Les rares communications publiques des entreprises sur les intrusions et les dommages qu’elles ont subis donnent une idée de l’ampleur des conséquences. La liste est longue et non exhaustive, pertes d’exploitation, vols de données critiques, dégradation de l’image vis à vis des clients, partenaires et fournisseurs, coûts des prestataires en remédiation, etc.. Le Club des grandes entreprises françaises (Cigref) a publié des recommandations très détaillées pour affronter une situation de crise à l’attention des DSI et RSSI. Les premières mesures sont décisives.
En tête de liste figure l’organisation de la cellule de crise qui comprend d’un côté les responsables sécurité et les directions métiers, de l’autre les experts fonctionnels du SI que sont les responsables infrastructure, réseaux, applicatifs, etc. Un coordinateur est chargé de faire le lien entre ces deux cellules, décisionnelle et opérationnelle.
En deuxième lieu, il faut gérer les conséquences sur l’activité de l’entreprise. Outre l’aspect technique, le DSI doit être en lien avec le Comex (Comité exécutif), ne pas négliger la communication interne et externe avec la presse et les obligations légales, avec la direction juridique. Soit un niveau de stress maximal. Restaurer, maintenir ou renforcer la confiance des parties prenantes dans la capacité de l’entreprise à gérer la situation et à préserver leurs intérêts, cela suppose des actions coordonnées. Autre point, la résolution des problèmes nécessite des moyens qui ne sont pas ceux de la gestion courante et il faut, dans les cas graves, faire intervenir des prestataires externes.
L’entreprise doit revoir son mode fonctionnement normal
Lorsque la crise s’installe, parfois sur des semaines, les équipes DSI et métiers ont une charge de travail supplémentaire et de plus, en mode dégradé. L’objectif principal est de réparer et de reconstruire le SI. L’importance des sauvegardes, complètes et correctes est cruciale car elles sont le parachute de l’entreprise. En second lieu, il est nécessaire d’examiner l’origine de la cyberattaque. Autre aspect, les obligations légales qui exigent, notamment, de prévenir l’ANSSI et la CNIL.Préparer la sortie de crise consiste aussi à prévenir les sociétés d’assurance puis à constituer le dossier de preuves démontrant l’agression numérique caractérisée pénalement. Les clauses sont de plus en plus draconiennes face à l’augmentation du nombre des attaques. Une procédure judiciaire peut être lancée pour identifier et juger le ou les auteurs de la cyberattaque mais ce type d’action juridique est rarement couronné de succès.
Reste enfin à reconstruire le SI dans les règles en intégrant les protections ou les méthodes qui on fait défaut. Il s’agit, notamment, de l’élévation du niveau de sécurité de l’Active Directory et de la limitation des comptes à privilèges. Par exemple, le DSI ou le RSSI doivent déployer la technologie EDR sur tous les serveurs, lorsque c’est possible ainsi que sur les postes de travail. Autre remède parfois nécessaire, le cloisonnement des infrastructures centrales et locales.