Selon le rapport annuel d’Hiscox sur la gestion des cyber-risques, 52% des entreprises françaises ont subi une cyberattaque au cours de l’année 2022. Un chiffre alarmant qui révèle la vulnérabilitédes organisations en matière de cybersécurité, mais aussi l’importance d’être prêt à faire face à une cyberattaque.
Si une bonne gestion de crise cyber vise avant tout à limiter les dommages et à rétablir le service, elle permet aussi de consolider les mesures de cybersécurité mises en place par l’entreprise, afin d’éviter toute récidive. Explications !
Gestion de crise cyber : quelles sont les mesures d’urgence à mettre en place ?
Lorsqu’une organisation vient tout juste de subir une cyberattaque, elle doit prioriser les actions à mettre en œuvre. Dans une situation d’urgence comme celle-ci, l’organisme doit ainsi :
- Restreindre les dommages et garantir la protection de son SI dans un premier temps ;
- Assurer la réparation et le renforcement de son SI dans un second temps.
Pour cela, elle peut opérer en 5 étapes.
#1 Désamorcer la cyberattaque et alerter
Afin de limiter l’intrusion, l’entreprise en proie à une cyberattaque doit isoler les systèmes attaqués le plus vite possible afin d’éviter la propagation. Pour cela, il est essentiel qu’elle déconnecte les ordinateurs, disques durs, terminaux ou tout autre appareil infecté du réseau informatique. Il lui est aussi conseillé d’alerter son support informatique afin que celui-ci puisse prendre en compte l’incident.
Point d’attention : il ne faut pas éteindre les terminaux attaqués – simplement les isoler – car les preuves de la cyberattaque pourraient disparaître.
#2 Neutraliser la cyberattaque
Une fois les appareils attaqués isolés, il s’agit maintenant de neutraliser l’attaque. Pour cela, il est conseillé de faire appel à des professionnels de la sécurité informatique, qui sauront identifier la source de l’attaque mais aussi évaluer son coût. Il est possible de contacter l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ou les équipes de Netsystem.
#3 Réunir les preuves de la cyberattaque
Il est crucial de collecter les preuves de la cyberattaque (copie des disques durs touchés, journal des connexions, compte-rendu des professionnels lors de la gestion de l’incident…) avant d’alerter les autorités.
#4 Porter plainte
Ces preuves permettront de porter plainte en priorité auprès du commissariat de police ou de la brigade de gendarmerie.
L’entreprise concernée est également tenue de notifier la cyberattaque auprès de la CNIL dans les 72 heures qui suivent l’évènement, si l’attaque concerne la violation de données à caractère personnel.
#5 Restaurer le système d’information
Une fois le danger écarté, l’organisation est à même de faire une remise en service progressive et contrôlée de son système d’information. Dans un second temps, il lui est conseillé de revoir sa politique de cybersécurité afin d’éviter toute nouvelle attaque.
Bon à savoir : certaines cyberattaques – telles que les rançongiciels – visent la prise en otage des données de l’organisation. Les pirates demandent alors une rançon en échange de la récupération des données. Néanmoins, même en cas de versement de la rançon, les organisations n’ont aucune garantie de récupérer leurs données… C’est pourquoi, il est conseillé de ne JAMAIS céder à ce chantage.
Gestion de crise cyber : l’importance de sécuriser le SI une fois le retour à la normale effectué
Si les mesures d’urgence permettent de rétablir le SI de l’organisme, après une cyberattaque, il est important de revoir en profondeur tout le système de sécurité de l’entreprise. Il s’agit d’identifier les failles de sécurité de l’organisation, puis de mettre en place des mesures pour que l’incident ne se reproduise pas.
Réaliser un audit de sécurité
Premièrement, il est fortement conseillé à l’organisation attaquée de réaliser un audit de sécurité. Celui-ci permettra d’analyser en profondeur l’état du SI et de comparer son niveau de conformité avec les référentiels. Cet audit – à la fois technique et organisationnel – est primordial pour identifier les points de vulnérabilité de la structure et bâtir un plan d’action efficace, permettant de réduire les risques de cyberattaque.
Lire aussi : Audit de sécurité : comment auditer mon système d’information ?
Mettre en place des processus de sécurisation
Le diagnostic apporté par l’audit permet ensuite à l’organisation de consolider ses mesures de sécurité. Si celles-ci diffèrent selon la taille et l’activité de l’organisme, voici néanmoins quatre mesures à mettre systématiquement en place.
- Mettre ses logiciels à jour : système d’exploitation, ordinateurs, tablettes, smartphones, applications…Tout le matériel informatique utilisé par les collaborateurs doit être régulièrement actualisé.
- Faire des sauvegardes régulières de l’ensemble des données de l’entreprises sur des supports différents, dont au moins un hors-site.
- Former ses collaborateurs : parfois, l’ouverture d’une seule pièce jointe suffit à compromettre l’ensemble du SI d’une entreprise. Campagnes de prévention, mise à disposition de ressources, formations sur-mesure… il existe de multiples moyens pour limiter les erreurs humaines.
- Initialiser un dispositif de prévention et de gestion de crise : avoir un dispositif au bon niveau pour prévenir puis gérer les situations à risque, rester opérationnel dans la durée (tests à blanc) et démontrer son niveau de préparation (clients, assureurs, autorités).
Gestion de crise cyber : anticiper et maîtriser les attaques grâce au PCI
Pour anticiper et gérer au mieux les attaques, les organisations ont la possibilité de réaliser un Plan de Continuité Informatique (ou PCI). Celui-ci s’inscrit dans une démarche plus globale de gestion des risques appelée le PCA (plan de continuité d’activités).
Le PCA est un document qui recense les processus et stratégies à adopter en cas de crise pour l’entreprise. Il permet à l’organisation d’anticiper et d’agir correctement lors de n’importe quel incident pouvant impacter le bon fonctionnement de son activité.
Lire aussi : Plan de continuité d’activité : définition et mise en place en 5 étapes
Le PCI couvre toute la partie du PCA concernant les systèmes d’information. Souvent négligé, sa mise en place est pourtant essentielle car elle garantit le bon fonctionnement des activités et la reprise des services lorsque le SI est touché.
Dans le cadre d’une cyberattaque, le PCI va ainsi permettre à l’organisation :
- D’analyser les risques : arrêt total de l’activité de l’entreprise, perte de données, fuite d’informations…
- De hiérarchiser les données à protéger : il est essentiel de déterminer la nature de chaque donnée (stratégique, confidentielle, sensible ou basique), pour prioriser leur protection.
- D’établir une stratégie : ce plan d’action rédigé permettra de connaître la marche à suivre en cas de cyberattaque, sans céder à la panique.
- De réduire les vulnérabilités : le PCI ne vise pas uniquement à se protéger en cas de sinistre mais permet de mettre en place des mesures préventives pour éviter les cyberattaques. Systèmes de secours, processus de sauvegarde de données, modification des mots de passe… Tout doit être étudié !
Point d’attention : pour être efficace, un PCI doit être régulièrement testé. Cela permet de s’assurer que les mesures prévues sont toujours adaptées, et d’anticiper les nouvelles menaces.
Besoin d’être accompagné dans la sécurisation de votre SI ? Expert des Systèmes d’Information et de la cybersécurité, Netsystem aide les organisations privées et publiques à sécuriser leurs systèmes d’information de bout en bout. Audit de sécurité, PCA, PCI, plan d’action, formation… Notre équipe d’experts vous propose un accompagnement sur-mesure, adapté à vos besoins et enjeux de sécurité informatique. Envie d’en savoir plus ? Contactez-nous !