Incompréhensible… Déjà hackée en 2011, la firme Sony a renouvelé ses erreurs fin 2014. Nous vous proposons, extraits de cette douloureuse expérience, 6 conseils pour vous préparer à affronter, non pas la problématique technologique d'une attaque en règle de votre SI, mais en limiter les dommages et assurer la gestion de crise.
Accusée de laxisme à la suite de la cyber-attaque qui a largement écorné son image fin 2014 (lire « Sécurité – Il y aura un avant et un après Sony »), la direction de Sony Entertainment n'a pas su gérer la crise alors qu'elle avait déjà affronté la même difficulté en 2011. A l'époque, l'attaque sur le réseau Playstation Network avait bloqué le service et exposé l'information financière de 77 millions de membres.
Rebelotte le 24 novembre 2014 : des pirates informatiques pénètrent le système d'information de la division cinéma de Sony, dérobent plusieurs dizaines de téra octets (To) d'informations, et ne laissent rien derrière eux en quittant les lieux. Suite à la première expérience de hacking, Sony aurait dû être préparée à affronter la situation de crise dans laquelle le vol de données l'a plongée. Il n'en a rien été !
Dans ces conditions, Sony s'est vue contrainte de recruter dans l'urgence des gestionnaires de cyber-sécurité et des experts en gestion de crise. L'objectif pour les premiers a été d'évaluer les vulnérabilités du système – il était temps ! -, et pour les seconds de gérer les retombées politiques du hacking. Des retombées qui continuent de se prolonger dans le temps, pour une déplorable gestion de crise qui pourrait rapidement faire école.
6 conseils pour se préparer
Imaginez-vous à la place du DSI ou du RSSI de Sony. Ce pourrait être notre premier conseil. Comment réagir en cas de cyber-attaque ? Comment atténuer les dommages ? Vous n'êtes pas à l'abri de vous retrouver dans une situation de crise, nous vous proposons de l'anticiper avec 6 conseils tirés du bon sens.
1 - L'attaque est inévitable, tenez vous prêts
Quels qu'aient pu être vos investissements technologiques, votre SI sera attaqué, de l'extérieur ou de l'intérieur. Il faut en avoir conscience, et surtout ne pas baisser les bras d'avance, car meilleures seront vos protections, et plus faibles seront les conséquences de l'attaque.
2 – Sensibilisez vos équipes au vol de données personnelles
Ce que les hackers recherchent, ce sont en priorité les données personnelles des équipes de l'entreprise et de ses clients. Une denrée qui se monaye facilement au marché noir de l'Internet. Si les attaques peuvent concerner d'autres domaines – des scénarios et des copies de films non sortis en salle dans le cas de Sony – dans quasi tous les cas les données privées sont une denrée très prisées des pirates – les emails privés des dirigeants dans le cas de Sony. Le phénomène est d'autant plus important que le partage d'informations privées est devenue une norme sur le Net. Certains experts américains affirment même que « la vie privée est une relique de la vie avant Internet ». La DSI et l'encadrement de l'entreprise doivent être conscients et préparés à cela.
3 – Identifiez les stages de risques et préparez vos réponses
Posez vous des questions clés sur les violations possibles de votre SI et identifiez tous les stades de risques. Par exemple :
- Qui sont les hackers ?
- Quelles sont leurs motivations ?
- Quels sont les modèles d'attaques probables sur mon SI ?
- Quels sont les risques pour les employés et clients ?
- Quelle est l'exposition de mon entreprise ?
- Quels sont les risques par la marque et l'image ?
- En tant que responsable, que suis-je prêt à accepter ?
4 – En cas de crise, réagissez vite
En novembre dernier, Sony a mis 5 jours avant de réagir. Les internautes ont constaté les dégâts avant que l'information officielle ne circule. Sony a perdu toute crédibilité. Lorsque la crise intervient, il est souvent trop tard. En revanche, comme le dit l'adage, « il vaut mieux prévenir que guérir ». En réagissant vite, vous devancerez vos pairs, les directions métiers, votre direction générale, et la rumeur. Si vous pensez que c'est nécessaire, recrutez des experts, prévoyez des contrats avec des temps d'intervention courts, et à tout moment de l'année.
5 – Adoptez une réaction proportionnée
Nouvelle erreur de Sony, la firme a minimisé la menace et les effets de l'attaque. Dans les deux affaires de hacking dont elle a été victime, elle se retrouve accusée de laxisme. Si toutes les attaques ne méritent pas la même réaction, celle-ci doit être proportionnée à la gravité de l'attaque, à ce que vous attendez de votre gestion de crise, et que vous aurez déjà évoqué au conseil 4. Préparez-vous au pire ! Et planifiez des réponses à des problèmes potentiels qui pourraient être liés à la crise principale.
6 – Analysez post-crise
L'analyse post-crise est partie intégrante des processus de traitement de la crise. Elle est essentielle. A vous et vos équipes d'identifier les évènements et leurs conséquences. Et de mettre en place les processus, les systèmes et les mentalités qui vous assureront qu'un problème ne se reproduise, ou au moins d'en atténuer les dommages.