Rappelons tout d’abord qu’il existe quatre types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminalité, l’atteinte à l’image, l’espionnage, le sabotage.
Si les cyberattaques prennent racine dans les vulnérabilités de chaque organisation, que celles-ci soient d’ordre purement informatiques ou organisationnelles, elles demeurent ciblées et préparées longtemps en avance par les cybercriminels.
Pour faire face à ces risques, selon Guillaume Poupard, directeur général de l’ANSSI, « on ne peut pas improviser des réponses en plein milieu d’une catastrophe ! La préparation, l’outillage et l’entraînement sont indispensables pour maintenir l’activité en cas d’attaque informatique »
Les organisations doivent donc :
- se préparer à affronter la crise cyber,
- réagir efficacement le moment venu,
- capitaliser sur les crises suivantes en durcissant les mesures de prévention.
La préparation
La première étape consiste à connaître les points faibles de son système d’information.
La seconde étape sera de mettre en place un socle de capacités opérationnelles garantissant un niveau adapté de résilience numérique.
Il sera important que la communication soit intégrée au dispositif de gestion de crise pour accompagner les équipes lorsqu’elles alertent et conseillent les parties prenantes dans les meilleurs délais.
L’organisation devra adapter le dispositif de crise au scenario cyber.
Chaque organisation se dotera d’une cellule de réponse à incident (un SOC par exemple) pour traiter de façon adéquate l’incident.
L’entrainement à la gestion de crise cyber est un moyen efficace de sensibiliser les équipes aux enjeux cyber et d’apprendre à y faire face.
La réaction
Ce second volet consistera à réagir efficacement en adoptant de bonnes pratiques.
Les actions des équipes s’articulent autour de quatre grandes phases
de crise :
- alerter, mobiliser le personnel et arrêter la propagation de l’attaque
pour protéger les bénéficiaires et l’organisation ; - comprendre le schéma d’attaque, éjecter l’attaquant, déployer des
mesures pour potentiellement travailler sans services et sans outils
numériques et communiquer auprès de son écosystème pour main-
tenir la confiance ; - durcir les systèmes, restaurer les applications et les données critiques
et surveiller l’attaquant pour reprendre le cœur des activités ; - revenir à la normale.
La capitalisation
À la suite d’une crise, les équipes sont tentées de reprendre rapidement une activité normale.
C’est pourtant le meilleur moment pour revenir sur la conduite de la crise et capitaliser sur ce qui a été vécu et ce qui pourrait être amélioré. Le retour d’expérience (RETEX) participe notamment à renforcer la résilience de l’organisation, en mettant en avant les points forts et les axes d’amélioration suite aux dysfonctionnements constatés (exemple : processus de gestion de crise, communication, interactions, …).
Notre équipe du SOC peut vous accompagner sur les items de cette gestion afin que vous puissiez affronter sereinement les cyber attaques.
Par Cédric Boucly, Directeur de la conformité, RSSI, le 20 avril 2022