Nos experts ont la parole
Confiance Numérique
12/12/2022 13:46:45

Les 5 points-clés pour gérer une cyberattaque

Pas une semaine sans qu’une entreprise ou une institution ne soit victime d’une cyberattaque. Comment réagir face à un pop-up fatidique à l’écran, sachant que la présence d’un ransomware signe bien souvent déjà la fin d’une attaque ? Gérer une crise nécessite d’être bien préparé en amont, pour prévenir et agir vite.

La lecture du guide AFNOR « Cyber-résilience : reconstruction du SI et continuité d’activité » est un premier conseil. Mais nous vous recommandons de passer par la case formation. Lionel Mourer, consultant formateur du cabinet Manika pour AFNOR Compétences, nous en dit plus sur les bonnes pratiques à adopter en cas de cyberattaque.

 

Nouveau référentiel d’évaluation des ESSMS  pourquoi faut-il se former  (1).png

1. Cartographier les systèmes d’information, les applications et les ressources métiers critiques, c’est dentifier les actifs à protéger en priorité. Comment est réparti le patrimoine informationnel, quel est le niveau de sensibilisation des informations ?  De ce questionnement découle le bilan d’impact sur l’activité (BIA), qui vise à fournir les recommandations pour assurer durablement la continuité d’activité.

2. Adapter le plan de continuité d’activité (PCA) au scénario de la cybercrise, c’est prévoir des processus de restauration de données. Il est donc nécessaire de les prioriser pour distinguer quelles données sont attractives, et pour qui. Non pas au quotidien, mais bien en cas de crise. Bref, quelles données sauvegarder pour mieux redémarrer demain.

3. Mettre en place des outils de conduite de crise, c’est maintenir -en mode dégradé- la poursuite de l’activité, tout comme le ferait un groupe électrogène. Entre autres moyens opérationnels, lister les parties prenantes internes et externes à l’organisation pour informer, mobiliser, rassurer.

4. Formaliser une stratégie de communication, c’est éviter de noyer la DSI sous l’effet sidération avec de nombreux appels inopportuns. Prévenir, c’est maintenir la confiance. Il faut donc préétablir des messages ciblés destinés à prévenir l’ensemble des interlocuteurs, collaborateurs, clients,partenaires, fournisseurs….  Les grands groupes ou OIV (opérateurs d’instance vitale) ont également obligation de déclarer la cyberattaque auprès des autorités, en l’occurrence l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

5. S’entraîner pour mieux préparer l’organisation, c’est réagir aux stimuli et appréhender les comportements des collaborateurs sous pression. Les tests d’intrusion (ou pentests) permettent d’évaluer la sécurité d’un système d’information en déterminant les trous dans la raquette pour, ensuite, mieux les combler et optimiser ses chances de faire barrage aux hackers.
Malheureusement, une bonne préparation n’exclut pas le risque d’être attaqué. « En matière de cybercrise, une seule certitude : la sécurité absolue n’existe pas, répond Lionel Mourer. De fait, maîtriser les gestes de premier secours peut limiter de contaminer l’ensemble des systèmes d’information. »
Voici quels sont ces gestes :

Comprendre l’attaque. Il s’agit de détecter quel est le PC zéro. S’agit-il d’un chiffrement de données pernicieux ou d’un vol de données ? Quels systèmes de l’infrastructure sont visés ? Il est essentiel
 de remonter le chemin d‘attaque des pirates pour définir le périmètre compromis, la « réalité de        l’attaque ».

Prendre des mesures conservatoires Routeurs, serveurs, pc, smartphones… Toutes ces machines qui se parlent en réseau compliquent la donne pour revenir au modèle nominal. Il faut donc isoler la ou les machines infectées pour éviter la propagation de la contamination à l’ensemble du système d’information.

Analyser les journaux d’activité : ils sont le fil d’Ariane de l’activité réseau et indiquent toute mouvement inhabituel ou suspect. Collecter le maximum d’informations en interne, de la première personne à avoir décelé la faille jusqu’aux FAI, peut aider à comprendre l’attaque.

Payer ou pas la rançon : là, pas de règle précise, sauf dans le cas de certains établissements à qui la loi interdit de capituler. Toutefois, il est recommandé de ne pas céder car un paiement ne garantit pas la restitution d’une clé. Par ailleurs, c’est la porte ouverte à de nouvelles attaques.
Enfin, comme rétablir un système se compte en jours, semaines et parfois en mois, mieux vaut prévenir que guérir. « Aujourd’hui, les cyber-consultants consacrent un tiers de leur temps à une veille permanente pour gérer les vulnérabilités techniques, car plus de 200 nouvelles faiblesses sont décelées chaque semaine », constate Lionel Mourer. Alors, un conseil, n’attendez pas : formez-vous !

Se former à la gestion de crise en cas de cyberattaque
Se former au plan de continuité d'activité (PCA)
Se former à la cybersécurité : plan de continuité & gestion de crise