Savoir que l’on a été attaqué est une chose, bien réagir est une autre. De la préservation de la preuve aux premiers secours à porter au système d’information, l’entreprise se doit de ne pas rester inactive. Voici les cinq gestes de base à connaître absolument.

1. Bien qualifier l’incident et l’éradiquer

En premier lieu, il s’agit de cerner le type d’attaque (sa cible, sa portée, les systèmes touchés), puis de lancer rapidement des actions de confinement, mais avec discernement (coupure de service et des accès internet, filtrage réseau…). Nicolas Furgé, directeur des services de sécurité d’Orange Business Services, conseille de “ faire appel à des personnes ayant les compétences requises pour traiter de façon adaptée et rapide un incident de sécurité. Car ces experts possèdent les techniques et les outils nécessaires. ” Pour Renaud Bidou, directeur technique de Deny All, “ le plus difficile est de détecter de l’intrusion. Selon les outils de contrôle mis en place, l’impact et la manière dont la faille est exploitée, il peut se passer des semaines, des mois voire des années avant que la malversation soit découverte, souvent par hasard. ”

2. Mobiliser rapidement les directions métier

Afin de mener à bien ces étapes, “ il est essentiel d’en informer rapidement les directions métier, explique Gérôme Billois, consultant sécurité et gestion des risques chez Solucom. Bien trop souvent, l’attaque est traitée comme une simple défaillance technique dont le périmètre semble limité à la DSI. ” Ce n’est pourtant pas toujours le cas. Un cybercriminel vise à nuire à une entreprise, à son image, à ses secrets, donc à son cœur de métier. Réunir les directions opérationnelles permettra donc de mesurer l’impact d’une intrusion. La direction informatique n’a pas les moyens, à elle seule, d’évaluer l’étendue d’une attaque. Encore moins d’anticiper les éventuels dérapages que cela peut causer. Si une analyse de risques n’a pas été faite au préalable, il est temps de faire le point, car “ mieux vaut tard que jamais ”.

3. Mettre sur pied une cellule de crise

La structuration d’une cellule de crise à deux têtes est essentielle. “ Elle doit réunir les directions opérationnelles concernées, le juridique, la communication mais également la direction générale. Cette cellule sera chargée de comprendre les impacts, de gérer les relations avec les acteurs externes (clients, médias…) et d’identifier les actifs à protéger en priorité ”, précise Gérôme Billois. Une équipe IT portera les actions permettant d’identifier l’attaque, sa portée, les systèmes et données attaquées ou volées et imaginera des scénarios de protection à déployer rapidement, mais aussi à moyen terme.

4. Ne pas altérer les éléments de preuve

Si un dépôt de plainte est envisagé, il est très important de ne pas détruire ou altérer des éléments de preuve. “ La collecte de preuves est une opération sensible, qui doit être conduite en respectant de nombreuses règles, sous peine de voir ces preuves invalidées. A minima, l’intervention d’un huissier de justice sera nécessaire pour assister à cette phase ”, précise Gérôme Billois. Il n’est de fait pas recommandé de se lancer dans une opération de ce type seul. Se faire assister par un conseil expérimenté, voire assermenté, est essentiel. Mais le dépôt de plainte relève d’une procédure complexe, qui peut dévoiler l’incident à l’extérieur. De plus, malheureusement, elle ne porte pas toujours ses fruits quand les attaquants opèrent de l’étranger ou utilisent des serveurs hors de France. Ce qui est très fréquent.

5. Analyser les faits pour en tirer les conséquences

Enfin, dans ces moments de crise, “ il est aussi important de ne pas stigmatiser tel ou tel acteur vis-à-vis des actions commises et ayant pu amener ou amplifier l’incident ”, complète Gérôme Billois. Il sera temps, une fois la situation revenue à la normale de “ comprendre exactement ce qui s’est passé et d’en tirer les conséquences. ” La présence dans le système d’information d’une solution SIEM (Security Information and Event Manager) peut permettre de réaliser une reconstitution de l’incident. Au-delà des premières actions à conduire dans l’urgence, il est important pour toutes les structures exposées de se préparer en vue de futures situations équivalentes. “ Les dernières actualités nous montrent clairement que ce type de situation est en constante augmentation. Des questions simples doivent être traitées : qui prévenir en cas de découverte d’un incident ? Quel est le processus de décision en cas de crise ? Quels services peut-on couper ? Quels mécanismes de résilience envisager ? ”, ajoute Gérôme Billois.

Une fois que ces mesures ont été prises, il est intéressant de prévoir un exercice de gestion de crise avec l’ensemble des acteurs : direction, services juridique et technique, métiers concernés. Toute l’entreprise doit être mobilisée. L’aide d’acteurs externes est alors appréciable. En plus des autorités compétentes comme l’Anssi (Agence nationale de la sécurité des systèmes d’information), la DCRI (Direction centrale du renseignement intérieur), l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), la Befti (Brigade d’enquêtes sur les fraudes aux technologies de l’information), entre autres, des avocats spécialisés ou des experts en analyse technique postincident (forensics) peuvent intervenir. “ Sans oublier les conseils en gestion de crise et en communication ”, conclut Gérôme Billois.