Vous avez transmis un virus informatique à l'un de vos clients, comment réagir ?
La première urgence quand ses systèmes d'information sont infectés est bien évidemment de limiter les dégâts et réparer ce qui peut l'être. Mais même sans s'en rendre compte, il est possible d'infecter des clients. Les grands groupes peuvent contaminer leur écosystème de petites structures moins protégées, mais une petite entreprise peut aussi être une porte d'entrée plus facile à forcer vers le système d'un grand groupe.
"Il faut une certaine maturité pour voir que le virus a eu un impact hors de son entreprise", estime Jérôme Notin, directeur général de CyberMalveillance. "Souvent quand on contamine une autre entreprise, on n'est soit même pas au courant qu'on a été infecté, et c'est l'autre qui nous prévient", assure Benoit Grunemwald, chef de produit de l'éditeur de logiciels de sécurité Eset.
Il faut alors couper les connexions, non seulement de tous ses systèmes d'information mais aussi ceux connectés avec ses clients. Dans tous les cas, il ne faut pas rallumer la machine ou en ajouter une au réseau. Et savoir qu'un programme malveillant peut avoir différentes conséquences sur son écosystème. Jérôme Notin cite ainsi l'exemple "d'intrus qui avaient pris la main sur l'annuaire d'une entreprise. Ils ont eu accès à sa messagerie et à la comptabilité, ce qui leur a permis d'envoyer des mails aux clients pour se faire payer des factures existantes en prétextant un changement de coordonnées bancaires".
Informer : une question de confiance
Il faut évidemment avertir le client contaminé, et "même ceux qui ne sont pas infectés a priori" conseille Jérôme Notin, car ils ont pu l'être sans s'en rendre compte". De plus, "si la transmission du virus se fait via un smartphone, il va chercher à accéder au carnet d'adresse pour se propager", explique Benoit Grunemwald. "Dans la sphère BtoB, informer son client est la fois une question de confiance et de réputation, estime Rachid Hammouda, chef de projet au Boston Consulting Group, et cela permet de donner le plus d'informations possibles sur le virus, son mode de propagation, les éléments contextuels, les moyens de défense… ".
Benoit Grunemwald conseille de se tourner vers son assurance, pour voir si elle prend en charge les risques liés à la cybersécurité. Elle peut aussi, dans certains cas, prendre en charge une partie du coût des dégâts chez son client. Il est également conseillé de prévenir les autorités.
Dans tous les cas, il faut chercher quelle faille a permis à l'infection d'entrer (humaine, système…) et y remédier. "Restaurer c'est bien mais il ne faut surtout pas le faire à l'identique, sinon la faille est toujours là", explique Jérôme Notin. Mais c'est encore plus compliqué sur smartphone. "Une attaque mobile est rarement visible et on sait rarement l'identifier", assure Bastien Bobe.
Tout le monde est exposé
Dans 72% des cas, la faille est humaine, selon une étude du Boston Consulting Group. "Parfois c'est juste un employé qui a forwardé à un client un mail contaminé, illustre Jérôme Notin. Cela ne sert à rien de le condamner, s'il n'est pas assez sensibilisé, c'est au chef d'entreprise de prendre ses responsabilités en formant ses employés". Cybermalveillance propose d'ailleurs un kit de sensibilisation, en l'état ou avec le code source pour le personnaliser aux couleurs de son entreprise.
Le directeur général de Cybermalveillance rappelle que dans l'absolu, "le chef d'entreprise engage sa responsabilité s'il ne prévient pas ses clients d'une infection et s'il n'a pas pris de mesures de sécurisation des données suffisantes". Mais en général, "il y a une certaine bienveillance sur le sujet, assure Benoît Grunemwald : une entreprise est souvent choisie comme fournisseur en raison de son expertise, être victime d'une attaque et contaminer des clients n'aura pas forcément d'impact négatif, sauf si cela arrive plusieurs fois et que l'entreprise ne prend pas les mesures nécessaires".
Eviter que cela se reproduise
Et comme pour tous les cyber risques, le meilleur remède reste la prévention. Et le chantier n'est pas que technique. Impliquer l'ensemble des salariés est primordial. Et pour ne pas oublier le facteur humain et développer une vraie culture d'entreprise sur la cybersécurité, Rachid Hammouda conseille de "mener des formations en concertation avec le responsable de la cybersécurité et les autres responsables, de façon régulière, mettre l'accent sur la politique d'entreprise en matière de protection et gestion des données, mener des simulations, faire des retours d'expérience et valoriser les bonnes pratiques. Cela demande du temps et de la persévérance mais c'est payant". Alexandre Aractingi insiste aussi sur la récurrence des formations, pour créer des automatismes chez les salariés : "les arnaques au président sont souvent absurdes mais avec le stress, elles paraissent légitimes, et les gens ont tendance à paniquer s'ils n'ont pas fait l'exercice avant".
Une chose est sûre : "ce n'est pas au moment de la crise qu'il faut agir, mais avant, assure-t-il. Les entreprises doivent se demander où elles en sont dans leurs pratiques de cybersécurité et avoir une approche business : qu'est-ce qui m'apporte de la valeur, qu'est-ce qui pourrait la détruire ? Les éléments à la fois à plus forte valeur et à plus haut risque sont ceux qu'il faut sécuriser en priorité. Il est important de savoir ce qu'on protège, et contre quoi. "