DIGITAL SOLUTIONS
Se doter de la capacité de réagir à l’incident
Parce que chacun est inévitablement susceptible d’être victime d’une attaque cybercriminelle, la meilleure réponse réside aujourd’hui dans la préparation à faire face à la crise.
November 14, 2016
Parce que chacun est inévitablement susceptible d’être victime d’une attaque cybercriminelle, la meilleure réponse réside aujourd’hui dans la préparation à faire face à la crise. Par ITnation
Personne ne peut affirmer pouvoir se prémunir de toute attaque cybercriminelle. Les chiffres sont éloquents. Au Luxembourg, le CIRCL a examiné 3209 attaques informatiques sur les 83.610 alertes lancées par des entreprises, des autorités ou des personnes privées. « Cela fait douze mois que l’on parle de ransomware. Personne ne peut dire qu’il n’est pas au courant. Personne ne peut prétendre avoir été pris par surprise. Un hôpital par jour en France doit faire face à ce type d’attaque. La réalité est que, si vous n’êtes pas préparés, un jour ou l’autre, vous serez piégé », prévient Christophe Bianco, managing partner d’Excellium à l’entame de la table-ronde dédiée à la gestion de crise qui est venue ponctuer l’édition 2016 des Rencontres de la Sécurité.
Réagir dans les règles de l’art
Mais que recouvre, au final, une bonne préparation ? « C’est se donner la capacité d’agir, de réagir à tout éventuel incident, afin de permettre au business de continuer sa marche, aux opérations de se maintenir », poursuit Christophe Bianco. Les Rencontres de la Sécurité, en guise de clôture, avaient volontairement choisi de sortir du champ technologique pour évoquer l’importance de la gestion de crise à l’échelle de l’organisation. « Être prêt, c’est connaître le numéro des personnes à appeler une fois l’incident identifié. Et cela ne se limite pas au CISO. Les répercussions d’une attaque peuvent concerner de nombreux départements de l’entreprise, les métiers et les opérations, mais aussi la communication extérieure par exemple, qui doit pouvoir envoyer les bons messages au bon moment. N’oubliez pas que les mecs qui vous attaquent, non seulement, ont du temps, mais aussi une capacité de réaction. Envoyer le mauvais message au mauvais moment peut entrainer un renforcement de l’attaque. »
Faire preuve de pragmatisme
La gestion de crise exige une préparation fine et d’agir avec tactique. Elle implique 3 grandes dimensions.
- la préparation : avec l’éducation des équipes, les systèmes de notifications, les procédures à mettre en place en cas d’alerte, l’intégration de scénarios probables au Business Continuity Plan.
- la communication : en veillant à préparer les bons messages, pour rassurer le business, les clients, avec humilité, pour ne pas tenter les cybercriminels.
- les vérifications : il faut pouvoir tester la sécurité de ses systèmes mais aussi les procédures mises en place en continu.
« En réalité, la technologie n’aide pas forcément à mieux gérer la crise. Il faut avant tout miser sur l’humain et faire preuve de pragmatisme, en renforçant sa vigilance à l’égard des assets clés, en veillant à mieux détecter les mouvements anormaux au sein de son système d’information, en s’assurant du respect des procédures existantes », précise Christophe Bianco.
Echanger pour mieux réagir
Mais surtout, en cas de crise, il est essentiel de travailler en équipe. Comme ont pu en témoigner deux invités spéciaux de cette dernière table-ronde, à savoir un responsable d’un CSIRT d’une importante structure paraétatique française et Saad Khadi, responsable du CSIRT de la Banque de France. « La réactivité est un élément clé, témoigne le premier, qui gère un service de lutte contre la cybercriminalité de 25 personnes. On ne peut plus se contenter de traiter les campagnes de phishing pendant les heures de bureau. Il est essentiel d’opérer une surveillance permanente et de réagir avec méthode pour tout événement, en colletant mieux les données, en les corrélant, afin de mieux les traiter. » Saad Kahdi, lui, a insisté sur l’importance de mieux collaborer entre acteurs, à l’image de l’organisation existante entre les différentes banques centrales en Europe. « Malgré une concurrence qui existe entre les banques centrales, pour mieux répondre aux enjeux de sécurité, nous avons mis en place une organisation qui facilite les communications et l’échange de ressources. L’échange, avec nos homologues, mais aussi avec d’autres CERT de confiance permet de démultiplier la capacité que l’on a à répondre à la menace. »