Comment gérer une crise cyber au sein d’une ETI ?
Idées & initiatives
Guide de survie dans l’adversité. Il est désormais trop tard : votre système d’information a été hacké et vos données ont été exfiltrées. Que faire ? C’est le moment d’activer le plan de gestion de crise. La cellule de crise va devoir remédier à l'attaque et relancer le SI au plus vite.
Guide de survie dans l’adversité. Il est désormais trop tard : votre système d’information a été hacké et vos données ont été exfiltrées. Que faire ? C’est le moment d’activer le plan de gestion de crise. La cellule de crise va devoir remédier à l’attaque et relancer le SI au plus vite.
La gestion de crise cyber, qu’est-ce que c’est ?
Dans un moment de crise potentiellement létale pour votre ETI, l’heure n’est pas à l’improvisation. Le Plan de Gestion de Crise (PGC) doit lister toutes les tâches à accomplir pour maîtriser la crise, puis entamer la remédiation.
L’action numéro 1 du plan porte sur les mesures d’urgence pour mettre fin à l’attaque et limiter les fuites de données. Lorsque le piratage est détecté, il faut rapidement couper les accès Internet afin de stopper l’attaquant.
La composition de la cellule de gestion de crise au sein de votre ETI
Celle-ci doit avoir été établie à l’avance, ainsi que les moyens techniques de son action : ordinateurs sains, dispositifs téléphoniques, accès internet de secours.
Quelles mesures préalables mettre en œuvre pour activer rapidement la gestion de crise cyber ?
- Pour les entreprises qui ne disposent pas (encore) de leur propre cellule de crise cyber en interne, il est capital d’avoir préalablement contractualisé avec un prestataire capable d’intervenir dans de telles circonstances. Cette équipe cyber doit rapidement :
- trouver comment le hacker a mené son attaque pour le bloquer,
- identifier le moment exact de l’attaque pour, plus tard, recharger des sauvegardes saines.
Des contrats et des clauses négociés à l’avance
Lorsque l’attaque est en cours ou vient d’avoir lieu, la situation de crise ne permet plus de signer des contrats. Disposer d’un contrat avec des contacts d’astreinte à appeler à tout moment est indispensable. Les attaquants qui sont parvenus à obtenir un accès au système d’information grâce à un email de phishing, par exemple, attendent bien souvent le pire moment pour passer à l’action, comme un vendredi à 18h ou un jour férié.
- Face à un blocage qui peut être long dû à l’attaque, il est également nécessaire d’avoir préparé un fonctionnement off-line de votre ETI. Cela peut être en télétravail et/ou sur un site tiers loué pour l’occasion. Dans le pire des cas, il faut avoir prévu un fonctionnement dégradé en « mode papier » pour permettre à l’entreprise d’assurer ses fonctions essentielles sans outil informatique. Le système téléphonique, aujourd’hui généralement sur IP, peut lui aussi être bloqué par l’attaque.
- Enfin, les cyberattaques actuelles ont démontré l’importance de disposer de sauvegardes fiables et à l’abri de toute attaque. Il est nécessaire de conserver un historique de ces sauvegardes sur plusieurs semaines afin de pouvoir remonter jusqu’aux dernières données précédant l’attaque, non infectées par un éventuel malware. Vous remettrez en production rapidement votre système informatique que si vous disposez de bonnes sauvegardes. Plus que jamais, la règle des 3 – 2 – 1 s’impose : avoir 3 copies de sauvegarde sur 2 supports différents et 1 sauvegarde hors-site.
Entraînez-vous régulièrement !
La simulation est le seul moyen de découvrir les faiblesses d’un plan de gestion de crise. Un peu à l’image des exercices de sécurité incendie, tout doit être simulé, répété régulièrement afin d’être prêt le jour J.
ETI : que faire en cas de crise cyber avérée ?
Prévenir la cellule de crise
Lors des premières heures de l’attaque, l’un des points clés est de disposer d’une liste des personnes à appeler. Il faut contacter au plus vite le prestataire de sécurité qui va apporter de l’aide, mais aussi toutes les personnes préalablement désignées en interne pour participer à la cellule de crise, ainsi que les directeurs de BU, les membres du ComEx, et les autorités.
Communiquer en interne et en externe
Dès que la cellule de crise entre en action, celle-ci va devoir communiquer. L’entreprise doit informer ses clients sur la situation et les perturbations qui vont affecter ses activités dans les prochains jours. Elle va aussi devoir gérer la presse et les réseaux sociaux.
En effet, l’enjeu d’une cyberattaque est de taille en termes d’image de marque. Vouloir cacher la crise à ses partenaires commerciaux, à la presse et, a fortiori, aux autorités est une grave erreur, voire illégal si des données personnelles tombant sous la coupe du RGPD sont concernées. Aujourd’hui, n’importe quel internaute peut signaler l’indisponibilité d’un service en ligne ou relayer une discussion au restaurant.
Il faut donc maîtriser la communication externe, mais aussi interne.
Communiquer auprès de vos collaborateurs tout au long de la crise est primordial. Éventuellement, vous pouvez faire participer les volontaires à la remise en état du système d’information.
Ne négligez pas la communication
En externe : aujourd’hui, avec les réseaux sociaux, il est devenu quasi impossible de garder une attaque secrète. Il faut s’y préparer et être capable de livrer des informations tout au long de la crise.Et en interne : la communication sur l’événement auprès des équipes est un point bien souvent négligé. Une attaque qui bloque l’activité de votre entreprise suscite pourtant de fortes inquiétudes chez tous les collaborateurs. Il faut les tenir informés très régulièrement de la situation.
Faire le bilan
Faites un bilan des dégâts avec un inventaire des équipements touchés et des services indisponibles. Toutes les ressources informatiques potentiellement exposées à l’attaque ne sont plus exploitables.
Respecter la loi
Vous devez respecter les délais réglementaires s’il y a fuite de données personnelles. Une victime d’attaque informatique ne dispose que de 72 heures pour faire une déclaration auprès de la CNIL.
Elle doit ensuite contacter l’ensemble des personnes concernées par un potentiel vol de données. Dans ce cas, le chiffrement systématique de toutes les données critiques est un moyen de réduire les conséquences de l’exfiltration, notamment le risque d’amende ou de plaintes liées à l’exposition de données personnelles. En outre, la CNIL précise que le chiffrement lève l’obligation de déclaration du vol auprès des clients.
Nos 3 conseils-clés pour réussir sa sortie de crise
- Se faire aider : enrayer une attaque informatique, nettoyer les machines puis remonter le système d’information demande beaucoup de ressources humaines. Il faut notamment pouvoir s’appuyer sur des profils cyber très pointus pour effectuer le Forensic de l’attaque, c’est-à-dire analyser ses modalités et définir les ressources qui ont été effectivement exposées et celles qui peuvent être considérées comme sûres. Il faut faire appel à des experts le plus tôt possible et ne pas se rendre compte au bout de plusieurs jours que l’on n’y arrivera pas seul.
- Pouvoir tenir sur la durée. L’impact d’une crise cyber est bien souvent minimisé par les non spécialistes lors des premières heures. Le management estime que c’est l’affaire de 2/3 jours pour redémarrer le système d’information. C’est rarement le cas. Non seulement la cellule de crise va devoir rester active pendant des semaines, mais la charge de travail est énorme. Il faut parfois des mois pour remonter un système d’information détruit. Il est donc nécessaire d’instaurer une rotation des équipes, savoir déléguer pour préserver l’efficacité nécessaire à la sortie de crise.
- Muscler votre cybersécurité avant de redémarrer. Redémarrer trop vite peut être catastrophique : il n’est pas rare qu’une entreprise attaquée le soit à nouveau quelques mois plus tard. Il est nécessaire de rehausser le niveau de sécurité avant de connecter à nouveau le système d’information avec l’extérieur pour écarter ce risque.
Face au risque cyber, toute entreprise, même une ETI, se doit aujourd’hui d’avoir un plan de gestion de crise et de bonnes sauvegardes de données. Le chiffrement a aussi un rôle à jouer en apportant plus de sérénité. D’une part, une donnée chiffrée n’est d’aucune utilité pour l’attaquant. Il ne peut ni la commercialiser sur le Dark Web, ni tenter d’extorsion auprès de l’entreprise puis qu’il reste incapable d’accéder au contenu des fichiers dérobés. D’autre part, le chiffrement réduit grandement les conséquences juridiques possibles en cas de vol de données.