Traitement d’un incident de sécurité – Quels métiers, quelles fonctions ?


Comment l’ANSSI intervient-elle auprès des victimes d’un incident majeur de sécurité ? Quelles compétences sont nécessaires pour l’analyse de l’attaque, la gestion de l’incident et sa résolution finale. Nos agents reviennent sur l’opération menée pendant la cyberattaque qui a visé la chaîne TV5Monde en 2015. Voici les métiers et certaines des fonctions mises en œuvre pour cette opération.

En 2015, la chaîne de télévision TV5Monde est victime d’une attaque informatique d’envergure. Ses programmes télévisés ont été interrompus et son site Internet a été rendu inaccessible alors que les comptes de la chaîne sur les réseaux sociaux étaient aussi visés.

L’ANSSI a apporté son soutien technique et organisationnel aux équipes de TV5Monde, pour analyser l’attaque et permettre à la chaîne de rétablir le service dans les meilleures conditions de sécurité. Retour sur l’intervention et les actions menées lors de l’opération et sur les métiers qui sont intervenus.

Le responsable d’affaire de cyberdéfense

responsable affaireLors de l’intervention chez TV5Monde, face à une victime sous le choc, le responsable d’affaire en cyberdéfense devait d’abord accompagner, conseiller et analyser rapidement les faits liés à l’attaque. L’objectif a été d’établir un diagnostic précis durant les premiers jours, tout en prenant en compte les besoins de la victime et les intérêts souverains. À l’image d’un chef d’orchestre, il a coordonné les différentes équipes d’experts sollicités pour permettre la compréhension détaillée de l’incident et engager une reprise rapide du service pour la chaine.

Passée la crise, ce rôle de direction de projet s’est prolongé sur plusieurs mois afin d’accompagner la victime dans la sécurisation de son système d’information. Enfin, lors de la clôture de cet incident, le Responsable a pu établir une synthèse pour tirer profit de ce retour d’expérience et améliorer encore la gestion des affaires en cyberdéfense.

Les compétences :
Le métier de responsable d’affaire en cyberdéfense requiert une bonne expertise technique, associée à une certaine expérience dans le domaine de la cyberdéfense. Pour cette activité, il faut posséder un « savoir-être » essentiel à la gestion de situations de crise, face à de forts enjeux. Un métier passionnant, qui a encore de l’avenir face à l’augmentation de la menace.

L’analyste en investigation numérique

analyste investigationPour l’incident survenu chez TV5Monde, la première étape a été d’évaluer l’ampleur de la compromission et les méthodes utilisées par l’attaquant pour parvenir à ses fins.
L’étude des journaux informatiques, des machines compromises et des équipements liés au réseau a permis de dresser une chronologie de l’attaque pour comprendre en profondeur la compromission.
Cette phase d’analyse nécessite l’appropriation du fonctionnement du système informatique de la victime. Il faut donc échanger avec elle et les différents experts impliqués, tout en faisant preuve d’une extrême rigueur dans la conduite des investigations à mener.

L’analyse préalable est indispensable à la reconstruction du parc et à sa sécurisation. C’est la condition indispensable à la reprise d’activité dans les meilleures conditions, en réduisant le risque que d’autres événements similaires ne se reproduisent à l’avenir. Pour cette reconstruction, l’analyste en investigation numérique s’assure que les services mis en productions ne sont pas compromis et que l’attaquant ne dispose pas d’un accès au réseau.

Les compétences :
Le métier d’analyste en investigation numérique se consacre à la compréhension technique d’une attaque informatique. Il est dès lors essentiel de disposer d’une solide expertise en la matière, mais aussi de curiosité et d’adaptabilité, face aux divers environnements sur lesquels il est nécessaire d’intervenir.

L’auditeur en sécurité des systèmes d’information

auditeur en sécuritéLe traitement d’un incident d’ampleur impose une parfaite connaissance du niveau de sécurité du système d’information (SI) touché. Cette étape d’audit exhaustif est fondamentale. Elle permet d’apporter les informations pertinentes sur le système pour les analystes en investigation numérique et de déterminer les vulnérabilités les plus critiques qu’il faudra corriger en urgence au cours de la phase de remédiation. En complément, cette action permet d’anticiper d’autres scénarios probables d’attaque.

L’équipe d’audit qui était déployée chez TV5Monde avait la responsabilité de l’élaboration d’un plan concret de remédiation. L’enjeu était d’élever le niveau de sécurité du système d’information, pour le prémunir de toute nouvelle compromission. La reprise de contrôle du système impliquait de couper simultanément les moyens de communication de l’attaquant, de changer les accès qu’il a pu s’approprier et de réinstaller les systèmes compromis et ceux qui sont les plus sensibles.

Les compétences :
Le métier d’auditeur requiert une expertise dans de nombreux domaines (système, réseau, applicatif, organisation, etc.), de la curiosité, de la ténacité et bien sûr du pragmatisme. De bonnes capacités de synthèse et de vulgarisation sont nécessaires pour restituer, parfois à des néophytes, les vulnérabilités découvertes et les recommandations pour élever le niveau de sécurité.

Pour en savoir plus sur cette opération, retrouvez le retour technique de nos agents en vidéo :
1 – Analyse de l’incident
2 – Audit, remédiation et reconstruction

 

    À voir aussi


    Pour aller plus loin