2021-11-19, 10:30–11:20, Hackfest - Track 1
Retours d'expériences réelles d'une équipe de réponse à incident confrontée, au quotidien, à des incidents de sécurités et cela dans plusieurs compagnies. Nous évoquerons principalement les cas des attaques par rançongiciel, leur méthode, les impacts, etc.
Rétrospective, d'un an, du quotidien d'une équipe de réponses aux incidents. Nous aborderons notamment les tendances observées, les types de compromissions, la méthodologie des attaquants afin infiltrer les entreprises, l'exfiltration des données et ses conséquences. Nous évoquerons aussi la particularité de cette pratique, les compétences requises, ainsi que les relations possibles entre d'autres équipes de sécurité tels que les analystes du SOC et les pentesters.
L'année écoulée a vu un nombre d'attaques informatiques importantes dans tous les secteurs professionnels. Basée sur une expérience concrète de plusieurs cas traités, nous reviendrons spécifiquement sur les attaques par rançongiciel et les conséquences induites pour les entreprises. Nous répondrons aux questions suivantes : quel vecteur d'entrée, faille ou mauvaise configuration ? quid des mouvements latéraux des attaquants dans le réseau, durée des attaques, détections de ces attaques, impacts de ces attaques, les méthodes d'exfiltrations des données, l'impact sur les activités de production, le jour d'après, ou comment bâtir une infrastructure sécurisée.
Nous aborderons également les autres cas de compromission plus classiques comme le vol des comptes de messagerie. La messagerie reste le vecteur d'attaque le plus couramment utilisé afin de tenter d'usurper l'identité d'un individu et ainsi en prendre le contrôle pour effectuer des actions malveillantes. Nous répondrons notamment aux questions suivantes : l'objectif de ce type d'attaque, les impacts internes et externes, vecteur d'entrée pour d'autres méfaits, oui mais lesquels, le moyen de s'en prémunir.
Voilà le quotidien d'une équipe de réponses aux incidents. Traquer, analyser et comprendre le passé pour améliorer le futur. Nous recherchons les traces numériques des attaquants afin de les analyser et ainsi comprendre la méthodologie utilisée pour cerner concrètement les attaques informatiques. Notre mission s'architecture autour de quatre piliers : préparer, détecter et analyser, contenir – éradiquer – récupérer, post-incident (source NIST). Nous échangerons sur la réalité de la mission, les relations humaines nécessaires, les compétences techniques à avoir, etc.