Accueil Gestion de crise Cyber : Se préparer au pire !

Gestion de crise Cyber : Se préparer au pire !

Le risque d’une attaque informatique pèse sur chaque entreprise. Le seul moyen d’y faire face et de limiter les dégâts est de s’y préparer. Il est urgent de mettre en place une check-list à appliquer en cas d’intrusion et se maintenir prêt à la déclencher à tout instant.

 

Tous les experts en cybersécurité le martèlent depuis des années : il ne faut pas se poser la question de savoir si son entreprise va être attaquée, mais quand. Face à cette certitude, il faut se préparer au mieux en élevant le niveau de sécurité de chaque site, de chaque endpoint, en se dotant d’outils de détection d’intrusion, en s’assurant de la fiabilité et de la protection des systèmes de sauvegarde et en segmentant au mieux son réseau interne pour limiter les dégâts. En dépit de toutes ces précautions, un attaquant finira par passer et il faudra alors réagir vite, réagir efficacement. La meilleure façon de le faire, c’est s’y préparer et mettre en place des procédures pour réagir de la manière la plus rapide et efficace possible dans l’adversité.

Chaque entreprise doit définir sa propre check-list

En 2019, Syntec Numérique (devenu en juin 2021 numeum) et Cybermalveillance.gouv.fr publiaient une brochure sur la question, formalisant une check-list en 5 étapes clés, chacune d’entre-elles étant à son tour déclinée en une série de conseils à appliquer. Eric Schmitlin, Consultant Cybersécurité chez Cendium Cyberdefense et l’un des auteurs de cette publication du Syntec souligne : “Si cette méthodologie et ses grandes étapes s’appliquent à tous, leur réalisation diffère. Il faut se montrer plus pragmatique pour les petites structures. Par exemple, une grande entreprise disposera de moyens de détections perfectionnés faisant appel aux dernières technologies, alors qu’une TPE/PME se concentrera principalement sur la vigilance de ses utilisateurs pour remonter de potentiels incidents.”

Pour l’expert, la différence majeure entre un plan d’action défini par une grande entreprise et son alter ego dans une PME réside dans les moyens humains mobilisables en cas d’attaque. “Les petites structures ne disposent pas de ressources pour gérer les incidents : il ne faut alors pas hésiter à solliciter les cabinets spécialisés en cybersécurité.” De leur côté, les grandes entreprises possèdent généralement des ressources en interne mais aussi des contrats avec des cabinets spécialisés qui vont pouvoir leur détacher très rapidement des ressources pour les épauler dans la gestion de crise et dans la phase de remédiation qui suivra. De plus, les administrations et entreprises de type OIV et OSE doivent se tourner vers l’ANSSI pour signaler l’attaque, mais aussi bénéficier du soutien du Centre opérationnel de la sécurité des systèmes d’information (COSSI).

Pour toutes les organisations, il faut se plier aux obligations légales quant à la déclaration de l’incident de sécurité auprès de la CNIL. Si une atteinte à des données personnelles est suspectée, l’entreprise doit déclarer l’attaque dans les 72 heures. Cette déclaration se fait en ligne sur le site de la CNIL et comporte l’ensemble des éléments la caractérisant, dont le nombre approximatif d’enregistrements de données à caractère personnel concernés. En outre, si le vol de données est avéré, l’entreprise est également tenue par le RGPD (Règlement Général sur la Protection des Données) d’informer les personnes concernées.

De l’organisation, de la technique et… beaucoup d’humain

Mettre en place un plan de gestion de crise cyber implique d’instaurer une organisation qui va être chargée, le jour J, de gérer l’incident de sécurité. Chaque membre de l’équipe de gestion de crise doit avoir un rôle et des responsabilités bien précis dans le dispositif et doit pouvoir être joint très rapidement. En outre, il faut mettre en place un annuaire de crise cyber incluant l’ensemble des contacts qui seront utiles le jour où la tempête éclatera. Il faudra joindre l’ensemble des contacts internes potentiellement concernés à un moment ou les outils de communication internes de type emails, messagerie instantanée, mais aussi ToIP pourront être off-line. Il faut aussi pouvoir joindre des contacts chez les tiers qui sont de plus en plus présents dans le système d’information, notamment les fournisseurs d’applications SaaS, les opérateurs de services Cloud et les divers prestataires. Benjamin Leroux, Directeur Marketing d’Advens ajoute : “L’entreprise doit bien évidemment se doter d’un Plan de Continuité d’Activité (PCA) et de procédures dédiées présentant les différents modes dégradés possibles, aussi bien pour les métiers stratégiques (Plan de Reprise d’Activité) que pour les systèmes d’information (Plan de Continuité Informatique).” L’expert souligne l’intérêt de mener une analyse de risque pour identifier les points de fragilité du système d’information et pouvoir ainsi préparer et structurer les défenses périmétriques, de même que la rédaction de “fiches réflexes” par rôle, par fonction, par expertise, afin d’indiquer quelles seront les premières actions à réaliser par chacun.

Le volet technique de la gestion de crise est excessivement important, car les experts ont besoin d’outils sophistiqués pour définir la nature exacte puis l’étendue de l’attaque. Généralement, la première tâche d’une équipe CERT est de déployer un EDR sur les postes de l’entreprise pour disposer de ces outils. Plus largement, le SOC doit orchestrer la lutte contre l’attaquant. Qu’il soit interne ou externe chez un prestataire, le SOC dispose de ressources Forensic habituées à intervenir dans un contexte de crise cyber et leur expérience va être extrêmement précieuse dans un contexte où chaque minute compte.

L’aspect humain est particulièrement important car gérer une crise cyber peut imposer d’importantes charges de travail et de stress nuit et jour pendant plusieurs semaines. Il faut prévoir des relèves et surtout former et préparer chacun à cet exercice. L’entrainement est capital pour former les hommes mais aussi améliorer les procédures et outillages qui seront mis en œuvre en vraie grandeur le jour de l’attaque.

Pourquoi il faut se faire aider en cas de crise

Le recours à des prestataires spécialisés est encore plus indispensable lorsque l’attaque est détectée. Le catalogue mis en place par Cybermalveillance est un point d’entrée possible si l’entreprise n’a pas déjà contractualisé avec un prestataire en cybersécurité. Il faut se tourner vers une ESN qui dispose d’une activité de CERT (Computer Emergency Response Team) qui va jouer en quelque sorte le rôle de « cyber pompiers » pour l’entreprise. L’équipe du CERT va intervenir pour gérer la crise, sur les plans techniques et organisationnels” explique Benjamin Leroux. “La sollicitation peut être ponctuelle, avec un risque de manquer de disponibilité dans un délai court car ces équipes sont malheureusement très souvent occupées ! Elle peut aussi se faire via une forme d’abonnement, dans un modèle qui rappelle la logique de l’assurance. Le CERT peut alors aider à préparer les travaux d’anticipation et d’amélioration de la réaction.”

Pour l’expert lillois de la cybersécurité, il faut accorder une attention toute particulière au volet réponse à incident, la phase 4 dans la méthodologie proposée par Syntec Numérique. Cette étape doit se dérouler en 3 temps : La première est sans doute la plus stressante : il faut détecter puis analyser au plus vite la nature réelle de l’incident de sécurité. “Il s’agit alors d’une véritable course contre la montre lors de laquelle il faut analyser l’incident et comprendre la situation… pour ensuite prendre les bonnes décisions.” Vient ensuite le moment de passer à l’action, la phase d’éradication. “Il faut avant tout éradiquer la cause de l’incident et en maitriser ses effets. Ce n’est qu’après cette phase que l’on peut ensuite songer à préparer la remise en ordre de marche et remettre en place un système sain et sécurisé.” Cependant, la réponse ne doit pas s’arrêter là : une dernière étape de consolidation est nécessaire puisqu’il faut enchainer avec une phase de consolidation pour éviter de se faire attaquer à nouveau. “Cette dernière étape vise à finaliser les chantiers constituant la première version du plan de sécurisation… jusqu’au bout !” conclut Benjamin Leroux.

 

 

Eric Schmitlin,
Consultant Cybersécurité chez Cendium Cyberdefense

 

 

“Pour bien anticiper une crise cyber, il faut préparer tout ce qui ferait perdre un temps précieux pendant la crise : préparez un groupe (Signal, Telegram, WhatsApp…) avec les intervenants de la cellule de crise, préparez les messages de communication, définissez les rôles et responsabilités… Bref, si vous êtes déjà organisés lorsque la crise survient, vous pourrez directement passer à l’analyse et à la prise de décision.

Vous pouvez également faire organiser un exercice de crise par un cabinet spécialisé qui va vous placer dans l’inconfort à travers une simulation réaliste d’une journée ou moins : vous en ressortirez avec de précieux conseils et une expérience par la pratique. C’est généralement très apprécié des participants.

Enfin, n’hésitez pas à recueillir le retour d’expérience d’autres entreprises de votre secteur victimes d’attaques. On a coutume de dire qu’il existe deux types d’entreprises : celles qui se sont fait attaquer… et celles qui vont l’être !”

 

Benjamin Leroux,
Directeur Marketing d’Advens

“Anticiper une crise cyber passe principalement par la préparation et l’entrainement”

 

“Toute organisation peut se préparer à faire face à une crise cyber et ce avant que la crise se présente. Cette préparation repose sur différents socles. Le premier, c’est le socle organisationnel. Qu’il s’agisse de politiques internes, de procédures, de modes dégradés, la mise en place d’une organisation dédiée et d’un corpus documentaire sur la gestion de crise sera un plus pour les organisations : avoir le mode d’emploi pour monter un meuble suédois va nous aider mais ne garantit aucunement le résultat ! Le socle technique est très important en cyber et les solutions technologiques sont particulièrement nombreuses. Il nous semble essentiel de renforcer ses capacités de détection et de réaction. C’est notamment l’objectif des EDR pour protéger les postes de travail et les serveurs et, plus globalement, celui de l’XDR à l’échelle de tout le SI. Enfin, le socle humain est la dernière brique qu’il faut préparer : une crise cyber n’est pas une crise informatique : c’est une attaque humaine contre une défense humaine, c’est une bataille qui va durer, prendre du temps, épuiser, fatiguer. Il faut s’y préparer : que ce soit les équipes opérationnelles ou les équipes décisionnelles, il faut tester les procédures et les dispositifs de crise, se préparer à la prise de décision sous stress et identifier les bons réflexes à avoir.

Ces trois socles ne permettent pas d’éviter une crise cyber mais de se préparer à y faire face et à la dépasser. Les crises sont également des opportunités pour grandir sous réserve de pouvoir les gérer sereinement !”

 

Les cinq phases d’une gestion de crise cyber

 

Phase 1 : Préparation

  • Mise en place des processus et des outils,
  • Définition de la taskforce qui va intervenir en cas d’attaque,
  • Tester le dispositif.

Phase 2 : Détecter et signaler

  • Faire de la veille,
  • Détecter les incidents via des outils automatiques ou des remontées d’alertes par les utilisateurs et prestataires.

Phase 3 : Evaluer et décider

  • Qualifier l’attaque,
  • Evaluer la cause, les méthodes et ses impacts.

Phase 4 : Répondre

  • Résoudre l’incident,
  • Apporter un correctif technique,
  • Notifier l’assureur, les autorités et déposer une plainte.

Phase 5 : Capitaliser

  • Analyser pour s’améliorer,
  • Créer un plan d’action à mener et en assurer le suivi.

Source : Syntec Numérique / cybermalveillance.gouv.fr