cybersécurité : comment réagir pendant, après et…avant une attaque
Elles sont devenues si fréquentes qu’elles ne suscitent qu’un étonnement très modéré, même lorsqu’elles touchent des entreprises spécialisées en la matière. « Elles », ce sont les attaques cyber. Mais qu’est-ce qu’une « attaque cyber » au juste, sont-elles une fatalité, et que faire au moment où elles surviennent, en aval…et en amont surtout ? Tâchons de fournir quelques éléments de réponses.
Attaque cyber…ou pas ?
Les mots sont importants.
Il ne faut pas confondre une attaque, et ce que nous nommons pudiquement un « événement de sécurité ». Ce dernier terme désigne un écart vis-à-vis d’une situation nominale, en matière de sécurité du SI. Un tel événement ne sera qualifié d’attaque que s’il s’avère qu’une source de menace (un hacker par exemple) est à l’origine de l’exécution d’une méthode (l’utilisation d’un ransomware, à titre d’exemple toujours), dans l’idée de compromettre un Système d’Information (pour le rendre indisponible, exfiltrer des données, etc.).
Il s’agit bien d’une attaque ; que faire ?
Il convient en premier lieu d’évaluer l’ampleur et la nature de la compromission. La complexité de la tâche sera indexée sur le niveau de maturité de votre SI : nombre d’équipements de sécurité sont extrêmement verbeux, et vous fourniront de précieuses indications ; et pour peu que les traces aient été centralisées dans un outil de type SIEM, la corrélation des signaux faibles en dira long sur le scénario de l’attaque subie.
Bien sûr, le remède à appliquer variera en fonction des symptômes, mais il est possible de dégager une « trame commune ». Dès la levée de doute opérée, il s’agit d’être réactif, et d’isoler les machines qui ont été compromises. Mais attention, isoler ne signifie pas éteindre ! Cela engendrerait une probable perte des traces locales, et ne faciliterait pas les investigations post mortem. Outre les démarches techniques, il ne faut pas négliger trois autres points : le dépôt de plainte, l’éventuelle déclaration à la CNIL s’il y a compromission de données à caractère personnel, et… la communication interne et externe.
Les informations fuitent vite ; aussi, mieux vaut être à l’origine de la transmission d’éléments factuels, que de subir la propagation de rumeurs !
Enfin, une fois le SI restauré, il ne faut jamais faire l’économie d’investigations post mortem : l’attaque que vous avez essuyée n’était peut-être que les prémices d’une compromission de beaucoup plus grande ampleur : SI restauré n’est pas synonyme de SI assaini.
Subir une attaque, est-ce une fatalité ?
Une étude du CESIN de 2019 révélait que 79% des entreprises ont déjà subi une attaque cyber…alors mieux vaut ne pas occulter la possibilité que vous viviez un jour cette douloureuse expérience.
Le meilleur réflexe en cas d’attaque est donc de vous fier au plan de gestion de crise que vous aviez établi en amont.
Mais aussi d’avoir conçu votre stratégie cyber en n’ayant pas alloué la totalité de votre budget au volet protection. Mettons fin à tout suspens : aucun SI n’est invulnérable ; alors il convient de ne pas négliger les axes de détection, et de réaction. La valeur sous-jacente d’un tel système étant la dissuasion, vous vous prémunirez de bon nombre d’attaques dites « opportunistes ».
Et cela est déjà un bon début.
L’approche de Grant Thornton consiste, justement, à établir une stratégie cyber qui se focalise avant toute chose sur les besoins de sécurité qui vous sont propres, ce qui a pour vertu induite de rationnaliser vos investissements. Bien sûr, la prise en compte d’éléments normatifs généralistes ou sectoriels donne des lignes directrices en termes de bonnes pratiques ; mais elle n’est pas suffisante pour apporter une réponse sur mesure à vos enjeux métiers.
C’est en cela que notre approche globale vous permettra de fournir une riposte adaptée, tant sur le plan conceptuel, qu’en ce qui concerne les « organes de sécurité techniques et technologiques » qu’il convient d’implémenter avec finesse pour la mettre en œuvre.
|