Si les « méchants » se préparent pour nous attaquer, pourquoi ne devrions-nous pas nous préparer également ?
Bien sûr, nous n’avons aucun impact sur les intentions des autres. Cependant, dès qu’ils mettent ces intentions en œuvre, nous pouvons agir.
Response Chain
Il existe un schéma pour répondre à la Kill chain, publiée par le NIST(1). Elle repose sur 5 actions.
Identifier
Comprendre notre environnement et nos risques ; gérer à la fois ses biens et les risques ; savoir à quoi s’attendre.
Protéger
Mettre en place les protections appropriées telles que le contrôle des accès, la sécurisation des informations et des données ainsi que les mesures technologiques.
Détecter
Identifier à temps les évènements en assurant une surveillance ou une supervision étroite.
Répondre
Prendre les actions nécessaires à bloquer et éradiquer les attaques.
Récupérer
Réparer ce qui doit l’être et revenir à une situation normale.
Bien sûr, le document s’étend sur plus de détails. Mais l’essentiel est là.
Les trois dernières actions sont tout à fait en ligne avec la réponse aux incidents, sur laquelle nous reviendrons…
Est-ce suffisant ?
Je prétends que non, car cette Response Chain ne s’applique qu’à partir de la 3e phase de la Kill Chain. Elle est réactive. Les premières étapes me semblent légères et méritent un supplément de réflexion et d’explication.
Que faire pour réduire les ‘chances’ d’être victime d’une attaque ?
Il faudrait commencer à agir pendant les deux premières phases la Kill Chain, et pourquoi pas avant, en étudiant les intentions et la stratégie de l’attaquant.
Ne pas attirer l’attention
Si nous sommes tous victimes à des degrés divers des logiciels et des emails malveillants, ce n’est pas une excuse pour publier toutes ces informations qui font de nous une cible de choix.
Pour moi, pas de chance… je suis assez visible – tant sur ce blog que professionnellement sur plusieurs fronts – pour focaliser les regards. C’est un risque calculé.
Il est bon d’être connecté et présent. Il est bon d’avoir des valeurs, des opinions sur tout. Mais il est des sujets sur lesquels il serait plus prudent de rester neutre ou discret ou plus consensuel.
Questions et actions :
Parmi les informations que nous avons rendues publiques (email, réseaux sociaux, etc.) quelles sont celles qui attirent l’attention sur nous, notre façon d’être et de penser, sur nos richesses que d’autres peuvent convoiter ?
Dans mon métier, quelles sont les informations que je traite et qui intéressent les autres : pour se faciliter la vie, pour me voler, pour me contrôler, etc. ? Qu’est-ce qui cause l’insatisfaction, la peur ou la colère des autres ?
Faisons régulièrement le ménage dans ce que nous conservons sur nos ordinateurs – le « grand nettoyage de printemps de nos (grand-)parents ». Rangeons sur un disque dur externe – pas sur internet – ce qui est ‘attractif’, sur le Cloud (le nuage) nos archives ‘publiques’ et supprimons le reste.
Ne pas donner du grain à moudre
Seules les grosses entreprises – et encore, celles qui on la maturité suffisante pour se défendre de façon cohérente – peuvent contenir, stopper, éradiquer les attaques et s’en sortir sans grand dommage. Cela ne veut pas dire que les autres, surtout les individus – et vous, chers lecteurs – sont sans défense.
Appliquer les règles de base suffit… si nous ne sommes pas vraiment exposés. Suivre des conseils éclairés, c’est mieux.
Questions et actions :
Connaissant notre situation, comment ferions-nous pour causer des dégâts ? Quels chemins prendrions-nous ? Qu’irions-nous prendre ? Où frapperions-nous pour faire le plus mal ?
Pensons, pour une fois, à mal… contre nous.
De ce constat, décidons des obstacles que nous mettons sur la route des méchants ; rendons certaines informations inaccessibles, invisibles, inattaquables, inexploitables ; rachetons-nous une conduite.
Vous savez… si un cambrioleur ne parvient pas à entrer chez vous dans les 5 minutes, il passera son chemin.
Le malveillant informatique a tout son temps et agit comme l’éclair. Mais si la porte est bien fermée – mot de passe solide et changé régulièrement, chiffrement ou isolement de ce qui a de la valeur – il ne trouvera rien à se mettre sous la dent et ira voir ailleurs.
Nettoyez régulièrement vos ordinateurs de leurs fichiers inutiles, des cookies, des virus et logiciels malveillants, et les historiques de vos navigateurs internet. Ne leur laissez ni le temps ni l’occasion de pondre leurs œufs !
En bref, nettoyez-le comme vous faites dans votre jardin en arrachant les mauvaises herbes et en coupant les branches encombrantes ou inesthétiques.
Vous serez ainsi prêts, sur un terrain bien dégagé que vous connaissez, à détecter les attaques et à y répondre. Nous y reviendrons.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
(1) NIST : National Institute for Standards and Technology, l’organisme américain de normalisation technologique. Ils ont publié il y a quelques années un texte sur la sécurisation de la cyber-sécurité dans les infrastructures critiques : « Cybersecurity framework » dont je reprends le squelette [http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf].
Google+