Comment se remettre d'une cyber-attaque ?

Les problèmes de cybersécurité sont un sujet omniprésent pour les entreprises modernes. Des périphériques piratés, des violations de réseau, des données volées et d'autres attaques de ce type sont un phénomène courant pouvant survenir à tout moment.

Pour survivre et continuer de prospérer dans son activité malgré ces menaces permanentes, il est essentiel de savoir comment se remettre en cas d’attaque.

Aucune entreprise ne souhaite faire partie de l’une de ces statistiques. Pourtant, alors que le rapport de la Online Trust Alliance estimait que le nombre de cyberattaques contre les entreprises avait plus que doublé de 2016 à 2017, les chiffres officiels pourraient bien être la pointe de l'iceberg. Le rapport a conclu que plus de 350.000 cyber-incidents ont eu lieu dans le monde en 2017, avec de nombreuses attaques non détectées ou non déclarées. Il est plus que probable que votre entreprise sera confrontée à un moment donné avec la cybercriminalité. Il est donc primordial d'être prêt à toute éventualité.
Le coût d'une attaque peut être dévastateur, comme dans le cas de l'opérateur de téléphonie mobile britannique TalkTalk. La lenteur de la réponse à la violation de données survenue en 2015 a eu pour conséquence directe que l'opérateur a perdu 101.000 clients. Bien que les incidents récents, tels que la violation de données MyFitnessPal annoncée en mars dernier, montrent clairement que les entreprises ne sont pas toujours parfaitement préparées aux cyberattaques, il est important de se concentrer sur la reprise après une attaque, et non seulement sur la prévention.
Les cyberattaques ne doivent pas nécessairement se transformer en crise. Avec une bonne gestion de crise, l’incident peut être maîtrisé et la normalité restaurée. Alors, quelles sont les étapes à suivre pour récupérer d'une cyber-attaque?

Etape 1: Identifier et contenir le problème

L'identification d'une cyber-attaque peut parfois être plus difficile qu'il n'y paraît. Selon l'étude « Cost of a Data Breach » réalisée par Ponemon en 2017, les entreprises peuvent prendre jusqu'à 200 jours en moyenne pour constater une violation de données ou une attaque. Cela peut être dû à une surveillance inadéquate, ce qui explique pourquoi il est si important d'intensifier la gestion de la cybersécurité, qu'il y ait ou non eu une violation.
Une fois que votre entreprise a été touchée par une cyber-attaque, l'identification de la violation doit être rapide et consiste à trouver une réponse aux questions suivantes:
- Quand la cyber-attaque (brèche, perte de données, tentative) a-t-elle eu lieu?
- De quel type d'attaque s’agit-il?
- Comment la cyber-attaque affectera-t-elle le client?
- Quels actifs ont été touchés par l'attaque?
- Qui sont les victimes de l'attaque?
L'identification permettra de mettre en place une réponse au problème plus facilement et plus efficacement. Il est judicieux de documenter l'incident, car cela vous aidera dans votre réponse actuelle, mais aussi dans le renforcement de la stratégie de cybersécurité en place. Les preuves doivent être recueillies méticuleusement et analysées en détail par l'équipe d'intervention interne ou externe. Ces résultats pourront orienter les réponses à court et à long terme.
Après identification, l'accent doit être mis sur le confinement. Le confinement sera une tâche pour le service informatique ou un travail pour un spécialiste externe de la cybersécurité.
Pendant le confinement, les données sensibles doivent être séparées des réseaux affectés et tous les systèmes de connexion et les systèmes d'autorisation doivent être réinitialisés. Les fichiers concernés doivent être désinstallés et réinstallés pour éviter toute propagation éventuelle de l'infection. Tous les fichiers externes susceptibles d'avoir été introduits dans le système doivent être supprimés et analysés par le spécialiste informatique de votre entreprise.
La phase de confinement bénéficiera de nombreuses mesures telles que:
> Opter pour une authentification multi-facteurs.
> Cryptage de toutes les données.
> Maintenir les correctifs les plus récents en mettant à jour le logiciel et le matériel en fonction des besoins.
> Avoir un système de sauvegarde complet en place avec des téléchargements de données réguliers et séparés.
Ces mesures préventives réduisent les procédures de confinement et accélèrent souvent le processus de récupération. La phase de confinement doit commencer dès que possible, car elle a le plus grand impact sur le taux de réussite de la récupération. Pendant le confinement, la communication entre les différentes parties prenantes peut être cruciale.

Étape 2: Rapport aux parties prenantes concernées

Le signalement de l'incident est devenu de plus en plus important avec les nouvelles règles de reporting RGPD. Selon la loi, les entreprises doivent signaler l'incident aux autorités correspondantes, mais également aux clients susceptibles d'avoir été touchés par la cyberattaque.
Votre entreprise doit disposer d’un plan de réponse approprié. Le processus devrait impliquer les contributions des départements Relations publiques /Communication et Marketing afin de limiter l'impact de la publicité négative.

Tandis que les autorités doivent obtenir des informations sur le type d’attaque en cause, le client doit être informé de l’impact, de la réponse et de l’indemnisation éventuelle à laquelle il pourrait avoir droit. Il est également crucial d'inclure des informations sur les mesures de sécurité prises par l'entreprise pour prévenir de futures attaques.
La réponse aux cyberattaques doit aller au-delà du simple devoir de déclaration. La fourniture d'informations est essentielle et doit inclure les parties prenantes suivantes :
Clients - se concentrer sur la prévention future et la transparence sur ce qui a été affecté.
Partenaires commerciaux et investisseurs - décrire la stratégie à long terme visant à prévenir les attaques futures, à contrer la publicité négative et à limiter l’impact de l’attaque.
Employeurs - améliorer le soutien et la sensibilisation des employés pour prévenir de futures attaques.

Régulateurs - fournir des informations à jour sur l'impact de l'attaque et des informations sur la stratégie de confinement.
La volonté et la capacité de votre entreprise à examiner ce qui s'est passé seront au cœur des rapports et de la communication avec les parties prenantes. Vous devriez vous concentrer non seulement sur les événements passés, mais aussi sur la manière de progresser à l’avenir car les parties prenantes ne veulent pas simplement voir la réponse immédiate à court terme.

Étape 3: Répondre aux conséquences à court et à long terme

Tout au long du processus, la réponse devrait être axée sur les conséquences initiales ainsi que sur l’impact à long terme d’une cyberattaque. La réponse à court terme est principalement l’approche des premières étapes - vous enquêtez sur l’attaque, la maîtrisez et informez les parties prenantes concernées. Cela comportera souvent des discussions avec l'équipe juridique. Selon la gravité de l'attaque, les clients sont enclins à prendre des mesures avec d'autres parties prenantes susceptibles d'avoir été touchées. La réponse à court terme doit toujours se concentrer sur la création de la réponse juridique appropriée et la gestion de la responsabilité avec les mesures correctives appropriées.
Lors de l'examen de la réponse à long terme, l'accent devrait être mis sur l'apprentissage de l'incident et sur son utilisation pour renforcer l'approche de cybersécurité de l'entreprise. C'est le moment idéal pour vous assurer que vos processus de surveillance fonctionnent, que les stratégies que vous utilisez sont efficaces et que les réponses que vous initiez fonctionnent comme prévu. Investir dans des solutions de sécurité et des experts en sécurité peut être rentable et doit être considéré comme une solution à long terme. Un point essentiel dans ce domaine peut être la technologie de cryptage, l’utilisation de solutions cloud hautement sécurisées et des logiciels de pare-feu avancés.

Étape 4: Renforcement des mesures de cybersécurité

En termes de réponse à une cyber-attaque, le renforcement de votre gestion de la cybersécurité en cas de violation future est au cœur de la reprise. L'entreprise doit mettre en place les bonnes pratiques et mesures préventives, en travaillant avec des professionnels de la sécurité appropriés pour garantir que la cyber-attaque ne se reproduise plus ou, le cas échéant, que toute réponse sera rapide et efficace.
Votre entreprise doit se concentrer sur la prévention des attaques futures en s’assurant qu’elle a:
> La bonne structure de gouvernance en place - il doit y avoir un groupe central chargé de surveiller, d'élaborer et de mettre en œuvre des programmes et des politiques de cybersécurité qui protègent des menaces futures.

> Les stratégies appropriées pour gérer les cyberattaques - le plan doit être régulièrement mis à jour et se concentrer sur l'efficacité de la communication entre les différentes parties prenantes.

> Une utilisation efficace des programmes de formation - l'entreprise doit mettre en place des programmes de formation solides pour s'assurer que les membres de l'équipe connaissent les risques de l'entreprise, ainsi que ses politiques de cybersécurité. La formation devra être obligatoire pour le service informatique.

Récupération d'une cyber-attaque

Les cyberattaques peuvent affecter n'importe quelle entreprise, indépendamment de sa taille, de son emplacement ou de son secteur d'activité. Selon une étude menée par la société informatique Alvarez Technology Group, 39% des entreprises signalent une interruption de la capacité opérationnelle comme le principal effet d’une cyberattaque. Pour 37% des entreprises, le plus gros problème était le temps d'arrêt des rapports d'activité. Dans l’ensemble, comme le montre l’analyse du groupe Herjavec en 2017, la cybercriminalité coûtera au monde 6 billions de dollars d’ici à 2021, ce qui en fait le crime dont la croissance est la plus rapide aux États-Unis.
Si la prévention est essentielle pour limiter l'impact de la cybercriminalité sur les entreprises, il est tout aussi important de disposer d'une stratégie de récupération appropriée. Si les entreprises suivent les bonnes procédures et prennent des mesures efficaces après une attaque, l'impact peut être géré efficacement et la reprise peut commencer immédiatement.