Comment réagir à une cyber attaque ?
« Allo, monsieur le directeur, nous sommes victimes d’une cyber attaque ». Cette phrase a tendance à devenir une phobie pour tous les dirigeants d’autant que les conséquences et les impacts de ce type d’attaque sont difficilement mesurables. Cependant le risque reste présent, l’actualité numérique renforce le rôle et la position des RSSI et donc, l’anticipation de ce type de sujet dans les entreprises. Avant d’envisager la réponse à une cyber attaque, il est important de se poser quelques questions afin de prendre en compte la situation dans sa globalité.
Depuis combien de temps suis-je la cible de l’attaque ?
Cette question est indispensable car une cyber attaque peut cacher plusieurs objectifs allant du simple rançongiciel à l’exfiltration de données clients ou financières. Savoir depuis combien de temps dure une attaque permettra de définir le degré de corruption du système d’information (sauvegarde corrompue, dernière base de données exfiltrée, vulnérabilité exploitée sur l’architecture IT, …).
Quels sont les dommages pour l’entreprise ?
Un dirigeant souhaitera interrompre au plus vite une exfiltration de données alors qu’il est nécessaire d’avoir une vision globale car le cyber attaquant aura probablement d’autres moyens d’accès que celui détecté : il pourrait alors causer des dommages importants suite à un déploiement d’une solution trop hâtive (effacement de base de données, plantages applicatifs, …). Il faut donc être capable de tracer le chemin de l’attaquant, identifier quelles sont les données « corrompues » et déterminer le plus finement possible le périmètre potentiellement impacté. Il faut partir du principe qu’un cyber attaquant qui a infiltré un système informatique a probablement la capacité d’administrer plusieurs composants du SI et d’exploiter plusieurs vulnérabilités.
Comprendre l’attaque et définir une stratégie de réponse.
Une fois le périmètre défini et le niveau de corruption établie, il faut désormais réagir. Comprendre comment le cyber attaquant a procédé pour infiltrer le SI et préparer la ou les réponses adaptées.
Une image parlante : votre baignoire est trouée à plusieurs endroits et il va falloir boucher tous les trous en même temps. Cela va mobiliser des ressources, du temps et des moyens techniques.
Il existe également de plus en plus de structures spécialisées pour assister dans ces différentes phases: l’ANSSI propose par exemple un questionnaire en ligne qui propose une liste des prestataires pouvant aider en cas de cyber attaque : https://www.cybermalveillance.gouv.fr/ (disponible pour les hauts de France / phase pilote juin/octobre 2017)
Une cyber attaque n’est pas une simple effraction et nécessite une réponse adaptée. Les entreprises et les DSI ne sont pas nécessairement équipés pour faire face à la menace, mais heureusement il existe un écosystème fort, composé de fournisseurs et de sociétés spécialisées ayant une démarche soutenue par les instances (ANSSI) – qui sont là pour apporter un soutien, une réflexion et une solution au risque cyber. Comme dans toute situation de crise, qu’elle soit cyber ou non, il est important de ne jamais précipiter la prise de décision et de savoir confronter les points de vues et les expertises.
Il semble important de considérer une cyber attaque comme un virus pandémique : il faut maitriser l’épidémie et trouver le bon vaccin pour éradiquer le risque. Cette démarche peur prendre du temps, peut être coûteuse mais permet d’endiguer une propagation et de traiter un risque en profondeur.
https://www.hubone.fr/oneblog/comment-reagir-a-une-cyber-attaque/