Secu
SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030
Par La rédaction, publié le 28 mars 2023
Anticiper le jour J en préparant une cellule de crise
En cas d’attaque informatique, une course s’engage. Il faut tout d’abord stopper l’attaque,
puis assurer un retour à la normale. Préparer ces actions en amont et aiguiser ses réflexes
passe par la mise en place d’une cellule de crise cyber.
Lorsqu’une attaque informatique est détectée, l’entreprise doit intervenir rapidement pour réduire l’impact de cette crise sur son activité et revenir au plus vite à la normale. « La réponse doit être prévue en amont, avec des processus bien huilés, car une attaque peut paralyser complètement l’entreprise, explique Loïc Guézo, directeur stratégie cybersécurité chez Proofpoint pour la zone SEMEA. Sans compter que lorsque l’attaque est en cours, son initiateur est souvent encore présent dans votre SI. Une course contre la montre s’engage alors afin de ne pas le laisser garder l’avantage. »
Si l’entreprise ne réagit pas avec efficacité, non seulement son activité pourrait être durablement impactée, mais la direction aura d’autant plus de difficultés à rendre des comptes aux actionnaires, investisseurs, clients et fournisseurs, voire à la justice, notamment en cas de fuite de données sensibles.
La réponse passe par une cellule de crise, préparée en amont. « La cellule de crise ne peut être qu’interne, car elle est amenée à prendre des décisions lourdes de conséquences pour l’entreprise : arrêt temporaire de certaines activités, pilotage d’opérations de remédiation, information des clients et fournisseurs… Toutefois, elle peut faire appel à des compétences externes, identifiées au préalable : par exemple des experts en communication de crise, des négociateurs amenés à interagir avec le racketteur – en cas d’attaque par rançongiciel –, des équipes informatiques qui viendront en renfort pour rétablir le SI et, bien évidemment, les forces de police et de gendarmerie. Au final, tout ou presque peut être externalisé… sauf la cellule de crise elle-même. »
L’attaque est arrivée !
Souvent, les organisations hésitent à avertir les forces de police ou de gendarmerie lors d’une attaque informatique. « C’est une erreur, explique Loïc Guézo. L’entreprise doit comprendre qu’elle ne fait pas uniquement face à un problème technique pouvant impacter son activité : elle a été victime d’un cybercriminel ! Il est donc logique – et vivement recommandé – de déposer plainte. Tout comme d’aider les forces de police et de gendarmerie à mener l’enquête en collectant tout élément susceptible de les aider. Cela reste le meilleur moyen de lutter contre la cybercriminalité. »
Au besoin, les forces de police ou de gendarmerie conseilleront l’entreprise sur la marche à suivre pour interagir avec l’attaquant, stopper l’attaque et collecter des preuves. Alors que les grandes entreprises, OIV et OSE ont l’Anssi comme allié dans ces démarches, le groupement d’intérêt public ACYMA (Actions contre la cybermalveillance) assiste lui les TPE/PME, associations et particuliers, via le site www.cybermalveillance.gouv.fr. DAVID FEUGEY
directeur stratégie cybersécurité chez Proofpoint
« En elle-même, la cellule de crise
ne peut être qu’interne,
mais elle peut faire appel
à des compétences externes,
identifiées au préalable. »
COMMENT ORGANISER UNE CELLULE DE CRISE CYBER
Définir les processus à appliquer selon le type d’incident rencontré. Ces processus seront traduits en fiches réflexes, à mettre à jour au fil de l’évolution des risques.
Fixer les rôles de chacun pendant la crise, et les escalades éventuelles en responsabilité.
Attribuer des moyens à la cellule de crise, qui doit a minima disposer de ses propres outils de communication, indépendants du SI de l’entreprise.
S’entraîner au travers de tests permettant de vérifier que les processus sont bien maîtrisés et les automatismes en place.
Il est possible également d’imaginer d’autres actions, comme un « mini-SI-bis » permettant à l’entreprise de poursuivre en partie ses activités pendant la crise.
