Fonctionnement d’une cellule de crise cyber

Le risque dit « cyber » est devenu de nos jours non seulement un risque majeur par ses impacts (réputation, perte d’exploitation, qualité de services dégradées, risques humains) mais aussi par sa fréquence. En effet, il ne se passe désormais plus une semaine sans qu’une entreprise soit victime de cyberattaque, souvent via des rançongiciels, voire des logiciels malveillants ou encore par des attaques par déni service. Ce sujet prend une telle ampleur que l’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié une série de guides sur la gestion des crises cyber, comprenant également la communication de crise.

Le premier enjeu face aux crises cyber, telles qu’une attaque par rançongiciel (ransomware), est d’avoir conscience qu’il s’agit d’une crise cyber et que l’attaque peut ou va avoir des impacts majeurs pour l’entreprise.

Ce sujet parait évident mais, en pratique, deux facteurs rendent complexe sa perception. La plupart des attaques, ciblées ou non, ont lieu la nuit, le week-end et les jours fériés, périodes pendant lesquelles la capacité d’alerte et de réactivité est moindre. À cela s’ajoute le fait que toutes les entreprises ne sont pas nécessairement dotées des moyens de détection tels que :

• des outils de veille darkweb (évaluer le niveau de référence à une entreprise ciblée par des attaques via les citations d’une marque sur le darkweb) ;

• des EDR intelligents de dernière génération. Un EDR est un outil qui fonctionne en détection et prévention des menaces persistantes et avancées ciblant différents terminaux ;

• le rattachement à un centre de sécurité opérationnelle, service souvent mutualisé par différentes entreprises dans lequel des experts en cybersécurité analysent jours et nuits les alertes sur les systèmes d’information et sites d’une entreprise ;

• une astreinte de sécurité informatique dans laquelle des collaborateurs tels que des ingénieurs sécurité système veillent en permanence sur les alertes potentielles.

Une fois comprise la réalité de l’attaque, des premières mesures d’urgence sont à prendre :

• couper l’accès aux sites et serveurs de l’entreprise ;

• analyser la menace via un audit dédié (il est préférable en amont d’avoir un partenariat avec une société spécialisée dans l’investigation des cyber menaces et qui réalisera ces audits dits « forensic » ;

• se rapprocher des autorités pour signaler la situation et partager les informations. Cela permet notamment de comprendre à quel type de rançongiciel l’entreprise est confrontée et quelles sont les caractéristiques de cette menace (ou indices de compromission). Ces points permettent aussi d’adapter le renforcement des mesures de sécurité pour la période de reprise d’activité et ce afin de ne pas repartir sur un niveau d’avant crise.

• comprendre quels sont les serveurs, applications et machines impactés par une violation de données (la simple consultation non approuvée, même sans fuite de données, constitue une violation de donnée) ;

• comprendre si oui ou non des données ont été exfiltrées ;

• appliquer la politique de sauvegarde de l’entreprise. Ceci constitue un point essentiel en cas de cryptage de données, ce qui est le propre des rançongiciels.

Le schéma ci-après, sans être exhaustif, reprend les points clés d’une crise de ce type. Il va des actions d’urgence précitées à l’analyse en profondeur de l’attaque et des cons