Comment faire face à une crise cyber ?

La crise a un caractère exceptionnel. Elle ne peut être réglée par les processus habituels et dans le cadre du fonctionnement normal d’une organisation. Les salariés impliqués dans la gestion d’une crise doivent sortir de leur rôle et de leurs responsabilités habituelles. Nous notons pourtant que la plupart des entreprises utilisent le mot « crise » pour qualifier des incidents qu’elles pourraient gérer sans bouleversements de leurs pratiques. Pour faire la différence entre une crise et un incident de sécurité, il faut une certaine maturité et/ou un bon entraînement. Nous rédigeons notamment des matrices de déclenchement pour certains de nos clients. Celles-ci permettent de qualifier un incident selon des critères préétablis et d’avérer ou non la situation de crise.

L’une des spécificités d’une crise cyber est son absence d’impacts visibles sur la production du système d’information (SI). Dans le cas d’une exfiltration de données, le SI fonctionne normalement mais les impacts ne seront perçus que plus tard, lorsque les données seront exploitées par l’attaquant. Parmi les autres spécificités, nous retrouvons le caractère transverse à l’ensemble de l’entreprise, mais aussi dynamique à travers la capacité d’un cybercriminel à réagir aux mesures de confinement mises en place, en modifiant sa posture d’attaque notamment.

Il n’existe pas réellement de gestes types car chaque situation et chaque entreprise est différente. Ceci étant dit, le premier réflexe reste de protéger ce qui peut être sauvé, et cela sous-entend de faire des choix difficiles. Lors d’une crise, il faut réagir vite et parfois, il faut déterminer ce qui sera protégé en priorité et ce qui sera laissé de côté, ne serait-ce que dans un premier temps. La capacité à gérer au mieux une crise tient souvent dans celle à mobiliser les bonnes personnes en un temps record. Il est en effet plus pertinent pour un cybercriminel de déclencher son attaque pendant une période creuse, par exemple quand les équipes décisionnaires et techniques ne sont pas présentes. Aussi, l’identification en amont des salariés compétents pour gérer une crise reste clé.

Moins une entreprise est préparée à une crise cyber, plus les impacts seront graves et difficiles pour elle. Aussi, la pire chose à faire est de penser que cela n’arrive qu’aux autres. Même pour les entreprises préparées, l’un des pires réflexes que nous avons pu observer est celui de prendre des décisions à la hâte, avant même d’avoir tous les éléments. Lors d’une crise, on court après le temps, c’est inévitable mais il ne faut pas confondre vitesse et précipitation : les mauvaises décisions augmentent les impacts négatifs d’une crise de manière considérable. Dans le pire des cas, les actions pour contenir l’attaque peuvent causer plus de dégâts que l’attaque elle-même. Enfin, les crises cyber ont la particularité d’être transverses : les gérer uniquement sous le prisme IT est une réelle erreur de départ. Dès le début de la crise, il est nécessaire de mobiliser l’ensemble des acteurs, qu’ils soient techniques ou fonctionnels. Une fois le scénario d’attaque et les impacts sur l’entreprise identifiés, ne resteront que les acteurs directement concernés.

Il est conseillé d’organiser des roulements très tôt, mais aussi des choses assez simples qu’on peut facilement oublier comme la livraison de plateaux-repas ou l’aménagement de salles de sieste pour que les équipes puissent se reposer. Il n’est pas rare que certains salariés ne mangent ni ne dorment plus pendant une crise : cela altère leur santé, morale comme physique, et leur fait prendre de mauvaises décisions. Vis-à-vis des salariés qui ne font pas partie de cellules de gestion de crise, le mieux est de communiquer : il est préférable que l’information vienne de l’interne que des médias. Si la décision a été prise de ne pas parler pendant la crise, nous conseillons de capitaliser sur le retour d’expérience pour sensibiliser aux bonnes pratiques.

Il faut identifier ses essentiels et préserver ce qui peut l’être pour que l’entreprise puisse continuer à tourner. Parfois, cela sous-entend de déplacer les salariés sur un autre site et les faire travailler depuis de nouveaux ordinateurs. D’autres fois, il s’agit de basculer des données d’une machine compromise à une autre. Dans ce cas de figure, il faut être absolument certain que le cybercriminel n’y ait pas accès car c’est souvent la dernière ligne de défense. Le plan de continuité doit être suffisamment robuste et éprouvé face à une attaque cyber afin que le responsable du plan de continuité d’activité (RPCA) puisse décider en toute connaissance de cause l’activation de son plan.

Pour ne pas la subir, il faut la piloter. Faire appel à des consultants en sécurité spécialisés dans la gestion de crise permet d’être épaulé. Ce qui est un évènement bouleversant pour une entreprise sera une journée de travail comme une autre pour un expert, qui aura fait face à une multitude de situations. Sans faire appel à des professionnels, parler à d’autres responsables de la sécurité des systèmes d’information (RSSI) peut aider : il se peut que l’un deux ait connu la même crise. Il faut construire son réseau et s’appuyer dessus et surtout, ne jamais rester seul face à une crise.