Après avoir mis l’accent sur la détection, l’ANSSI s’attelle à un autre volet de la politique de cybersécurité : la remédiation. Inhérente à la gestion des incidents, la phase de reconstruction est considérée comme « le parent pauvre des politiques de sécurité », nous a expliqué Gérôme Billois, associé en charge de l’activité cybersécurité de Wavestone lors de la présentation de l’étude sur la maturité cyber des entreprises de la société de conseil. L’agence dirigée par Vincent Strubel a donc décidé d’agir et de sensibiliser à travers des guides pour lesquels elle lance un appel à commentaires auprès des RSSI et des équipes de sécurité (les réponses sont attendues avant le 22 juin).

La remédiation est analysée selon 3 angles par l’Anssi : stratégique (plutôt à destination des décideurs), opérationnel (pour les équipes sécurité) et technique (pour les équipes d’exploitation) avec un focus sur l’assainissement de l’Active Directory. Sur le premier volet, l’agence observe que la remédiation peut prendre du temps « quelques semaines, à plusieurs mois ». Une réalité sur le terrain notamment pour les collectivités territoriales. Par exemple, la municipalité d’Angers qui a été attaquée il y a deux ans vient seulement de remettre en service l’accès aux archives patrimoniales de la ville. Dans son guide, l’Anssi élabore trois scénarios et les coûts afférents : restaurer rapidement les services vitaux, reprendre le contrôle du SI et saisir l’opportunité pour préparer une maîtrise durable du SI. Par ailleurs, elle donne des conseils sur le plan de remédiation comme ne pas être dans l’immédiateté, avoir une vision à long terme, être réactif face à la menace, fixer des objectifs centrés sur les métiers.

Pilotage de la remédiation et reconstruction de l’AD

Le second volet vise les équipes de sécurité et porte sur le pilotage de la remédiation. Il repose sur la séquence E3R : endiguement, éviction et éradication. Le premier vise à « freiner l’attaquant au sein du système d’information, en introduisant de la friction dans son activité afin de donner du temps et de la visibilité aux défenseurs ». Le second prévoit d’ « éliminer durablement l’adversaire du cœur de confiance, depuis lequel le reste du système d’information est géré ». Enfin, la dernière séquence s’emploie à « nettoyer le système d’information de toute emprise, même mineure, de l’attaquant ».

Le dernier axe de travail porte sur un aspect technique de la remédiation en particulier sur l’Active Directory. Considéré comme le Graal par les cybercriminels, la compromission de l’AD donne accès à l’annuaire de l’entreprise et peut provoquer beaucoup de dégâts. En fonction des scénarios cités précédemment, l’Anssi donne des bonnes pratiques pour reconstituer « un cœur de confiance » de l’AD « qui contient l’ensemble des ressources ayant un contrôle sur les identités de l’entreprise ».