Cyberattaques : Guide de survie pour les dirigeants et les RSSI

En tant que dirigeant ou RSSI, la question de la cybersécurité de l'entreprise est centrale. Mais comment bien préparer son entreprise et quelles mesures adopter après une cyberattaque ?

Les dirigeants d'entreprise et RSSI continuent à garder un œil attentif sur les menaces émergentes et à analyser les tendances de l'année précédente, alors qu’il faudrait s’assurer que la stratégie de cybersécurité de leur entreprise est à même de répondre à une attaque. Si le risque de cyberattaques est une réalité indéniable, bien s’y préparer peut faire la différence. Alors comment évaluer l'état de cyber-préparation d’une entreprise, quelles mesures prendre avant et après une cyberattaque ? Sur quels éléments les RSSI et responsables informatiques doivent ils se concentrer pour adapter leurs stratégies de défense au paysage actuel des menaces ?

Cyberattaques : une menace croissante pour les entreprises

Ces dernières années, tous les secteurs ont été confrontés à des cyberattaques mais la santé, l'éducation, l'administration et les infrastructures critiques ont été parmi les plus durement touchés. Cibler financièrement des victimes mal préparées ou vulnérables est devenu un business lucratif pour les hackers de toutes sortes. Ces derniers s’attaquent à tout type d’entreprise quels que soient leur taille ou leur secteur ; les conséquences d'une seule attaque peuvent non seulement impacter l'entreprise mais aussi ses fournisseurs et ses prestataires. Au cours des 12 derniers mois, la vague d'attaques par ransomware et de violations de données a explosé.

Les assureurs, conscients du risque d'attaque, ont donc adapté leurs exigences en matière de sécurité. Toutefois le coût de la correction et de la remédiation, suite à une attaque, a fait grimper en flèche le prix des primes de cyberassurance.

Dans un tel environnement, il est logique que les entreprises se préparent à l'éventualité d'une compromission ou d'une cyberattaque. Un plan de réponse aux incidents efficace et adapté, partagé au sein de l’entreprise peut contribuer à une meilleure récupération des infrastructures informatiques et à un retour à la normal plus rapide.

Cyberattaques, comment bien préparer son entreprise ?

Pour se préparer à une cyberattaque, les responsables de la cybersécurité peuvent dans un premier temps créer un groupe de travail composé des membres clés de l'entreprise (IT, juridique, cadres supérieurs, partenaire ou fournisseur de services) pouvant participer à la réponse. Avant même qu'une attaque ne se produise, il est ensuite essentiel d'élaborer un protocole complet de gestion de crise, décrivant les mesures à prendre en cas d'attaque, notamment les informations sur l'identification, le confinement et la remédiation. Ce dispositif doit également inclure des détails sur la communication avec les parties prenantes de l’entreprise : employés, clients et médias. Mais il faut également prendre d’autres mesures essentielles pour améliorer cette préparation :

• Effectuer des évaluations régulières de la sécurité pour identifier plus rapidement les vulnérabilités des systèmes et des réseaux avant que les attaquants ne les exploitent.
• Mettre en place des contrôles de sécurité fiables comme la sécurité du réseau et du cloud, les logiciels de sécurité des endpoints, la protection de l'identité des utilisateurs et le cryptage pour protéger les systèmes et les données.
• Former les employés et les sensibiliser à l'importance de la cybersécurité et à la manière d'identifier et de signaler les menaces potentielles. Cela peut grandement contribuer à protéger une entreprise contre une attaque.
• Établir des plans de réponse aux incidents qui peuvent aider à limiter et prévenir les dommages et à relancer les systèmes et les opérations le plus rapidement possible.
• Effectuer une simulation de réponse à un incident et des opérations de forensic afin de gérer les répercussions d’une cyberattaque. Les enseignements peuvent aider à relever les défis juridiques et techniques complexes qui surviennent souvent à la suite d'une violation.

Quelles mesures adopter après une cyberattaque ?

Le processus post attaque a pour objectif d'atténuer les vulnérabilités exploitées, de s'assurer que la menace a été neutralisée ou éradiquée, et de rétablir les services touchés. Voici quelques grandes étapes à suivre :

1. Évaluer l'ampleur de l'attaque

Dans un premier temps, l'équipe de sécurité doit déterminer l'ampleur de l'attaque et identifier les systèmes, les données et/ou les utilisateurs impactés. Pour cela, il est important de :

Déterminer le type d'attaque : phishing, attaques DDoS, ransomwares/vol de données et prises de contrôle de comptes/utilisateurs… Pour répondre efficacement, il est essentiel d’établir le type d'attaque survenue et ses caractéristiques.

Identifier la source de l'attaque : La source initiale de l’attaque doit également être déterminée. Les hackers ont pu, en effet, s’introduire dans d'autres parties du réseau qui n'ont pas encore été découvertes. Une équipe de réponse aux incidents est primordiale pour analyser l'attaque et remonter jusqu'à son origine. Cela permet également d'éclairer la stratégie de sécurité de l'entreprise prendre ainsi des mesures adaptées pour empêcher que des attaques similaires ne se reproduisent.

Évaluer l'étendue des dégâts : Une fois que l'attaque a été contenue et que le type d'attaque a été identifié, il est temps d'évaluer l'étendue des dommages (impact sur les systèmes et les données, identification des informations sensibles qui ont pu être compromises). Comprendre la portée de l'attaque aidera l'entreprise à planifier une réponse efficace.

2. Contenir l'attaque

L'étape suivante consiste à empêcher les hackers d'obtenir un accès supplémentaire au réseau. Voici quelques mesures préconisées :

Isoler les systèmes et les dispositifs infectés : Tout système ou dispositif susceptible d'avoir été compromis doit être isolé du reste du réseau pour empêcher l'attaque de se propager.

Se déconnecter du réseau : Dans certains cas, il est nécessaire de déconnecter l'ensemble du réseau pour empêcher l'attaquant d'accéder aux systèmes.

Fermer les services concernés : Si certains services (messageries, serveurs Web ...) ont été compromis, il faut parfois les mettre hors ligne pour empêcher l’attaquant de les utiliser comme point d’entrée.

Mettre en œuvre toutes les mesures d'urgence nécessaires : En fonction de la gravité de l'attaque, activer un plan de réponse aux incidents - décrivant les étapes nécessaires pour contenir l'attaque et réduire les dommages - peut s’avérer indispensable.

3. Éradiquer la menace

Après le confinement, l'étape suivante consiste à supprimer tout malware installé pendant l'attaque et à s'assurer que la source initiale est bloquée.

Supprimer les malwares : Soit les entreprises peuvent déployer une solution de sécurité qui les supprime automatiquement, dans le cadre de leur politique de sécurité, soit elles peuvent le faire manuellement, voire même reconstruire le système à partir de zéro.

Corriger toutes les vulnérabilités exploitées : Si le cybercriminel a exploité des vulnérabilités logicielles pour obtenir un accès, celles-ci devront être corrigées dès que possible. Cela peut nécessiter l'application de correctifs ou de mises à jour logicielles, la reconfiguration des paramètres du réseau, voire le remplacement de systèmes obsolètes ou non pris en charge. Même si la correction des vulnérabilités entraîne des temps d'arrêt qui perturbent les activités de l'entreprise, il est crucial d'empêcher les attaquants d'exploiter à nouveau le même vecteur d'attaque et d'interférer avec le processus de remédiation.

Réinitialiser les mots de passe : Des comptes d'utilisateur compromis avant ou pendant une attaque doivent être réinitialisés, et il faut confirmer et protéger les identités des utilisateurs à l'aide de clés biométriques, de MFA et autres techniques d'authentification.

4. Restaurer les données et services

Une fois l'attaque circonscrite, il faut restaurer les systèmes ou les données qui ont été endommagés ou perdus pendant l'attaque, via des solutions ad hoc permettant des sauvegardes, la reconstruction des systèmes ou la récupération des données. La priorité doit être donnée aux points suivants :

Restaurer les systèmes et les services qui ont été bloqués (pour contenir l'attaque), endommagés ou perdus. Il est important de tester et valider scrupuleusement ces services pour s'assurer qu'ils sont entièrement fonctionnels et sécurisés avant de les mettre à nouveau à la disposition des utilisateurs.

Restaurer les données perdues (si nécessaire) : Si l'attaque a entraîné la perte de données essentielles, il est important de les restaurer dès que possible, soit à partir de sauvegardes propres connues, de l'utilisation d'un logiciel de récupération de données spécialisé ou de la recréation manuelle des données perdues.

Reconstruire les systèmes affectés (si nécessaire) : Si l'attaque a endommagé des systèmes de façon définitive, il peut être nécessaire de les reconstruire en partant de zéro. Cette opération peut prendre du temps, mais elle est nécessaire pour garantir que les systèmes sont sécurisés et entièrement fonctionnels.

5. Signaler l'attaque

Au fur et à mesure de l’analyse post attaque, la direction et ses partenaires doivent être tenues informées des résultats. Pour maintenir la confiance et la transparence, les équipes doivent fournir des mises à jour régulières sur la situation et les progrès réalisés. Voici les étapes à garder à l'esprit :

Établir un rapport et définir les attentes en la matière : Une fois que l'attaque a été contenue et que l'équipe de réponse à l'incident a commencé son enquête, un rapport à jour doit être établi et les attentes, en matière de partage d’informations avec les parties prenantes, définies. Cela permettra de se concentrer sur l’essentiel sans être interrompu par des demandes de communication chronophages pendant cette période critique.

Identifier les différentes parties prenantes et élaborer un plan de communication adapté : Les employés, clients et partenaires doivent être informés de la situation et de tout progrès réalisé. Cependant, chacun peut avoir des attentes différentes en matière de communication. Par exemple, les acteurs internes ont, la plupart du temps, besoin d’un retour d'information précis et exploitable, tandis qu’une mise à jour plus générale peut convenir aux acteurs externes.

Collaborer avec des spécialistes des médias et des relations publiques : Pour maintenir la confiance et la transparence, publier un communiqué de presse ou une déclaration publique peut s’avérer nécessaire. Il est essentiel de travailler en étroite collaboration avec les responsables de la communication pour rédiger une déclaration et s'assurer qu'elle reflète fidèlement la situation et les efforts d'intervention de l'entreprise.

Ils doivent également s'assurer qu'ils sont au courant de toutes les réglementations obligatoires qui s'appliquent à leur entreprise en cas d'attaque. En fonction des législations, nombre d’entreprises sont, en effet, dans l’obligation de signaler les cyberattaques et les violations de données.

6. Organiser des sessions d’enseignements post attaque

La planification de debrief après une cyberattaque fait partie intégrante du processus, car elle permet aux entreprises de réduire le risque de futures attaques et de mieux se protéger et protéger leurs clients.

Tirer des leçons suite à une attaque : Pour prévenir des attaques similaires, les conclusions de l'enquête doivent servir d’enseignements. Cela doit également servir à ne pas réitérer les mêmes erreurs ou faux pas.

Mettre à jour le plan de réponse aux incidents : Sur la base de ces enseignements, le plan de réponse à incident et la stratégie de sécurité globale de l'entreprise doivent être adaptés. Il s’agit de s’assurer de mettre en œuvre les meilleures et plus récentes pratiques. Cela peut impliquer de revoir les rôles et les responsabilités de l'équipe de Réponse à Incidents, de mettre à jour le plan de communication et d'intégrer de nouveaux contrôles ou procédures de sécurité.

Le risque croissant de cybermenaces qui pèsent sur les entreprises de toutes tailles et de tous secteurs doit conduire les dirigeants et RSSI à mieux anticiper leur stratégie en matière de cybersécurité. La gestion des cyberattaques est un exercice éprouvant pour toutes les parties concernées, mais ils ont un rôle important à jouer pour réduire les dommages et faciliter la reprise de l’activité. Planifier et concevoir à l’avance un plan de réponse aux incidents, adapté aux besoins spécifiques de chaque entreprise, peut leur permettre de conserver leurs données sensibles, la confiance des clients et du public, et une crédibilité à long terme.