En cas d'infection, faut-il tout couper  ? Le mail, les serveurs, les postes client ?
Raymond Genes. Surtout pas ! Une telle attitude peut être catastrophique. Il faut agir avec sang froid et ne couper que ce qui est strictement nécessaire. Il faut surtout éviter de couper ce qui est essentiel au fonctionnement de l'entreprise, sous peine de s'en sortir avec une grosse perte d'exploitation. D'où la maxime suivante : il faut toujours savoir à l'avance ce que l'on peut couper.

Une alerte virale, ca se prépare, ca se répète ?
Tout à fait. Il faut construire une véritable stratégie de gestion de la crise. Il faut prendre en considération toutes les hypothèses, définir les bonnes pratiques, et désigner des responsables. Il faut connaître les systèmes "mission critical" et savoir à partir de quel degré de gravité on doit les couper. Si je coupe le serveur mail chez un fabricant de voiture, ce n'est pas la fin du monde. Si je coupe le serveur de mail dans un cabinet de consultants, c'est beaucoup plus grave...

Je travaille tous les jours au contact des clients, et je vois énormément de grosses erreurs liées à l'absence d'un tel plan de crise. Prenons un exemple : la moitié du temps, lorsqu'un virus apparaît, le responsable de la sécurité n'est pas à son poste car c'est la nuit. Il faut donc que l'éditeur puisse avoir son numéro de téléphone portable pour l'alerter. Allons plus loin : il faut contrôler que les responsables sont disponibles, en vérifiant par exemple que leur téléphone portable reste bien branché la nuit. Il faut contrôler qu'une maximum de règles sont respectées.

Un dernier conseil ?
Oui : les responsables de la sécurité commettent souvent une deuxième erreur, celle de ne pas scanner leur réseau après la crise. Les virus changent couramment les droits des postes infectés : il faut donc vite vérifier que tout le monde n'a pas accès aux documents confidentiels des ressources humaines. Afin d'éviter les mauvaises surprises...