transformé l'information.

De plus, comme cette modification est faite de façon voilée, il est d'autant plus difficile de mesurer, dans l'ensemble des systèmes, tous les endroits qui ont été modifiés de façon non autorisée.

La sortie de crise s'effectue par un retour en arrière des transactions, la vérification des historiques de transactions et de l'analyse approfondie des données pour qu’elles correspondent à leur valeur de contrôle.

En l'absence d'une valeur de contrôle, il faut reconstruire la chaine et l'historique nécessaire pour redonner la valeur d'intégrité à la donnée.

Il faut également être prudent dans la portée des recherches et des corrections. Ce n'est pas toutes les données qui doivent avoir un niveau d'intégrité élevé.

La catégorisation permettra de cibler les données qui doivent absolument être corrigées de celles qui peuvent être tolérées dans un état dégradé. Cependant, des mécanismes devront s'assurer d’une convergence progressive vers des données saines et intègres.

En plus de rétablir les données dans leur état dit intègre, il faut également trouver le processus ou l'absence de contrôle qui a permis cette modification non autorisée et déployer les moyens pour que cette situation se reproduise.

Incident de confidentialité

L'incident de confidentialité a été mis de l’avant par les différentes lois en protection des renseignements personnels. En Europe, c'est l'arrivée du RGPD qui a mis la table sur la formalisation de ce type d'incident et surtout des règles du jeu concernant son traitement. Au moment d'écrire ces lignes, le Québec a adopté la loi 25 qui reprend l'essentiel des éléments du RGPD et le projet de loi C-27 au Canada est en cours d'étude.

La portée d'un incident de confidentialité

est vaste et peut s'avérer

surprenante pour certains...et peu sexy

pour les gens oeuvrant en cybersécurité.

Un incident de sécurité est initié du moment qu'une information personnelle ou confidentielle est vue par une personne qui n'est pas autorisée. Cela peut prendre la forme d'une lettre ou un courriel envoyé à un mauvais destinataire, en passant par une clé USB oubliée dans l'autobus, jusqu'à la fuite de données suivant une attaque par rançongiciel.

Au regard des actions à poser pour sortir de ce type de crise, nous faisons face à peu de mesures techniques, puisqu'une fois que l'information a repris son état féral (1), il n'est plus possible de la domestiquer de nouveau. Elle est prise dans une vie qui lui est propre. C'est d'ailleurs tout le problème de ce type de crise. Essentiellement, il faut déclarer l'incident aux autorités règlementaires lorsque de l'information confidentielle est impliquée, colmater le processus ou le système qui a permis la fuite et entreprendre des actions de réparation face aux personnes qui ont été affectées par la fuite.

(1) Se dit d'une espèce domestique retournée à l'état sauvage

Conclusion

La sortie d'une crise s'appuie sur les actions à poser pour corriger la situation, soit par la remise en ligne des systèmes, ou le règlement de ce qui a causé l'incident. La coordination entre les différentes facettes et expertises est importante pour garantir le succès de la sortie de crise.

Article rédigé par Nicolas Loïc Fortin

Nicolas Loïc-Fortin, conseiller stratégique et fondateur de polysécure et cofondateur du salon de cybersécurité séQCure.

Pour en savoir plus : https://www.linkedin.com/in/nicolasloicfortin