Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

#NOFW - Les 6 stades de réaction à une cyberattaque

Découvrez la rubrique #NOFIREWALL sur sécuri-thé. Un billet décalé qui vise à démystifier le monde de la cybersécurité et apporter quelques conseils pratiques avec le sourire.

Il semblerait qu'il soit à la mode de décomposer une approche en étapes clés mais pas trop quand même (sinon on perd le lecteur) alors Sécuri-thé s'est prêté au jeu et vous livre une analyse sur les étapes à respecter lorsqu'un chef d'entreprise découvre que son organisation est compromise. (Toute ressemblance serait purement fortuite...ou pas)

#Le choc

Votre RSSI d'ordinaire si joyeux et jovial [SIC] se met à développer un sourire nerveux et des tics dès qu'il vous croise; c'est la première alerte que quelque chose ne va pas. Lors du fameux "point du lundi" il vous a bien paru préoccupé mais pour un RSSI c'est un état naturel (après tout la parano est sa meilleure alliée).

C'est à ce moment précis qu'il lance une phrase du type : "Chef, notre périmètre de sécurité opérationnel transverse et vert pomme est compromis" - C'est le choc! Brutal, inattendu et pourtant bien réel.

Notre conseil : Monter une cellule de crise sans délai réunissant : RSSI, le patron des applications métiers (il n'a jamais le même nom dans les entreprise), 1 ou 2 experts techniques (quand on les a sous la main) et la direction générale (pour arbitrer les décisions) - Alors on fait revenir tout le monde de RTT s'il le faut mais il s'agit d'une cellule de crise, pas une réunion des anciens du club de belote. (NB : Il conviendra de prévoir un tel scénario dans les fiches de poste des membres de cette cellule pour éviter les négociations inutiles et stériles).

#Le Deni

Le réflexe naturel de toute organisation qui découvre qu'elle n'est plus seule dans son système d'information et de minimiser voir d'essayer de se convaincre que tout ceci n'est qu'une plaisanterie.

Les phrases du type : "Mais non c'est pas possible, c'est juste le système qui est un peu plus long que habitude, pourquoi est-ce qu'une entreprise comme la nôtre pourrait intéresser un hacker"

Notre conseil : Il faut sortir le hacker de l'image du jeune boutonneux qui essaye de pirater le FBI. L'heure est à la cyber-criminalité organisée qui génère plus de revenus que le trafic de drogue à l’échelle mondiale. Peu importe que vous ne compreniez pas pourquoi vous êtes victime, il faut l'accepter. La mise en place d'indicateur de performance peut être une bonne piste pour convaincre les sceptiques que quelque chose ne tourne pas rond. On peut également évoquer l'important de réaliser des analyses de risques pour identifier les assets devant faire l'objet d'une protection spécifique. Petite précision, cest opérations se déroulent avant la mise en prod. En d'autres termes, on attend pas l'attaque pour réagir...

#La colère

Les montants des budgets que vous allouez chaque année à la sécurité informatique vous reviennent en tête et en ligne de mire vous commencez à distinguer la silhouette des hommes à abattre... Que nenni, dans l'immédiat ils sont vos plus proches alliés (et surtout les plus compétents pour trouver une solution). Vous voulez entrer dans la salle serveur et arracher tous les câbles? Calmez-vous et respirez profondément.

Vos directions métiers sont formées à évaluer le risque et le coût de l'interruption de service. Plus qu'une indication, elle vous indique le temps dont vous disposez pour remettre votre production en ordre de marche.

Notre conseil : NE TOUCHEZ A RIEN ! - En cas de cyberattaque la première des choses...est de ne rien faire. A l'image d'une enquête policière, si votre armée d'ingénieurs commencent à effacer toutes les traces d'effraction l'enquête n'en sera que plus délicate. Souvenez vous des séries Z américaines et le bon gros plancton à Donnut qui pourrit la scène de crime. Vous saisissez la référence? Tout au plus on tolérera de débrancher du réseau la machine infectée de sorte à isoler la menace. L'idéal étant de disposer de "sandbox" permettant d'isoler la menace tout en conservant la capacité d'analyser le comportement de la source infectée (idéal pour l'enquête) mais assez peu mise en place.

#Le marchandage

Cette étape est souvent la plus critique et la plus sous-évaluée en termes de risques. En cas de ransomware par exemple (définition). Nombre d'entreprises sont prêtes à payer en pensant se débarrasser du problème. Dans la majorité des cas vous aurez non seulement dépenser de l'argent inutilement mais de plus votre société risque d'être à nouveau attaquée car vous deviendrez alors une cible facile. On ne négocie pas avec les terroristes. Point final! Et puis vous disposez d’un backup d’hier soir ? Non ?

Notre conseil : La tentation est grande mais le chantage signe le début de la fin de votre organisation. L'image renvoyée lors d'une attaque démontre aussi du niveau de maturité de votre organisation (autant en externe qu'en interne). La communication est un axe stratégique qui vous permettra de traverser cette étape. Ne cédez pas aux sirène des faiseurs de miracle qui vous promette de régler votre problème en un clin d'oeil. Continuez de faire confiance à vos équipes, vous procéderez aux ajustements plus tard.

#La Dépression

Vous pensez que tout est fini, que la cyberattaque vient de mettre un terme à 100 ans de tradition familiale et que votre business ne s'en remettra pas; Là encore détendez-vous. L'enquête permettra de démontrer l'ampleur des dégâts et peut être même expliquer pour quelle raison vous êtes devenu la cible (principale ou simplement pour atteindre une cible plus grosse, un donneur d'ordre par exemple).

Notre conseil : ne surestimez pas l'impact d'une cyberattaque. Si vous avez respecté les 3 premières étapes c'est que vous semblez être au fait du risque. Dans ce cas, vous aurez au préalable mis en place les compartiments (physiques et numériques) permettant de circonscrire l'attaque sans que celle-ci ne puisse impacter d'autres pans de votre business. Si ce n'est pas le cas, il serait temps de s'y mettre...

#La reconstruction

Votre business est reparti, la cyberattaque est désormais derrière vous et votre RSSI a retrouvé sa couleur « naturelle ». Le travail n'en est pas terminé pour autant ! Le plus important est même à venir. En effet, le meilleur moyen de ne pas se retrouver dans une pareille situation est de tirer les leçons de la précédente attaque. Une analyse précise des manquements est indispensable. Ensuite, batissez une base de connaissance qui vous permettra d'agir plus vite en cas d'attaque similaire. Ne sous estimez pas l'impact positif que pourrait avoir cet incident dans vos équipes (prise de conscience, coopération inter-services, leadership)

Notre conseil : Valorisez les équipes ayant fait preuve d'un réel investissement dans la sortie de crise. Ayez une lecture objective de votre niveau de sécurité et faites-vous accompagner par des experts de ces sujets tant du point de vue technique que fonctionnel. Travaillez votre communication pour démontrer à vos clients votre niveau de conscience des cyber-risques, cela renforcera l'image de confiance à long terme. Dernier conseil, ne laissez pas cette affaire sans suite et déposez plainte, c'est le seul moyen de bâtir des statistiques à l'échelle nationale et de forcer les politiques à mettre en place des outils et des moyens de protection à large échelle.

Conclusion

Ce petit billet est avant tout humoristique n'a pour seule vocation que de vulgariser l'approche et sortir les équipes de sécurité du ghetto dans lequel on les enferme trop souvent; Toutes mes excuses aux quelques RSSI qui se sont reconnus (c'est joli le vert pomme). N'hésitez pas à commenter et nourrir cette réflexion. Bonne journée! Pour les plus psychologues d'entre vous, vous aurez peut être reconnu les étapes du deuil du professeur Elisabeth Kübler-Ross

Tag(s) : #NOFW
Partager cet article
Pour être informé des derniers articles, inscrivez vous :
#WebSerie 2020 by TrendMicro
#NOFW 10 règles de sensibilisation à la cybersécurité