Toutes les entreprises, petites et grandes, sont confrontées aux cyber attaques. Les hackers peuvent causer des pertes et des dégâts considérables et le coût pour l’entreprise peut s’avérer très conséquent, au point de mettre fin à son activité.
Lorsque le mal est fait, l’entreprise doit remédier au plus vite à l’attaque pour lui permettre de relancer son activité, mais elle doit aussi mener l’enquête si elle veut espérer remontrer à l’origine de l’attaque et obtenir réparation. Remédier et mener l’enquête n’est pas chose aisée, car réparer signifie souvent effacer des traces. La seule chose à faire est de s’appuyer sur les logs (historique des événements) générés par les applications et les équipements réseau. Ces données de logs sont indispensables pour retracer l’attaque, mais pour bon nombre d’entreprises la recherche de preuves informatiques s’avère très difficile.
Pourquoi la recherche de preuve est-elle si complexe ?
Une entreprise collecte en moyenne 238 millions de logs chaque jour alors qu’elle est capable d’analyser en moyenne 33 % de ces logs. Ainsi, parfois même si les logs contiennent des preuves importantes, les professionnels de la sécurité peuvent tout à fait passer à côté de la preuve recherchée. Reconstituer les événements qui ont eu lieu dans son système sans ces éléments, rend les investigations plus fastidieuses et réduit la fiabilité de leurs conclusions.
A l’inverse, si l’entreprise a mis en place un système pour rassembler toutes les informations requises, il y a fort à parier que les équipes de sécurité croulent sous les données. La simple quantité de données de logs à passer au crible lors d’une recherche de preuves informatiques peut retarder la détection et la résolution. L’exploration de ces volumes considérables de données peut prendre des jours alors la réponse doit être trouvée en quelques secondes.
Les logs fournis de façon non structurée ralentissent encore davantage les investigations. Nombre d’entreprises ont le plus grand mal à interpréter des données de logs qui présentent des formats et des structures variés, parfois pour le même type d’événement.
Enfin, le manque d’intégrité des données complique également l’analyse. Une fois que les experts ont réussi à découvrir ce qu’il s’est passé, il faut encore que les logs servant de preuves, répondent aux normes légales. Les logs dont le format original a été transformé ou qui n’ont pas été stockés de façon sécurisée peuvent ne pas être recevables à titre de preuves devant un tribunal.
Ainsi, en France, la durée obligatoire de conservation des logs est d’une année. Or, la détection d’un incident prend souvent plusieurs mois, ce qui est particulièrement vrai dans le cas d’attaques avancées (APT). Il n’est donc pas rare que des entreprises déposent plainte ou fassent appel à des prestataires de sécurité externes plus d’un an après l’incident en question, privant ainsi souvent l’enquête de données de logs cruciales mais non conservées par l’entreprise au-delà du délai légal.
Simplifier les investigations, c’est possible
Une fois qu’un incident s’est produit, l’entreprise doit éviter de perdre du temps. En situation de crise, il faut vraiment agir le plus vite possible : les professionnels de la sécurité ou les prestataires externes, doivent pouvoir effectuer des recherches rapides et efficaces dans les logs, tout en bénéficiant d’un transfert de logs fiable, d’un prétraitement et d’un stockage inviolable.
Pour mener l’enquête et la simplifier au maximum, l’entreprise doit être capable de collecter et traiter efficacement ses logs. Des solutions existent, mais pour être vraiment efficaces, celles-ci doivent répondre à deux prérequis :
- permettre l’exploration de volumes importants de logs (a minima plusieurs téraoctets) grâce à un moteur d’indexation
- couplé à une interface utilisateur simple d’utilisation
- permettre un transfert de logs fiable et éliminer toutes les pertes de messages pendant l’acheminement des logs entre les clients et le serveur de logs centralisé (l’utilisation du cryptage SSL/TLS pour transférer les logs et la banque de logs, qui seront en plus préalablement cryptés, horodatés et signés numériquement, est un vrai gage de garantie supplémentaire)
Les preuves doivent être recevables juridiquement
Pourquoi cela est-il indispensable ? Tout simplement car la possibilité de segmenter et d’explorer les innombrables données de logs accélère l’analyse de la cause première et la correction du problème. Des logs inviolables et sécurisés dans leur format brut constituent des preuves recevables juridiquement, ce qui signifie que l’entreprise dispose de données de meilleure qualité permettant de prouver qu’elle est victime et potentiellement de diriger l’enquête vers le vrai coupable.
Qui fait quoi sur mon réseau ?
Supposons que les logs aient été rassemblés et qu’ils aient été indexés pour faciliter les recherches. Les responsables de la sécurité les explorent mais il leur manque toujours l’étape qui leur permettrait de reconstituer l’ensemble des événements.
Les outils de gestion des systèmes améliorent la capacité des entreprises à gérer les erreurs système, mais la solution applicable aux erreurs humaines ou aux attaques ciblées reste difficile à trouver. Or, les cybercriminels piratent de plus en plus les comptes administrateur, bénéficiant ainsi d’un accès privilégié à l’intégralité de l’environnement informatique. Sans un enregistrement fiable de l’accès administrateur aux serveurs, l’analyse des incidents s’avère coûteuse et se base sur des preuves indirectes.
En outre, des normes externes telles que les normes ISO 2700x ou PCI DSS imposent des mesures strictes visant à soutenir les investigations ultérieures en exigeant l’enregistrement des activités des utilisateurs ou la consignation des défaillances dans des logs. Si les sessions des utilisateurs ne sont pas enregistrées, il est presque toujours impossible de savoir qui a fait quoi, ce qui donne souvent lieu à de fausses accusations, en plus du temps et de l’argent perdus à analyser l’incident.
Pour éviter ce type de situation et pouvoir retracer immédiatement les circonstances de l’événement, il existe des solutions d’enregistrement de sessions qui se veulent inviolables et qui permettent de rejouer des pistes d’audit en temps réel (citons par exemple des événements de type : l’arrêt inattendu du système, une fuite de données ou la manipulation de base de données).
Disposer de telles pistes d’audit s’avérerait précieux pour l’entreprise dans le cadre d’enquêtes puisqu’elles permettraient par exemple à l’auditeur interne de rechercher tous les utilisateurs qui ont accédé à un numéro de compte spécifique au cours d’une période donnée sur n’importe quelle plate-forme de l’entreprise.
Les entreprises peuvent faire l’objet de piratages, d’attaques par déni de service (DDoS), de fraudes ou de vols de données sensibles. Même si ces attaques peuvent être anticipées, le champ des possibles est vaste et il est difficile de parer à toutes les éventualités et à tous les comportements. Mais les responsables de la sécurité peuvent contribuer aux investigations en déployant les efforts nécessaires en amont, à savoir en collectant et en stockant toutes les données de façon structurée et en s’assurant qu’aucun message n’a été perdu. Les logs, et les données qu’ils contiennent, sont autant de preuves potentielles et d’éléments potentiellement précieux pour remonter à l’origine d’une attaque ou d’une erreur.