Bien se préparer à la gestion d’une crise cyber
Idées & initiatives
Comment faire face à une cyberattaque et maîtriser son impact ?
Aucune organisation n’est à l’abri de la cybercriminalité. Qu’elles soient techniques, financières ou qu’elles nuisent à sa réputation, les conséquences d’une cyberattaque sur une entreprise ne sont jamais anodines. Dans un tel contexte, anticiper et gérer une crise cyber est un impératif. Focus sur les grandes étapes d’une politique de cyber résilience !
Cyberattaques : toutes les entreprises sont concernées
En 2024, 69% des entreprises et 37% des établissements publics et collectivités territoriales ont été victimes d’une cyberattaque en France.
Toujours plus massives et sophistiquées, ces cyberattaques peuvent avoir de lourdes conséquences sur les entreprises : réduction ou arrêt d’activité, pertes financières, réputation détériorée, etc.
Si régulièrement les médias se font l’écho d’affaires de piratage de grands comptes ou d’établissements publics, les ETI et PME/TPE ne sont pas épargnées. Investir dans une politique de prévention et mettre en place un Plan de Gestion de Crise (PGC) n’est donc plus une option.
C’est une stratégie bénéfique. Mais comment procéder ? Quelles sont les étapes clés de la mise en place d’une stratégie de gestion de crise cyber ?
Étape n°1 : Anticiper pour être prêt le jour J
Disposer de bonnes pratiques d’anticipation permet :
- de stopper l’attaque avant qu’elle ne survienne,
- de limiter son impact si elle se propage.
Se préparer à une crise se joue aussi bien au niveau humain que technique. Quelles sont les grandes étapes de la préparation ?
- Évaluer les risques de cyberattaques pour identifier les menaces potentielles, les points faibles de la cybersécurité des systèmes et les actifs critiques de l’entreprise.
- Mettre en place une cellule de gestion de crise constituée de salariés dédiés et dotés de moyens techniques – ordinateurs sains, dispositifs téléphoniques, accès internet de secours.
- Déployer une procédure d’alerte pour pouvoir rapidement informer et mobiliser la cellule de crise.
- Sensibiliser et former les employés à la cybersécurité tout au long de l’année. La simulation et la formation sont les seuls moyens d’être en alerte sur d’éventuelles cyberattaques.
- Élaborer un Plan de Continuité d’Activité (PCA) pour assurer la continuité des opérations essentielles en cas d’attaque. Le PCA doit prévoir de conserver un historique des sauvegardes sur plusieurs semaines afin de remonter jusqu’aux dernières données précédant l’attaque, non infectées par un éventuel malware.
- Élaborer un Plan de Reprise d’Activité (PRA) pour restaurer les systèmes et les données.
Combien de sauvegardes ?
La règle des 3 – 2 – 1 s’impose : avoir 3 copies de sauvegarde sur 2 supports différents et 1 sauvegarde hors-site. Le PCA doit aussi préparer un fonctionnement off-line de l’entreprise pour permettre le télétravail ou le travail sur un site tiers loué pour l’occasion. Un fonctionnement dégradé en « mode papier » pour assurer les fonctions essentielles de l’entreprise doit également être prévu.
Étape n°2 : S’entraîner régulièrement
Il est important d’entraîner régulièrement les collaborateurs, le responsable de la sécurité des systèmes d’information, et l’équipe de gestion de crise via des exercices de simulation de cyberattaques.
Un peu à l’image des exercices de sécurité incendie, tout doit être simulé, répété régulièrement pour faire un état des lieux des carences de chacun, des faiblesses du plan de gestion de crise et être réactif le jour J.
Pour les entreprises qui ne disposent pas de cellule de crise cyber interne, il est capital de contractualiser avec un prestataire capable d’intervenir dans de telles circonstances.
Étape n°3 : Contenir la crise lorsqu’elle survient
Subir une cyberattaque est toujours stressant et déstabilisant pour une entreprise. Être préparé à ce type de situation permet à l’équipe de gestion de crise cybersécurité de garder son sang-froid, d’être réactive, de poser rapidement le diagnostic, d’adopter les bons gestes et de prendre rapidement des décisions de remédiation efficientes.
Lorsque le piratage est détecté, la cellule de gestion de crise interne ou le prestataire externe doit rapidement :
- Couper les accès Internet pour stopper l’attaquant.
- Identifier tous les équipements touchés et les isoler afin d’empêcher la propagation.
- Analyser l’incident pour identifier la nature et l’étendue de l’attaque.
- Identifier le moment exact de l’attaque pour recharger des sauvegardes saines.
- Communiquer en interne et externe pour informer rapidement et de façon transparente les salariés, les clients, les partenaires et la CNIL.
- Auprès de la CNIL : si la cyberattaque entraîne une violation de données personnelles, la notification doit être faite dans les 72h. Celle-ci doit inclure des informations sur la nature de la violation, les catégories et le nombre approximatif de personnes concernées, ainsi que les mesures prises pour y remédier.
- Auprès des salariés, clients et partenaires : informer toutes les personnes concernées si la violation des données présente un risque pour les droits et libertés. En externe, les réseaux sociaux rendent quasi impossible le secret d’une cyberattaque. Il faut donc être capable de livrer des informations tout au long de la crise. En interne, la communication sur l’événement auprès des équipes est un point généralement négligé. Or, une attaque interrompt souvent l’activité de l’entreprise. Impossible donc de faire l’économie d’informer régulièrement les salariés de la situation.
- Appliquer le PRA pour restaurer les systèmes et les données à partir des dernières sauvegardes et s’assurer qu’ils sont exempts des menaces.
Étape n°4 : Tirer les leçons de l’attaque
Le PCA (Plan de continuité d’activité) ou PCI (Plan de continuité informatique) est un élément clé du plan de gestion de crise. Il est mis en place pour assurer la résilience d’une entreprise face aux incidents majeurs pouvant perturber ses systèmes d’information.
Grâce à un PCI élaboré en amont d’une cyberattaque, l’entreprise minimise la perte des données, et est en mesure de redémarrer le plus rapidement possible un système d’information attaqué. Tirer les enseignements d’une cyberattaque donne à l’entreprise l’opportunité de perfectionner le plan de continuité informatique et le plan de gestion de crise.
Le retour d’expérience se fait autour de deux grands axes :
- Analyse post-incident pour repérer les failles du système
- Mise à jour des plans de gestion de crise
Nos 3 conseils-clés pour réussir sa sortie de crise
- Faire appel à un ou des expert(s) : enrayer une attaque informatique, nettoyer les machines puis remonter le système d’information demande beaucoup de ressources humaines. Il faut notamment pouvoir s’appuyer sur des profils cyber très pointus pour effectuer le Forensic de l’attaque, c’est-à-dire analyser ses modalités et définir les ressources qui ont été effectivement exposées et celles qui peuvent être considérées comme sûres. Il faut faire appel à des experts le plus tôt possible et ne pas se rendre compte au bout de plusieurs jours que l’on n’y arrivera pas seul.
- Ne pas minimiser le temps et le travail nécessaire à la remise en route. L’impact d’une crise cyber est bien souvent minimisé par les non spécialistes lors des premières heures. Le management peut estimer que c’est l’affaire de 2/3 jours pour redémarrer le système d’information. C’est rarement le cas. Non seulement la cellule de crise va devoir rester active pendant des semaines, mais la charge de travail est très importante. Il faut parfois des mois pour remonter un système d’information détruit. Il est donc nécessaire d’instaurer une rotation des équipes, savoir déléguer pour préserver l’efficacité nécessaire à la sortie de crise.
- Muscler la cybersécurité avant de redémarrer. Redémarrer trop vite peut être catastrophique : il n’est pas rare qu’une entreprise attaquée le soit à nouveau quelques mois plus tard. Il est nécessaire de rehausser le niveau de sécurité avant de connecter à nouveau le système d’information avec l’extérieur pour écarter ce risque.
Si face au risque cyber toute entreprise se doit aujourd’hui d’avoir un plan de gestion de crise, elle peut aussi, en complément de toutes ces bonnes pratiques, mettre en place de manière préventive le chiffrement de la donnée traitée, transmise et stockée. Cette mesure proactive, déployée en amont de toute attaque, rend la donnée illisible et donc inutile pour l’attaquant qui ne peut ni la commercialiser sur le Dark Web, ni tenter d’extorquer des rançons auprès de l’entreprise.
-
Un plan de gestion crise cyber réduit les impacts d’une cyberattaque et rétablit rapidement l’activité de l’entreprise. En actionnant rapidement les mesures de cybersécurité indiquées dans le PGC (Plan de Gestion de Crise), l’entreprise limite l’atteinte à sa réputation et les conséquences financières et d’une cyberattaque.
-
Une cyberattaque engendre deux sortes de coûts financiers : les pertes directes (paiement de rançons, frais de récupération des données…) et les pertes indirectes avec la diminution ou l’arrêt de la productivité et, en plus, la hausse des primes d’assurance.
