Comment faire face à une cyberattaque ?
Les bonnes pratiques
Lorsqu’une entreprise subit une cyberattaque, elle est fragilisée. L’entreprise peut facilement se faire submerger par les événements et être amenée à prendre de mauvaises décisions. À ce moment-là, deux questions s’imposent : comment gérer cette crise cybersécurité ? Comment redémarrer l’activité en toute sécurité et éviter de prochains incidents cyber ? Pour y arriver, il faut adopter les bons gestes lorsqu’on relance le système informatique.
Dans cet article, YPSI SAS vous donne les bonnes pratiques pour faire face à une crise cybersécurité et relancer son système d’information après cette crise.
Anticiper les cyberattaques
Afin de gérer au mieux une crise cybersécurité, il faut pouvoir anticiper les risques que court le système d’information. Il convient de construire un document qui regroupe les risques qui pèsent sur le système d’information sur l’entreprise, avec les solutions pour les résoudre.
Ensuite, il faut identifier les serveurs et leurs fonctions pour pouvoir les classer du plus critique au moins critique. Puis pour chaque élément déterminé, il faut attribuer un niveau de disponibilité, d’intégrité et de confidentialité. Cela permet d’établir un plan de sauvegarde, un plan de reprise d’activité (PRA) ainsi qu’un plan de continuité d’activité (PCA).
Lors du développement du PRA / PCA, il faut indiquer les acteurs de la cellule de crise et leurs rôles respectifs :
- Le pilote de crise
- Les experts fonctionnels système d’information
- Le secrétaire de crise
- La communication interne/externe
Une liste de contacts internes et des fournisseurs est également à intégrer. Le but est d’avoir toutes les informations au même endroit pour être efficaces lors d’une crise. Lorsque ces documents sont rédigés, il est important de les maintenir à jour et de les mettre à l’épreuve à travers des simulations de crise. L’objectif est de s’assurer que les méthodes décrites soient plausibles et réalisables, en plus de fournir un entraînement sur la gestion d’une crise.
Côté technique, il est important d’avoir de la supervision informatique afin de suivre l’état du système en temps réel. Il faut aussi acquérir un SIEM pour centraliser les journaux d’événements, des équipements, avoir des remontées d’alertes en cas de comportement suspect et d’être informé du niveau de sécurité de chaque machine.
Gestion d'une crise cyber
Une fois l’incident détecté, la cellule de crise doit être activée pour pouvoir prendre les décisions sur les actions à faire. Dans un premier temps, il faut évaluer l’incident pour déterminer sa gravité, son étendue et son impact sur le fonctionnement de l’entreprise.
Ensuite, il faut empêcher la cause de la cyberattaque de se propager dans votre informatique et d’aggraver la situation. Pour cela, la chose à faire est de débrancher les machines du réseau ou d’isoler le matériel infecté du reste du système d’information. Il est primordial de laisser les appareils allumés afin de conserver toutes les preuves de la cyberattaque qu’ils contiennent. Vous vous servirez de ces preuves pour appuyer votre dossier lors du dépôt de plainte.
Ces actions sont faites en collaboration avec les experts fonctionnels système d’information interne ou externe, comme l’ExpertCyber YPSI SAS, pour prendre les meilleures décisions. Il est possible d’enclencher le PCA, si les systèmes ne sont pas atteints pour maintenir l’activité critique de l’organisation.
Il est nécessaire de collecter les preuves de la cyberattaque avant de faire toutes autres actions sur les machines concernées. L’objectif est de s’en servir pour appuyer la plainte comme dit précédemment, mais aussi de pouvoir analyser l’incident. Cette analyse permettra de connaître la cause et l’origine de la cyberattaque, et aussi d’avoir une base de données pour empêcher que cette cyberattaque ne se reproduise. Pour cela, l’entreprise doit mettre en place des éléments qui corrigent et préviennent des vulnérabilités utilisées.
À savoir que la collecte et les analyses peuvent être faites par un de vos prestataires, s’il a les compétences adaptées à cette gestion de crise. L’autre option est de faire une demande sur le site gouvernemental cybermalveillance. Vous aurez la liste des prestataires près de chez vous, agréés par la plateforme et reconnus comme qualifiés pour accompagner les entreprises durant une crise cyber. YPSI SAS fait partie de cette liste, n’hésitez pas à faire appel à nous !
En cas d’impact sur des données personnelles, ou en cas de pertes financières (faux ordre de virement, par exemple), l’incident doit être déclaré auprès des autorités CNIL, gendarmerie, police, ainsi qu’à la cyberassurance. Pendant toutes les étapes, il est important de communiquer avec les utilisateurs, les clients et les prestataires pour les tenir informés de l’état de la situation.
Remédiation à la cyberattaque
Lorsque les preuves sont collectées et les analyses terminées, il est possible d’enclencher le PRA en déterminant les données à restaurer et les systèmes à rétablir. Une fois les restaurations effectuées, une vérification est nécessaire pour s’assurer que tout est bien fonctionnel. De plus, la vigilance doit toujours être de mise pendant une certaine période, pour surveiller qu’une nouvelle cyberattaque ne se déclenche pas à nouveau par les hackers.
Si je n’ai pas de PCA / PRA ?
Les grandes lignes restent les mêmes. Seules les prises de décisions et les actions effectuées peuvent perdre de leur pertinence et de leur efficacité puisqu’aucune cartographie du système d’information n’a été faite, ni une liste des priorités sur les serveurs et les données.
Si du matériel redondant est disponible et n’est pas atteint par l’incident, il est possible de déployer les applications les plus essentielles dessus pour avoir une continuité d’activité. Sinon prenez votre mal en patience pour effectuer correctement la collecte de preuves et les analyses.
Une fois les analyses faites, il faut déterminer les systèmes et les données à restaurer en priorité, pour redémarrer l’activité le plus rapidement possible. Puis, ajouter au fur et à mesure les services secondaires.
Conclusion
Anticiper et investir dans un plan de prévention cybersécurité qui comprend l’aspect organisationnel, matériel et des formations, permet de limiter les risques. Ainsi, si votre entreprise est malheureusement visée par une cyberattaque, vous allez pouvoir gagner en efficacité puisque les personnes à contacter, les priorités des serveurs et des applications ainsi que les procédures ont été définies à l’avance.
De plus, si un plan de reprise d’activité (PCA) a été mis en place, cela permet de limiter les pertes financières dues à l’arrêt complet de l’activité. Toutes les bonnes pratiques sont décrites dans ce guide.
Aussi, YPSI SAS vous accompagne dans la prévention cybersécurité, la création de ces documents cyber (PSSI, PRA, PCA…), la mise en place de simulation de crise, ou encore, nous vous aidons à gérer une crise cyber. N’hésitez pas à nous contacter.
Notre offre audit cybersécurité en 2 jours
Un audit cybersécurité 360° en 2 jours, c’est chez YPSI SAS ! Évaluer votre maturité cybersécurité à partir de 16 critères dérivés des normes ISO 27001 et 27005. Nous faisons un audit des procédures et des comportements en cybersécurité des trois profils de votre organisation : la direction, l’équipe technique et les fonctions transverses.
Faites-vous accompagner dans leurs projets en cybersécurité par YPSI SAS, ExpertCyber labellisé par l’AFNOR sur la plateforme cybermalveillance.
Partagez cet article :