Introduction au dossier : Supervisez la sécurité de votre système d'information !

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.