Les menaces persistantes avancées décryptées par les experts William Pomian (Lexsi) : "La démarche à suivre lors d'une APT repose sur un schéma bien défini"

william pomian est responsable de l'équipe veille chez lexsi.
William Pomian est responsable de l'équipe veille chez Lexsi. © Lexsi

Les APT ou "attaques persistantes avancées" sont un type d'incident dont il ne faut pas sous-estimer l'ampleur ou la criticité. L'expérience nous montre que la plupart des entreprises y sont très mal préparées.

 

Ainsi, la démarche à suivre lors d'une attaque persistante avancée repose sur un schéma bien défini :

 

1)     Mettre en place une cellule de crise appuyée par la direction.

 

2)     Identifier le périmètre et évaluer l'impact de l'incident.

 

3)     Mettre en œuvre l'organisation et les moyens adéquats pour en limiter les conséquences.

 

4)     Gérer la sortie de crise : retour sur expérience pour apprendre de ses erreurs.

 

 

Dès constatation de l'attaque et afin d'identifier le plus rapidement possible le périmètre et l'ampleur de l'incident, il est primordial de mettre en place une cellule de crise avec le support de la direction et de lui allouer des ressources et des moyens suffisants.

 

Afin d'en assurer le bon fonctionnement, il est nécessaire d'expliquer son rôle à chacun des différents membres de la cellule de crise, et ce avant même qu'un incident ait lieu, en définissant clairement les axes de communication, de pilotage et de coordination. Si la structure interne ne permet pas la mise en place d'une cellule optimisée, il ne faut pas hésiter à faire appel à la sous-traitance.

 

Bilan quotidien de la situation

 

La communication est un élément clé lors d'une attaque et tous les moyens techniques mais aussi matériels sont nécessaires au bon fonctionnement interne de la cellule de crise. D'un point de vue organisationnel, il est judicieux d'effectuer quotidiennement un bilan de la situation afin d'être capable de suivre l'évolution de la contre-attaque et de définir un plan d'action avant de prendre les mesures immédiates qui s'imposent et d'éventuellement déclencher le PCA/PRA.

 

Pour se défendre, les moyens techniques et humains ne sont pas les seuls à pouvoir s'avérer utiles : contacter les services juridiques et étatiques adéquats (DCRI) afin de déposer une plainte est un autre atout à la disposition des entreprises qui est souvent oublié.

Virus / Pirate