À l’air du tout numérique, les données ont une valeur toujours plus importante pour les entreprises.
La mondialisation et le libre-échange développent une compétition acérée et certains acteurs économiques ne s’embarrassent pas de principes. Les pirates sont bien placés pour savoir qu’il y aura toujours une demande pour des données permettant de prendre l’avantage sur son concurrent, voire parfois, d’exercer un chantage illicite sur lui. Des sociétés se font régulièrement voler leurs contacts clients, d’autres leurs secrets de fabrication ou encore le code source de leur logiciel.
Il convient donc de protéger ses données et ses secrets commerciaux aussi bien si ce n’est mieux que ses locaux.
Comment détecter la source d’une fuite de données ?
Il est difficile de détecter une fuite de données lorsqu’on n’a aucune mesure de sécurité permettant de contrôler qui peut y accéder. Lorsque l’on s’en rend compte, il est souvent trop tard.
C’est pour cette raison que les fuites de données ne sont souvent repérées que plusieurs mois après leur vol.
Que faire si vous soupçonnez une fuite de données ?
1/ Réaliser l’inventaire des systèmes ayant stocké ces données :
Si vous soupçonnez que des données confidentielles ont été volées, il convient tout d’abord de définir où pouvaient être sauvegardées ces données :
- Serveurs
- Ordinateurs
- Applications
- Sauvegardes hors sites
- etc.
2/ Extraire les logs de ces systèmes :
Dans un second temps, il vous faudra rapidement extraire tous les logs présents sur ces systèmes ainsi que les logs de l’Active Directory (L’Active Directory gère les accès à vos systèmes et applications).
En effet, certains logs n’ont que quelques jours de durées de vie. Passé un certain temps, des logs peuvent être supprimés pour faire place à d’autres logs.
Sur un système Windows la plupart des logs se trouvent dans ce répertoire :
%SystemRoot%\System32\Winevt\Logs
Sur un système Linux la plupart des logs se trouvent dans ce répertoire :
/var/log/
L’étude de ces logs dans une solution « big data » comme Kibana ou Splunk permettra à des professionnels de la réponse à incident de repérer des actions suspectes qu’ils pourront ensuite approfondir :
- Connexions répétées de la part d’un compte qui ne devrait pas accéder à ces données
- Connexions de la part d’un compte de service depuis une IP différente que celle utilisée d’habitude par la solution de gestion de parc informatique
- Modification de fichier par une personne ne devant pas avoir accès à ces fichiers
- Délégation configurée sur une boite courriel dans Exchange
- Règle de transfert d’e-mails configurée
- Commandes linux inhabituelles
- Etc.
L’analyse des logs de sécurité avec Kibana permettra souvent de détecter des anomalies pouvant expliquer l’origine du vol des données.
3/ Réaliser l’inventaire des comptes pouvant accéder à ces informations :
Dans un troisième temps, il conviendra de réaliser l’inventaire des comptes ayant ou ayant eu des accès aux systèmes et applications sur lesquels les données volées ont été présentes : comptes d’administration, de services, etc.
4/ Appeler une société spécialisée en réponse à incident :
L’analyse d’un incident de sécurité est une mission technique méticuleuse et demandant un regard neuf et neutre sur les faits qui auraient pu mener à la fuite des données.
Aussi, nous vous recommandons vivement de vous faire assister par une société comme Oppidum afin de cadrer et de formaliser les recherches.
L’aide apportée vous permettra de vous assurer une vision neutre, claire et précise des vecteurs d’attaque exploités ayant pu entrainer le vol des données. Les conseils apportés durant ce type de mission vous permettront aussi de réduire drastiquement les risques que des vols de données ne se reproduisent.
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com