L'Anssi passe au crible la remédiation en cybersécurité

Particulièrement prolifique en matière de publications, l'ANSSI (agence nationale de la sécurité des systèmes d'information) vient de dégainer une trilogie de guides orientés sur la remédiation. Objectif ? Aider et accompagner les entreprises prises au piège d'une cyberattaque pour les aider à adopter (ou anticiper) rapidement les bons réflexes à effectuer et les bonnes actions à prendre pour se sortir du pétrin. Si en temps normal l'exposition aux risques cyber est déjà très élevée, les mois qui viennent promettent d'amener leur lot supplémentaire de mauvaises surprises. « Nous sortons ces guides maintenant car dans la perspective des JO de Paris 2024 nous savons que le niveau de menaces sur les entités va être particulièrement élevé », nous a expliqué Emmanuel Naëgelen, directeur général adjoint de l'Anssi.

Ces trois guides de l'agence sont basés sur son expérience et sur un appel à commentaires qui lui a permis de collecter les avis de prestataires, d'experts, mais aussi de DSI sur la question de la remédiation en cybersécurité. « Ces trois guides capitalisent plus de 10 ans d'interventions opérationnelles de l'agence. Nous avons développé un véritable savoir-faire opérationnel sur la gestion de crise cyber et de remédiation », poursuit Emmanuel Naëgelen. Les trois guides Cyberattaques et Remédiation de l'Anssi sont les suivants : les clés de décision, piloter la remédiation et la remédiation du tier 0 Active Directory.

Des scénarios en fonction de l'urgence du redémarrage et des coûts induits

Le premier guide sur la remédiation à ouvrir le bal va intéresser les DSI concernées par la mise en oeuvre cette stratégie pour mieux s'organiser, mais aussi expliquer à leur hiérarchie l'importance d'un plan d'action articulé autour de trois piliers : endiguement, éviction et éradication, avec en sous-jacent la reconstruction du SI impacté par une attaque cyber. Si l'urgence à redémarrer et les coûts - autant que les dommages induits - varient sensiblement d'une entreprise à une autre, les DSI peuvent synthétiser leurs actions auprès de leur direction générale en fonction de plusieurs scénarios.

L'Anssi en a déterminé trois visant à mettre en évidence la tendance d'évolution de ces coûts pour une entreprise touchée par une attaque, en cas de récurrence de l’incident : un premier dans lequel le redémarrage d’urgence des services vitaux est faiblement coûteux, mais les risques de résurgence sont élevés, un deuxième dans lequel le plan de sécurisation s’étalera sur la durée et un dernier dans lequel le coût de la première remédiation est élevé mais est considéré comme un point de départ à « une opportunité majeure pour poser les bases d'une sécurité à l'état de l'art ». L'Anssi pousse également des recommandations pour réussir sa remédiation dont piloter dans la tempête, assumer des choix structurants, fixer des objectifs stratégiques centrés sur les métiers, être flexible, garder l'oeil sur l'humain...

Bien définir les pratiques de remédiation 

Dans son deuxième guide, l'Anssi met l'accent sur les étapes de remédiation à suivre, à savoir : endiguement de l'attaquant (empêcher l'aggravation de l'incident), éviction de l'intrus du coeur du SI (recréer une base de confiance d'où mener la reconstruction) et éradication des emprises de l'adversaire (éliminer les capacités de retour de l'attaquant par des portes dérobées laissées lors de l'intrusion). A noter que dans son introduction l'agence prévient que son document « ne permet pas de saisir toutes les dimensions de la gestion de l’incident » et qu'il « vient compléter la gestion de crise et l'investigation ». Le plan de remédiation est découpé en un ou plusieurs objectifs stratégiques dont chacun est décliné en objectifs opérationnels nécessitant l'exécution d'un sous-projet. « Il est crucial de séquencer les objectifs de tous niveaux et de les classer par priorité pour gérer cette exécution dans la durée », précise l'agence. « Les rythmes, les acteurs et les moyens d’exécution de ce plan varient, non seulement suivant la phase de son avancement, mais aussi en fonction du niveau de préparation de l’organisation, et de la maîtrise du système avant l’incident ».

Concernant les objectifs stratégiques, ils s'articulent autour du contrôle et de la validation du plan de remédiation, de leur structuration (identifier les objectifs stratégiques, déclinaison des objectifs opérationnels pour lesquelles des actions techniques sont adossées), de leur identification et de la remédiation et continuité d'activité mis en oeuvre. « Lors d'incidents destructeurs ou lors de la phase d'endiguement, des mesures de maintien d'activité seront certainement mises en place en parallèle de la remédiation. Ces mesures peuvent s'appuyer sur des plans de continuité d'activité et également sur des analyses d'impact sur l'activité ou des analyses de risques, qui ont normalement déjà effectué le travail de priorisation des actifs primordiaux de l'entreprise », peut-on lire dans ce guide. S'agissant des objectifs opérationnels, l'Anssi considère qu'ils doivent se faire sur plusieurs axes (effet sur l'avancement en direction d'un ou de plusieurs objectifs stratégiques, complexité et coût de mise en oeuvre et capacité à être maintenus dans la durée ». Dans ce guide, l'agence dresse par ailleurs une intéressante série d'écueils à éviter pouvant survenir lorsque, prises dans l'intensité d'un incident, les entreprises confondent malheureusement vitesse et précipitation. Parmi ces derniers : miser sur la place en place d'une solution de sécurité « miracle », définir des objectifs irréalistes, éparpiller les objectifs, viser des actions techniques trop complexes, garder des objectifs inflexibles face à un obstacle, faire porter des objectifs durables exclusivement par des équipes temporaires, faire reposer des objectifs concurrents sur des ressources limitées...

Zoom sur les phases de remédiation

« Le projet de remédiation est séquencé en trois phases successives : l’endiguement, l’éviction et l’éradication. Il convient de ne pas traiter hâtivement l’une de ces étapes : échouer à une étape compromet généralement la suivante et force à reprendre tout ou partie des étapes antérieures », prévient l'Anssi. Concernant la phase d'endiguement, les objectifs sont les suivants : préserver les traces, limiter l'extension des dommages et les impacts métiers, limiter la liberté de l'attaquant et augmentant la connaissance sur l'attaque. S'agissant la phase d'éviction, ses objectifs visent à créer un socle système et réseau hors de portée de l'attaquant, mettre en place des moyens d'administration fiables, concilier le besoin d'assurance sur les éléments importés du système compromis et la minimisation des travaux de reconstruction ainsi que construire des services d'authentification et de gestion système de confiance. 

« Les opérations d’éviction doivent faire l’objet d’une préparation minutieuse : identification du cœur minimal, architecture de la nouvelle infrastructure, acquisition et installation de serveurs et de postes d’administration, planification des changements d’identifiants. En revanche, il est recommandé qu’un moment de bascule brutale du système compromis vers un système sain soit planifié. La soudaineté du changement vise à réduire les opportunités pour l’attaquant de compromettre le nouveau cœur de confiance lors de son passage en production », note l'Anssi. Pour ce qui est de la phase d'éradication (supprimer les accès de l'adversaire, éliminer les voies de retour possible pour l'attaquant et acquérir une visibilité sur les tentatives de retour), cela peut se traduire par le déploiement d'un EDR et d'une supervision sur les postes de travail, d'un découpage du SI en sous-systèmes et migration associée dans une architecture contrôlée avec inspection ou réinstallation des machines. Ou encore la mise en place d'une collecte d'événements  détaillés couplée à une campagne de recherche de compromission dans les logs et migrer des données vers de nouvelles instances de services. En termes de stratégie de reconstruction, deux approches sortent du lot selon l'Anssi : isolement (découpage du SI en sous-réseaux isolés entre eux) ou sanctuarisation (création d'un réseau sain dans lequel les services « assainis » sont réinstallés ou réintégrés progressivement).

Un Active Directory sain dans un SI sain

Le dernier volet du triptyque de l'Anssi sur la remédiation est le plus technique, axé sur « la reconstruction du coeur de confiance de l'Active Directory ». Il s'adresse aux responsables informatiques et de la sécurité des SI amenés à piloter une remédiation après un incident de cybersécurité. « Chaque incident de sécurité présente ses spécificités : mode opératoire de l’attaquant, impératifs métiers, etc. », prévient l'Agence en introduction de son document. « Les objectifs d’innocuité et de sécurisation peuvent parfois être garantis par des méthodologies différentes. Il est donc important de s’entourer d’experts Active Directory (support de l’éditeur, prestataires, etc.) en mesure de réaliser et d’adapter les actions décrites dans ce document ainsi que de diagnostiquer et de traiter les imprévus ».

Ce guide est structuré en 4 parties, 3 sont des actions techniques sur le tier 0 Active Directory (investigation, éviction et supervision) et des annexes. « Les objectifs techniques d’investigation pour le tier 0 Active Directory sont de s’assurer qu’aucun élément malveillant ne soit répliqué du contrôleur de domaine compromis vers les contrôleurs de domaine pivot (contrôleur de domaine utilisé durant la remédiation pour permettre la réalisation de modifications de l’Active Directory sur un environnement isolé) et reconstruits », explique l'Anssi.

Concernant les actions techniques d'éviction, l'agence les réparties selon trois scénarios de remédiation : restaurer au plus vote des services vitaux, reprendre le contrôle du SI et saisir l'opportunité pour préparer une maîtrise durable du SI. Ces scénarios sont ensuite croisés avec de nombreuses actions techniques d'éviction dans un tableau de synthèse particulièrement lisible. Le guide embraye ensuite sur différentes actions à effectuer pour s'assurer de l'absence de compromission des machines du tier 0 de l'AD (réinstaller l'ensemble des contrôleurs domaine, supprimer les chemins de contrôle dangereux...), renouveler les secrets pour prévenir l'utilisation de comptes compromis par l'attaquant (administrateur, krbtgt...), durcissement de l'AD et des objets privilégiés de l'annuaire, etc. « Dans le cadre de la mise en place du Tier 0, des secrets sont renouvelés car potentiellement possédés par l’attaquant. Si l’attaquant cherche à utiliser les anciens secrets, des erreurs seront générées et journalisées », indique par ailleurs l'Anssi dans la partie de son guide sur les actions techniques de supervision du tier 0 de l'AD. Enfin, les annexes ne sont pas à négliger et apportent leur lot d'informations et de conseil utiles pour définir le périmètre du tiers 0 de l'AD ou encore assurer les garanties d'innocuité et de sécurisation d'une opération de remédiation.