Publié le 25 juillet 2024.
Gérer les systèmes informatiques est un défi pour les entreprises modernes, souvent dépourvues des compétences nécessaires pour maintenir les infrastructures cloud à jour. En cas d'incident, une équipe d’infogérance Theodo Cloud offre expertise, réactivité et soutien technique continu pour minimiser les impacts et assurer une reprise rapide.
Exemple d’incident et de réponse : Incident de Sécurité - Client A
Incident Rencontré :
En collaboration étroite avec le client, l’équipe d’infogérance Padok s’aperçoit du Défacement d’une page du site client.
Ici, les pages renvoyaient vers des sites de casinos frauduleux en Indonésie.
Le Sauveur : Alexandre
C’est alors qu’Alexandre, expert SecOps chez Theodo Cloud, endosse son costume de Super-SecOps dans le cadre de la solution React SecOps.
Le fait que l’équipe Theodo Cloud Build qui avait œuvré sur le projet ait monté toute l’Infrastructure as Code (IAC) l’aide grandement dans la réponse à l’incident.
Il observe une différence entre le code implémenté par les équipes Theodo Cloud Build et ce qu’il se passe sur le site.
Alexandre s’assure qu’il n’y a pas d’autre faille de sécurité, et, grâce à l’IAC, est capable de rediriger le site vers la bonne destination rapidement.
Analyse Post Mortem
Le but de l’analyse d’Alexandre : trouver d’où vient la différence identifiée sur le code.
Son enquête le mène sur l’historique Git : une modification a été faite sur un environnement de tests et non en production, ceci a généré une vulnérabilité en production qui a été exploitée par un bot malicieux.
Recommandations données suite à cette analyse
- Activer Cloudtrail : qui aurait permis d’enquêter plus efficacement dans l’historique des logs
- Utiliser un outil qui permet de vérifier que le code Terraform soit bien appliqué :
- Burrito, l’outil open-source développé par les soins de Theodo Cloud
- CI/CD avec un script customisé
C’est quoi l’infogérance ?
Pour reprendre les bases, l'infogérance consiste à confier la gestion et l'optimisation de la gestion de son Système d’Information à un prestataire externe. Dans le cas d’Alexandre, ce prestataire, c’est Theodo Cloud. Theodo Cloud propose des solutions flexibles adaptées à différents besoins, allant de la maintenance quotidienne à la réaction aux incidents et à l'évolution stratégique.
Pour rentrer dans le détail de ce passionnant sujet, je vous invite à lire cette explication de ce qu’est une offre d’infogérance.
Nous allons nous concentrer sur l’offre adaptée à la réponse aux incidents dans la solution d’infogérance Theodo Cloud : React.
En quoi consiste la solution d’infogérance React ?
React c’est la brique de l’offre d’infogérance Theodo Cloud qui vous permet une réaction en cas d’incident.
Les différentes catégories de l’offre React
- React Support : Aide des experts Theodo Cloud pour toute demande liée à l'infrastructure
- React Incident : Monitoring d’infrastructure et intervention rapide en cas d'incidents, avec analyse / post mortem
- ReactSecOps : l’option déclenchée dans le cas d’Alexandre. C’est l’option dédiée à la sécurité dans l’offre d’infogérance proposée par Theodo Cloud, qui vous garantit l’intervention d’un expert cybersécurité en cas d’attaque malveillante. Cette option permettra de bénéficier en temps réel d’une réponse à une menace de sécurité.
- React Event : Pendant des évènements des critiques pour votre entreprise (lancement d’un produit, promotion, vente flash…), il est possible de bénéficier d’une surveillance accrue par les experts Padok.
À quel besoin répond-elle ?
Un incident en production peut empêcher vos clients d’accéder à votre site, et ainsi paralyser votre entreprise. Il est donc primordial de réduire les temps d’interruption des services en réagissant rapidement et en restaurant les systèmes compromis. Cela vous permet de maintenir vos opérations critiques et de minimiser les pertes financières.
Dans le cas où vous hébergez des données sensibles (santé, financières, etc.), il est important qu’un expert SecOps réagisse au plus vite pour répondre à une menace.
Les Bonnes pratiques en cas d’incident :
Détections rapides
En cas d’incident, une détection précoce permet de limiter les dégâts. On s’assure de la rapidité de cette détection grâce aux outils de monitoring (Datadog par exemple) et d’alerting (Grafana ) déployés sur l’infrastructure et par des canaux de communication directs avec les clients.
Pour les cas d’attaques malveillantes, on utilise des solutions de monitoring dédiées à la sécurité (SIEM), mais aussi des outils avancés qui permettent de détecter les intrusions (IDS) et les prévenir (IPS).
Réponse efficace et adaptée
Les réponses aux incidents des équipes React suivent les meilleures pratiques / outils du marché. Cela inclut la détection, l'évaluation, la priorisation, la résolution et la visibilité donnée sur les actions. Une gestion efficace permet de contenir rapidement les incidents et de réduire leurs impacts (financiers, réputationnels, etc.). Vous pouvez retrouver les différents outils utilisés par les équipes Theodo Cloud dans le Tech Radar Cloud.
L’équipe React joue aussi un rôle prépondérant dans la mise en place des plans de continuité des activités (PCA) et de reprise après sinistre (PRS). Ces plans sont réalisés dans le but d’assurer une reprise d’activités efficace
Analyse : Apprentissage post-incident
Analyse Port Mortem : Après la résolution d'un incident, l'équipe React mène une analyse post-incident pour comprendre les causes profondes de l’incident et identifier des remédiations. Cette étape est cruciale pour améliorer votre infrastructure existante et éviter des incidents futurs à l'avenir.
Pourquoi ce besoin est d’actualité ?
Les Jeux Olympiques qui se déroulent cet été 2024 en France apportent leur lot d’activités cybercriminelles, aussi bien des attaques de type ransomware que d’autres visant propagande et désinformation. Une “Recrudescence prévisible d’activités cybercriminelles à des fins financières” est à prévoir d’après Cybermalveillance.gouv .
Faire appel à une équipe d’infogérance vous permettra d’être préparé et réactif pour parer cette augmentation d’activités malveillantes.
Conclusion
Pour répondre de manière efficiente et rapide à des incidents paralysant les activités de votre entreprise : faites appel à l’équipe d’infogérance Theodo Cloud. Vous aurez peut-être la chance de croiser la route d’Alexandre dans le cadre de React SecOps 😀.