Page 13 - TNR-V01N1
P. 13
The cybersecurity provider appointed to perform the • Négociation de rançon, dans le but de réduire le
immediate data and system recovery services will perform montant de rançon à payer tout en obtenant la clé de
a first evaluation on the work to be done and provide a décryptage
Statement of Work (SoW) to the insurance company. If this • Décryptage et récupération de données
is approved, the recovery work will go ahead, under the
guidance of the breach coach. 2) Criminalistique (si les données ont été
exfiltrées)
Post-cyberattack recovery tasks typically fall in one of three • Collecte de preuves
big categories: • Enquête sur les causes profondes, évaluation des
compromis
1) Ransomware negotiations (if a ransom is
involved) 3) Correction après la violation
• Evidence collection • Collecte de preuves après l’atteinte à la vie privée
• Ransomware negotiation, with the aim of reducing the • Aide et correction pour
ransom and still get the decryption key o Décryptage des données
• Decryption and data recovery o Examen de la vulnérabilité du réseau
o Active Directory/Contrôleur de domaine
2) Forensics (if data has been extracted) o Infrastructure de l’hyperviseur
• Evidence collection o Examen de la vulnérabilité des systèmes de
• Root-cause investigation, compromise assessment messagerie
3) Post-breach remediation o Reconstruction du serveur
o Reconstruction de sauvegarde
• Post-breach evidence collection • Sécurité des solutions Infonuagique
• Help and remediation for • Découverte électronique (eDiscovery)
o Decrypting data • Recherche sur le Dark Web
o Network vulnerability review
o Active Directory /Domain Controller Le scénario que nous venons de décrire implique une
o Hypervisor infrastructure compagnie d’assurance, un coach en récupération de
o Email systems vulnerability review cyber-attaque et un service de conseil technique externe.
o Server re-build On ne peut pas prendre toutes ces ressources pour acquis.
o Backup re-build L’expérience montre cependant que le fait d’avoir accès à
• Cloud solution security une équipe d’experts, qui traitent de ces questions tous les
• e-Discovery jours, rend le processus de récupération beaucoup moins
• Dark web search stressant et augmente les chances d’un rétablissement
plus rapide. D’autres éléments qui aident invariablement
The scenario above involves an insurance company, a dans de telles circonstances sont un plan de reprise après
breach coach and an outsourced technical consulting sinistre (DRP) bien structuré et bien exercé, un plan de
service. Not all companies are insured, nor will they continuité des activités (BCP) et une base de données de
necessarily have access to all these specific resources. gestion de la configuration (CMDB) à jour. ■
Experience shows however that having access to a team
of experts, who deal with these issues every day, make
recovery significantly less stressful and increase the Note de la rédaction : Surveillez la deuxième
chances of a speedier recovery. Another element that partie de cet article dans l’édition du printemps
invariably helps in such circumstances is a well-structured, 2023 du magazine de Résiliennce du Vrai Nord.
well-practiced and well-tested disaster recovery plan. ■
Editors’ note: Watch for the second part of this Thibault Dambrine est un
article in the Spring 2023 edition of True North consultant en TI chez Keyera
Resilience magazine. Corp. (keyera.com) à Calgary,
en Alberta. Au moment d’écrire
cet article, il travaillait chez
Thibault Dambrine is an IT consultant with Keyera Corp. CyberClan (www.cyberclan.
(keyera.com) in Calgary, Alberta. At the time of writing, com). L’auteur remercie tous
he was working for CyberClan (www.cyberclan.com). The les critiques qui ont contribué
author thanks each and every reviewer that helped make à faire de cet essai ce qu’il est
this essay what it has become. Thibault can be reached at devenu. Thibault est joignable
dambrine@gmail.com. à dambrine@gmail.com.
13
Magazine de RÉSILIENCE du vrai nord - Automne 2022
