Se remettre d'une cyberattaque peut prendre des semaines alors que la notion de temporalité est plus que jamais critique. Toutefois, avec des stratégies adaptées et des outils appropriés, les organisations peuvent réduire considérablement ce délai, limitant ainsi les pertes financières, les enjeux réputationnels et les nombreuses autres conséquences négatives. Pour cela, il est nécessaire de remettre en question ses habitudes et d'adopter des méthodes de reprise innovantes.

Comprendre le processus de reprise

Sans une préparation adéquate, une organisation victime d'une cyberattaque doit faire face une interruption de service estimée à 24 jours en moyenne. Le processus de reprise se décompose en quatre étapes clés :
  1. Contrôler la situation : identifier l'étendue de l'attaque et contenir la menace.

  2. Communiquer avec les parties prenantes : informer clients, partenaires et régulateurs tout en gérant la communication de crise.

  3. Analyser et restaurer les données saines : garantir l'intégrité des informations essentielles.

  4. Reconstruire et relancer les applications : remettre en service l'infrastructure numérique.
Chaque phase est interdépendante et implique de multiples parties prenantes, ce qui complexifie le processus de reprise.

Gérer l’urgence avec prudence

Lors d'une attaque, il est crucial de ne pas se reposer uniquement sur l'environnement informatique existant. Il n’est pas rare que les pirates aient infiltré le réseau bien avant la détection de l’attaque, compromettant plus largement les systèmes et les données. Toute tentative de restauration précipitée présente ainsi un risque de relance de l’attaque comme la création de nouvelles failles ouvrant à de nouveaux virus.

Cette situation diffère d’une panne informatique générale, comme l’incident CrowdStrike, qui résulte d’une erreur réversible plutôt que d’une attaque malveillante. Dans une cyberattaque, l’entreprise doit partir du principe que toutes ses données et infrastructures sont compromises et agir en conséquence.

Adopter une approche méthodique à la reprise

La reprise doit être traitée comme une urgence médicale :
  • Tri des patients « infectés » : Identifier les systèmes critiques et évaluer leur niveau de compromission.

  • Intervention spécialisée : Confier les cas les plus graves à des experts en cybersécurité.

  • Salles d'opération sécurisées : Travailler dans des environnements isolés pour restaurer les systèmes sans risque de contamination.
L’objectif est d’accélérer la restauration tout en évitant des erreurs pouvant aggraver
la situation.

Les étapes clés de la reprise

  1. Premiers réflexes : 36 heures cruciales
Une fois l’attaque détectée, l’entreprise doit rapidement identifier les systèmes infectés, vérifier l’intégrité des sauvegardes et définir les mesures d’urgence. Cette phase implique de longues heures d’investigation et une mobilisation 24/7 des équipes.

Il est essentiel de collecter des informations avant de tirer des conclusions hâtives. La compréhension des mécanismes de l’attaque détermine la stratégie de réponse. Par ailleurs, les cyber-assureurs et les autorités peuvent imposer des délais supplémentaires pour leurs propres analyses.
  1. Une semaine pour restaurer les données
L’objectif est ici de fournir des copies « saines » des systèmes infectés. Toutefois, des obstacles peuvent survenir :
  • Sauvegardes obsolètes ou incomplètes.

  • Sauvegardes compromises par un rançongiciel.
Les entreprises doivent anticiper ces problèmes en :
  • Consolidant et mettant à jour leurs sauvegardes stratégiques.

  • Séparant physiquement les sauvegardes du réseau d’exploitation.

  • Testant régulièrement leurs procédures de restauration.
Une préparation rigoureuse accélère la récupération et réduit le temps d’arrêt.
  1. Reconstruction et remise en ligne : 14 jours
Avec des données « saines », les équipes peuvent commencer à restaurer les applications. Cependant, la complexité des infrastructures actuelles exige une approche coordonnée. Les systèmes interconnectés doivent être restaurés simultanément pour assurer un redémarrage optimal.

Grâce à la technologie de la « cleanroom » disponible dans un environnement "cloud-first", les équipes de récupération peuvent cartographier ces différentes connexions. Elles peuvent ensuite simuler des attaques et des récupérations pour tester leur réponse sous pression sans ajouter de coûts substantiels ou injecter de nouveaux risques informatiques. Ainsi, lorsque l'inévitable brèche se produit, il existe une réponse pour reconstruire non seulement les systèmes centraux, mais aussi les logiciels interconnectés.

Réduire le délai de reprise

Lorsque les entreprises peuvent réagir et récupérer les données et les applications simultanément, elles peuvent réduire de manière significative le délai de récupération habituel de 24 jours. La coordination, la continuité des transferts et les actions et réactions bien rodées aident les entreprises à tirer parti des services communs d'une plateforme de cyber-résilience pour accélérer le nettoyage.

Parallèlement, grâce à la technologie de Cleanroom, les entreprises peuvent rapidement utiliser leurs copies de sauvegarde sécurisées dans le cloud pour restaurer les instances de l'application ou effectuer une analyse approfondie du contenu des données pour mettre en évidence et purger les données corrompues. C'est ainsi qu'une équipe peut rapidement analyser et assainir le point de récupération critique pour accélérer le résultat « propre ».

Entraînement et préparation : Clés du succès

Aucune entreprise ne devrait improviser sa récupération face à une cyberattaque. Comme un chirurgien ne se lance pas dans une opération sans expérience ni le bon matériel ou l’exigeant niveau d’information essentiel, les équipes informatiques doivent s’entraîner régulièrement pour réagir efficacement en cas d’urgence.

Les "cleanroom" ou salles blanches existant dans le cloud offrent un environnement idéal pour s’entraîner, expérimenter et améliorer les processus sans impacter la production. Ainsi, en cas de crise, l’entreprise est prête à réagir et à se rétablir rapidement.

L’infrastructure numérique étant au cœur de l’activité des entreprises, il est crucial d’anticiper et de préparer la reprise. Soyons prêts, équipons-nous et entraînons-nous : la cyber-résilience est un investissement essentiel.

Par Xavier Bourdelois, manager avant-vente chez Commvault

ARTICLES SIMILAIRESPLUS DE L'AUTEUR