La Computer Security Incident Response Team (CSIRT) intervient lorsque les mesures de protection traditionnelles ne sont plus efficaces en cas de cyberattaque. Mais que font concrètement les spécialistes de la sécurité de ce service de secours informatique?
Texte: Andreas Heer, Image: Adobe Stock, 15 mai 2020 4 min
Nous suivons aujourd’hui Antoine Neuenschwander. Il est l’un des spécialistes de la sécurité informatique de l’équipe CSIRT de Swisscom et occupe actuellement le poste d’Incident Handler. Cela signifie qu’il enquête sur les incidents liés à la sécurité qui ne peuvent pas être traités dans le cadre du fonctionnement normal du Security Operations Center (SOC). M. Neuenschwander est assis devant les deux moniteurs de son ordinateur et saisit des commandes dans l’une des nombreuses fenêtres affichées. «Le travail à la CSIRT, c’est comme une boîte de chocolat», dit-il. «Chaque jour est différent et on ne sait jamais sur quoi on va tomber.»
M. Neuenschwander travaille dans le domaine de la sécurité informatique depuis dix ans et fait partie des rares experts qui sont de plus en plus recherchés à mesure que la numérisation se développe. Le spécialiste voit principalement les raisons de cette pénurie dans les exigences élevées liées à son travail: «Outre la curiosité nécessaire pour aller au fond des choses, il faut posséder des connaissances spécialisées et approfondies, de bonnes capacités d’analyse et des compétences personnelles pour les contacts avec les collègues et les clients.» Sans oublier que les spécialistes de la sécurité doivent garder la tête froide et agir avec discernement, même dans des situations stressantes. Cela se rapproche beaucoup du travail d’un vrai secouriste.
M. Neuenschwander enquête sur une attaque par force brute sur les accès SSH. Les pirates tentent de craquer des mots de passe faibles afin d’obtenir un accès à distance à l’infrastructure. Une fois qu’un tel serveur est piraté, il est possible d’y chercher des données d’entreprise intéressantes ou de l’utiliser abusivement pour d’autres attaques, telles que les attaques DDoS (Distributed Denial of Service, attaques par déni de service, dans lesquelles les systèmes sont surchargés et mis hors service). «Les systèmes mal sécurisés qui sont accessibles via Internet figurent parmi les problèmes de sécurité les plus courants dans notre quotidien», explique M. Neuenschwander suite à son expérience avec différentes entreprises.
M. Neuenschwander a cette fois été informé de l’incident par le SOC. Mais il cherche également lui-même des modèles qui révèleraient des cyberattaques. Par cette action de Threat Hunting, le spécialiste de la sécurité vérifie si sa propre infrastructure est touchée par une vague d’attaques encore non découverte. Il peut ainsi prendre des mesures de défense à un stade précoce, idéalement avant que les cybercriminels n’atteignent leur objectif.
La traçabilité des attaques consiste à identifier les TTP, autrement dit les tactiques, les techniques et les procédures des cybercriminels. «Cela nous permet de réagir beaucoup plus rapidement en cas de nouvelle attaque avec des méthodes similaires», déclare le professionnel de la sécurité. «Nos clients profitent à leur tour de cette expérience.»
Le fait que M. Neuenschwander puisse s’appuyer sur l’expérience acquise dans la protection de l’infrastructure de Swisscom s’avère également très utile. «Après tout, Swisscom dispose d’une équipe de sécurité informatique depuis 1995», ajoute-t-il. «Cela fait beaucoup d’expérience et de maturité accumulées.»
Mais tous les messages ne concernent pas des cyberattaques par des malwares. La CSIRT reçoit de plus en plus de messages concernant des e-mails du «patron», demandant de déclencher un paiement urgent, sans aucun lien suspect et avec une mise en forme incroyablement réaliste: «Le Business E-Mail Compromise est une arnaque courante utilisée par les cybercriminels afin de détourner des fonds par le biais du Social Engineering», dit M. Neuenschwander. Le facteur humain joue donc également un rôle important dans la cyberdéfense et dans le quotidien de M. Neuenschwander.