«Visite chez les secouristes informatiques»

La Computer Security Incident Response Team (CSIRT) intervient lorsque les mesures de protection traditionnelles ne sont plus efficaces en cas de cyberattaque. Mais que font concrètement les spécialistes de la sécurité de ce service de secours informatique?

Texte: Andreas Heer, Image: Adobe Stock, 15 mai 2020           4 min

Chaque jour est différent

Nous suivons aujourd’hui Antoine Neuenschwander. Il est l’un des spécialistes de la sécurité informatique de l’équipe CSIRT de Swisscom et occupe actuellement le poste d’Incident Handler. Cela signifie qu’il enquête sur les incidents liés à la sécurité qui ne peuvent pas être traités dans le cadre du fonctionnement normal du Security Operations Center (SOC). M. Neuenschwander est assis devant les deux moniteurs de son ordinateur et saisit des commandes dans l’une des nombreuses fenêtres affichées. «Le travail à la CSIRT, c’est comme une boîte de chocolat», dit-il. «Chaque jour est différent et on ne sait jamais sur quoi on va tomber.»

Un spécialiste de la sécurité qui garde la tête froide

M. Neuenschwander travaille dans le domaine de la sécurité informatique depuis dix ans et fait partie des rares experts qui sont de plus en plus recherchés à mesure que la numérisation se développe. Le spécialiste voit principalement les raisons de cette pénurie dans les exigences élevées liées à son travail: «Outre la curiosité nécessaire pour aller au fond des choses, il faut posséder des connaissances spécialisées et approfondies, de bonnes capacités d’analyse et des compétences personnelles pour les contacts avec les collègues et les clients.» Sans oublier que les spécialistes de la sécurité doivent garder la tête froide et agir avec discernement, même dans des situations stressantes. Cela se rapproche beaucoup du travail d’un vrai secouriste.


M. Neuenschwander enquête sur une attaque par force brute sur les accès SSH. Les pirates tentent de craquer des mots de passe faibles afin d’obtenir un accès à distance à l’infrastructure. Une fois qu’un tel serveur est piraté, il est possible d’y chercher des données d’entreprise intéressantes ou de l’utiliser abusivement pour d’autres attaques, telles que les attaques DDoS (Distributed Denial of Service, attaques par déni de service, dans lesquelles les systèmes sont surchargés et mis hors service). «Les systèmes mal sécurisés qui sont accessibles via Internet figurent parmi les problèmes de sécurité les plus courants dans notre quotidien», explique M. Neuenschwander suite à son expérience avec différentes entreprises.

Tirer parti de l’expérience acquise en matière de cyberattaques

M. Neuenschwander a cette fois été informé de l’incident par le SOC. Mais il cherche également lui-même des modèles qui révèleraient des cyberattaques. Par cette action de Threat Hunting, le spécialiste de la sécurité vérifie si sa propre infrastructure est touchée par une vague d’attaques encore non découverte. Il peut ainsi prendre des mesures de défense à un stade précoce, idéalement avant que les cybercriminels n’atteignent leur objectif.
 
La traçabilité des attaques consiste à identifier les TTP, autrement dit les tactiques, les techniques et les procédures des cybercriminels. «Cela nous permet de réagir beaucoup plus rapidement en cas de nouvelle attaque avec des méthodes similaires», déclare le professionnel de la sécurité. «Nos clients profitent à leur tour de cette expérience.»
 
Le fait que M. Neuenschwander puisse s’appuyer sur l’expérience acquise dans la protection de l’infrastructure de Swisscom s’avère également très utile. «Après tout, Swisscom dispose d’une équipe de sécurité informatique depuis 1995», ajoute-t-il. «Cela fait beaucoup d’expérience et de maturité accumulées.»

Sécurité informatique: un Security Operation Center moderne en réponse aux menaces d’un nouveau genre.

«Nos clients profitent à leur tour de cette expérience.»

Antoine Neuenschwander,  Spécialiste de la sécurité informatique dans l'équipe CSIRT de Swisscom

Mais tous les messages ne concernent pas des cyberattaques par des malwares. La CSIRT reçoit de plus en plus de messages concernant des e-mails du «patron», demandant de déclencher un paiement urgent, sans aucun lien suspect et avec une mise en forme incroyablement réaliste: «Le Business E-Mail Compromise est une arnaque courante utilisée par les cybercriminels afin de détourner des fonds par le biais du Social Engineering», dit M. Neuenschwander. Le facteur humain joue donc également un rôle important dans la cyberdéfense et dans le quotidien de M. Neuenschwander.

SOC et CSIRT

Le Security Operation Center (SOC) est en quelque sorte le poste de contrôle dédié aux cyberattaques. Il surveille l’infrastructure en quête de processus standardisés et coordonne les mesures de défense en cas d’incidents. Dans le cadre de ce traitement des alertes, les spécialistes de la sécurité décident si un incident peut être traité directement dans le SOC ou s’il doit être transmis à la CSIRT.
 
Les spécialistes de la sécurité informatique de la Computer Security Incident Response Team (CSIRT) gèrent les mesures de défense et d’élimination qui nécessitent une analyse approfondie. Cela comprend également les tâches d’enquête et de Threat Hunting, c’est-à-dire la recherche active d’incidents de sécurité. La CSIRT conseille également les entreprises concernées en matière de communication des incidents à leurs clients et partenaires. La CSIRT élargit ainsi les missions du SOC. Lisez le livre blanc pour savoir comment construire une cyberdéfense stratégique pour votre entreprise avec un SOC et une CSIRT.

Sécurité: SOC moderne en réponse aux nouvelles menaces

Sécurité informatique: un Security Operation Center moderne en réponse aux menaces d’un nouveau genre.

Autres articles intéressants