Face à une menace informatique toujours croissante et en mutation, il est indispensable pour les entreprises de gérer les différentes phases d’une crise cyber (crise ayant pour origine une attaque cyber, c’est-à-dire informatique).
Selon l’ANSSI, on parle de « crise cyber » lorsqu’une ou plusieurs action(s) malveillante(s) sur le système d’information (SI) génère(nt) une déstabilisation majeure de l’entité, provoquant des impacts multiformes et importants, jusqu’à engendrer parfois des dégâts irréversibles. Une crise cyber est un évènement rare avec un impact fort, qui ne peut être réglé par les processus habituels et dans le cadre du fonctionnement normal d’une organisation.
La manière dont une crise cyber va être gérée, à partir de la découverte de l’incident, va beaucoup influencer le déroulé et l’issue finale de celle-ci. Il est donc primordial de connaître les premiers pas à suivre lorsqu’une telle situation se produit.
RÉAGIR PENDANT LA CRISE
Définir et déclarer l’incident
Dans un premier temps, il est essentiel de définir l’incident ainsi que son ampleur afin de régler le problème le plus efficacement possible. L’incident est-il bien confirmé ? Y-a-t-il encore une activité malveillante sur le réseau ? Comment l’attaquant est-il entré ? Depuis combien de temps ? Quelles sont les conséquences ? Jusqu’où est allé le cybercriminel ? Il ne s’agit pas tant de savoir qui est l’attaquant mais plutôt de caractériser l’attaque et ses répercussions au sein de l’entreprise.
Une fois l’attaque confirmée, l’entreprise ne doit pas tarder à porter plainte contre X auprès des autorités et à déclarer l’incident. Cela a aussi pour but d’activer l’assurance cyber (qui peut dans certains cas couvrir les investigations nécessaires). Des déclarations complémentaires peuvent également être nécessaires, notamment auprès de la CNIL lorsqu’il y a eu une fuite de données.
Les premières réactions
Dès qu’un incident est détecté et confirmé, il faut réagir vite :
- La première étape est de déconnecter la machine du réseau et de ne pas l’éteindre (même si cela peut paraître contre-intuitif, lorsqu’un appareil est éteint, de nombreuses informations utiles disparaissent. On peut toutefois mettre la machine en veille dans le cas d’un ransomware notamment afin d’éviter qu’il ne se propage) ;
- Il faut ensuite prévenir le responsable et les personnes en charge de la sécurité
- Il est important de préserver les preuves, qui seront nécessaires à l’enquête. Si l’entreprise en a la capacité, elle peut effectuer une copie du système et de ses fichiers. Aussi, si la machine est allumée, il est recommandé de faire une capture mémoire ; dans tous les cas, il faudra faire des copies de disque si cela est possible ;
- Enfin, il ne faut pas attendre pour traiter l’incident et faire intervenir les experts pour gérer la crise.
De manière générale, le plus tôt la crise sera prise en compte de manière adéquate et comprise, le plus vite elle sera endiguée et gérée.
Faire intervenir la cellule de crise
Le plan de gestion de crise (ou plan de réponse à incident), si l’entreprise en possède un, va permettre de la guider dans ses démarches. Il contient en général des documents, templates, annuaires ainsi que la description des postes composant la cellule de crise (département informatique, Direction Générale, juridique, ressources humaines et les acteurs externes accompagnant l’entreprise dans la gestion de crise).
Si l’entreprise n’a pas de compétences CERT (Computer Emergency Response Team) en interne, il est essentiel de se faire accompagner par des experts qui savent gérer les crises. L’avantage des intervenants externes est qu’ils sont neutres et apporteront donc un point de vue distancé et non-influencé par des acteurs internes.
Selon la taille de l’entreprise, plusieurs équipes pourront se répartir les missions opérationnelles :
- L’équipe d’investigation, comprenant un pilote, des analystes étudiant les réseaux et le trafic, des analystes système et des analystes malwares (qui retracent les pas de l’attaquant, identifient son mode opératoire, valident s’il est encore sur le réseau…) ;
- L’équipe d’audit, qui identifie les failles initiales et s’assure qu’il n’y en ait pas de nouvelles, et qui vérifie la sécurité du nouveau SI assaini ;
- Les profils d’intégrateurs, qui reconstruisent le SI de manière plus sûre et pérenne pour assurer la continuité des activités de l’entreprise.
L’intervention des équipes DSI et métier existantes chez la victime est de toute manières obligatoire et il arrive très souvent que ces équipes soient déjà essoufflées/fatiguées au moment de l’intervention (deux ou trois nuits d’affilée). Il est important de préserver ces ressources qui connaissent mieux leur système d’information et contraintes métier que quiconque.
Pendant les activités de gestion de crise, on veillera toujours à utiliser des moyens décorrélés du système d’information compromis. On pourra idéalement déployer un SI alternatif comprenant des outils de collaboration, d’emails, de reporting, et qui permettra aux équipes d’investigation de communiquer et de travailler en toute sécurité.
Il faudra également dédier une ou plusieurs salle(s) aux équipes de gestion de crise afin qu’elles ne soient pas dérangées.
Enfin, mettre en place un support (téléphonique ou de messagerie) pour répondre aux demandes des clients et collaborateurs est indispensable, dans la mesure où les attaques sont très souvent rendues publiques.
Les étapes de la gestion de crise
Lors d’une crise cyber, il faut en principe entre une semaine et un mois afin de retrouver une situation normale. Elle se déroule en plusieurs étapes :
- Phase d’endiguement de l’attaquant : il s’agit de colmater les failles ayant permis l’intrusion afin d’éviter une nouvelle intrusion de la part de l’attaquant.
- Phase d’assainissement : qui permet de réinitialiser le périmètre identifié comme corrompu.
- Phase de durcissement : audit global du système afin de mesurer la capacité à répondre à de prochaines attaques.
L’APRÈS CRISE : RETOUR SUR INCIDENT
Généralement, un incident de cybersécurité permet de remettre en perspective la sécurité informatique de l’entreprise et de faire évoluer les pratiques et les outils internes.
Il est donc essentiel de réaliser un retour sur l’incident, permettant à l’ensemble des acteurs de la gestion de crise de s’exprimer sur l’épisode qui vient d’avoir lieu et d’ainsi mettre en exergue les bons et mauvais aspects. Idéalement, cet exercice doit se produire plusieurs fois afin d’avoir un retour le plus pertinent possible (juste après la crise, quelques jours après, bien après la crise).
Pour finir, certaines organisations proposent des simulations de gestion de crise de cybersécurité, afin de mieux se préparer et d’identifier les processus à mettre en place en cas d’incident.
___________________
Par Loïc Castel, Responsable Digital Forensics & Incident Response au sein du CERT-DS, Atos Digital Security