Comment réagir en cas de cyberattaque ? Adopter la bonne posture en 5 étapes

La réalité de la menace cyber est désormais bien acceptée par les organisations qui savent qu’elles sont les cibles des cybercriminels. Ces derniers utilisent une variété de techniques sophistiquées pour accéder à des informations sensibles (informations financières, données personnelles, secrets commerciaux, etc.), et parfois sans se faire repérer. Les conséquences de telles intrusions peuvent être désastreuses pour les entreprises, depuis la perte de données et la dégradation de leur réputation jusqu’à des pertes financières importantes. En raison de l’ampleur croissante des menaces cyber, il est essentiel de savoir comment réagir face à une cyberattaque. Les réflexes immédiats sont désormais bien connus : isoler les systèmes infectés et appliquer l’ensemble des principes de précaution que les organisations ont mis en place en avance de phase. Mais que faire ensuite ?

« La posture à tenir sera déterminante sur le temps long car c’est ce qui permettra à l’organisation touchée de se reconstruire sans trop subir », précise Romain Naïm, Consultant Principal chez Orange Cyberdefense. Zoom sur 5 étapes essentielles pour adopter la bonne posture en cas de cyberattaque.

Tous les incidents de sécurité ne sont pas systématiquement qualifiés de crise, et donc la nature de la cyberattaque doit être analysée. Il s’agit de dresser la liste des services potentiellement touchés par cette attaque.

L’objectif : comprendre la manière dont l’attaque s’est déroulée et définir l’ampleur ainsi que le périmètre de compromission afin d’aiguiller les experts qui seront chargés de la gestion de crise. Quels sont les services opérationnels, les systèmes et les utilisateurs compromis ? Quel est leur nombre ? Quels sont les liens entre les différents actifs compromis et leurs accès respectifs ? Quel est le chemin de compromission emprunté par les cybercriminels ? Cette étape est facilitée et plus rapide lorsque l’entreprise dispose d’une cartographie à jour et en temps réel de son système d’information.

Cette phase d’identification permettra de mieux saisir l’étendue de la compromission et de prioriser les actions de remédiation à engager. Elle donnera également aux équipes davantage de visibilité sur l’indisponibilité de certains services et outils et les guidera ainsi dans la mise en place d’une stratégie de continuité d’activité.

Les investigations peuvent parfois durer plusieurs semaines. Pas besoin d’attendre un rapport détaillé et finalisé avant de lancer l’étape suivante !

Une fois le périmètre de l’attaque dressé et si les impacts potentiels sont suffisamment importants, il est alors temps d’activer la cellule de crise, dont la composition a été définie au préalable. Si la crise mobilise en premier lieu les équipes cyber et IT, la cellule de crise doit intégrer les différentes fonctions ayant un rôle à jouer dans la gestion de crise au sens large : métiers, juridique, communication, produit, etc. Cette cellule de crise élargie permettra de traiter les différents aspects et impacts de la crise. Il s’agit de fixer des objectifs de sortie de crise clairs et factuels et de définir une stratégie permettant de les atteindre.

La cellule de crise sera d’autant plus efficace et réactive si les procédures et les rôles ont été définis en amont et que les membres ont été formés et entraînés. Un premier état des lieux de la situation donnera à chacun le même niveau d’information. Des points réguliers seront également effectués, dressant la liste des actions en cours et des décisions à prendre.

Le propre de la crise est l’incertitude et le pire ennemi de la gestion de crise est l’immobilisme. Pour agir dans la crise cyber, il faut anticiper et définir les pourtours de la cyberattaque. Les éléments collectés lors de l’étape n°1 vont aider les experts à faire une projection des systèmes touchés sur les opérations. En faisant ce travail, il sera alors possible d’identifier l’ensemble des parties prenantes touchées, en interne comme à l’externe, et de mettre en place des plans d’action pour remédier aux impactes identifiés, de manière proactive dans le meilleur des cas.

Pour agir en prenant des décisions éclairées, les décideurs n’ont pas besoin d’informations, mais de renseignements. Il incombe à la cellule de crise de traiter l’information entrante et de l’analyser pour proposer au directeur de crise des plans d’action qu’il pourra accepter, amender ou rejeter. Ces décisions doivent être prises au regard de sa vision des bénéfices contre les risques.

Une fois les plans d’action validés, c’est au tour de groupes d’experts de les mettre en œuvre.

Savoir s’entourer d’experts est un élément clé dans la gestion de crise cyber. C’est d’ailleurs ce que l’ANSSI appelle « Activer ses réseaux de soutien » dans son guide sur la crise d’origine cyber. Contacter des professionnels de la sécurité informatique doit être fait dès les premières heures qui suivent la découverte de la cyberattaque. La mise en place d’un annuaire en amont permettra d’effectuer cette étape avec une plus grande réactivité. Cet accompagnement précoce par des experts permettra de mieux traiter la crise et de n’oublier aucune des démarches.

Différents partenaires et prestataires peuvent être impliqués dans la gestion de crise cyber. L’entreprise a donc tout intérêt à désigner des personnes chargées de coordonner ces différents experts. En fonction de la nature de la cyberattaque, des obligations légales et des contraintes réglementaires auxquelles l’entreprise est soumise, celle-ci doit également faire une déclaration à l’ANSSI ou notifier une violation de données personnelles à la CNIL. Pour vous accompagner dans cette étape, Orange Cyberdefense propose un service intitulé “Incident Response”, un service CSIRT pour défendre les entreprises pendant une cyberattaque.

Au-delà de l’aspect technique qu’il convient de gérer, des experts métier au plus proche des enjeux opérationnels du quotidien vont devoir repenser les activités en modes dégradés. Ce sont eux qui auront la charge de mettre en œuvre les plans d’action validés par la cellule de crise afin de remédier aux impacts les plus critiques. Il peut également s’agir d’activer un PCA ou un PRA si les circonstances le permettent.

Il est impératif d’informer les collaborateurs sur la cyberattaque en cours et de leur donner des indications sur la marche à suivre : quels sont les accès coupés et les services inopérants, quel est le délai de reprise envisagé, est-il possible de communiquer avec l’extérieur, etc.

Mais le besoin de communiquer va bien souvent au-delà de ce premier cercle. Lorsqu’une organisation est touchée par une cyberattaque, c’est toute sa stratégie de communication institutionnelle qu’elle doit considérer.

Maintenir, voire regagner la confiance des partenaires est un enjeu de poids qui, si mal géré, peut résulter en une succession d’impacts supplémentaires (ex : coupure des flux d’un fournisseur critique par crainte d’une attaque par rebond).

Les communicants doivent être impliqués dans la gestion de la crise dès les premiers instants pour plusieurs raisons :

• L’élaboration d’une stratégie de communication et la production et la validation des supports prennent du temps. Il ne faut pas attendre d’avoir décidé de communiquer pour commencer à travailler sur la communication ;
• La cyberattaque soulève des problématiques techniques complexes, surtout pour des non-initiés. Créer du lien entre les experts techniques et les communicants est impératif pour assurer la cohérence du discours ;
• Centraliser la production des éléments de langage qui pourront ensuite être utilisés en fonction des parties prenantes ciblées est important pour éviter les écarts en fonction des sources.

La communication de crise en toute transparence est généralement recommandée, mais attention à ne pas dévoiler d’informations pouvant compromettre davantage le système d’information.

Enfin, pour gagner en efficacité, le processus de validation des communiqués doit être formalisé avant la crise.

La résolution des cyberattaques n’est jamais rapide.  La résilience des organisations doit s’opérer sur la durée et la préparation des dispositifs de gestion de crise cyber doit être mise en place en amont.

C’est en s’appuyant sur une organisation de crise robuste et en utilisant les procédures et processus déjà existants que la mise en œuvre de ces 5 étapes pourra se faire de manière fluide et efficace.

Orange Cyberdefense est votre prestataire de confiance pour vous accompagner au cours de chacune de ces étapes, pendant et avant la cyberattaque.