[Dossier] « Cybersécurité : il faut être prêt à l'attaque » - Sylvie Forero, Daf dans un groupe international
Publié par Mallory Lalanne le - mis à jour à
Pour assurer la continuité de son activité après une cyberattaque, Sylvie Forero, Daf dans un groupe international, a établi une cartographie des risques des services et activités sensibles et désigné un responsable de la gestion de crise pour réagir rapidement le jour J.
Le risque zéro n'existe pas. Ce constat, Sylvie Forero, qui a évolué comme Daf au sein de divers groupes internationaux, l'a dressé lors d'une intrusion par un logiciel tiers. Un partenaire extérieur à l'entreprise s'est connecté sur une machine qui devait être réparée, créant ainsi une brèche, une faille de sécurité dans le réseau et la supply chain du groupe international. « Cette attaque semble être arrivée de l'étranger dans une de nos filiales. Un ordinateur situé dans le service production n'étant pas suffisamment protégé, l'attaque s'est diffusée par messagerie via ce PC » , indique la directrice administrative et financière. Après trois jours de travail acharné, 600 à 700 ordinateurs sont reformatés en urgence. « Les systèmes de facturation et d'expédition étaient sous deux systèmes différents, ce qui a permis de contenir l'attaque, la propagation du virus et de limiter les dégâts. Notre service informatique, aidé par des partenaires extérieurs spécialistes de la cybersécurité, a travaillé pour reconfigurer les ordinateurs et les messageries. Les fonctions vitales de facturation ont pu repartir rapidement » , se souvient la Daf.
Une cartographie des risques
Il est très important d'établir un état des lieux et une cartographie de l'ensemble des risques de l'entreprise. « Il est essentiel de détecter l'ensemble des risques, des faiblesses de l'entreprise et d'identifier les services sensibles. » Une organisation qui permet de mettre en place une stratégie, de savoir à l'instant T quels activités et services peuvent supporter un arrêt, quels sont ceux qui doivent être poursuivis si l'entreprise est frappée. « Je n'ai, par exemple, pas mis la comptabilité sur le point du risque maximum, car on la rattrapera toujours. Il est en revanche primordial d'avoir un système de production, de facturation performant et protégé » , explique Sylvie Forero, pour qui il est impératif de réagir rapidement le moment venu. Pour assurer une continuité en cas d'attaque, l'entreprise doit désigner au préalable un responsable de la gestion de crise, qui saura qui contacter - un document listant les prestataires à contacter ayant été établi -, quelles actions mettre en place, comment conserver les données au maximum. « Il faut être prêt à l'attaque, savoir comment réagir, désigner les différents responsables, savoir également quelle sera la personne chargée de reconfigurer les ordinateurs, de communiquer auprès des salariés, des clients, des fournisseurs. Ce qui a été très important lors d'une attaque, c'est aussi le soutien constant des équipes de direction. L'équipe dédiée à la crise a communiqué chaque soir afin de présenter aux salariés les différentes étapes et phases du planning. C'est important pour que les gens sachent où on en est » , considère Sylvie Forero.
Des tests grandeur nature
La mise en place en parallèle d'actions de sensibilisation et de formation est également une clé, selon cette Daf. La réalisation, une à deux fois par an, de tests grandeur nature, en envoyant de faux mails à des salariés afin d'étudier leurs réactions, permet de tester les systèmes. « Les gens ne se rendent pas compte que derrière un mail anodin, il peut y avoir du phishing. Si une opération semble bizarre, nous incitons les collaborateurs à alerter immédiatement le système informatique. » Parmi les autres précautions utilisées : le changement régulier des mots de passe ou l'intégration d'une charte informatique. La connexion par l'intermédiaire d'un ordinateur personnel peut, par exemple, être interdite. « Une personne extérieure à la société ne peut pas se brancher sur le système. L'ordinateur est automatiquement regardé par le service informatique, ajoute Sylvie Forero. Il est par ailleurs important de tester les sauvegardes externes afin de s'assurer qu'elles fonctionnent le jour J. »
La remédiation : une réponse après une cyberattaque
L'Agence nationale de la sécurité des systèmes d'information (ou ANSSI) parle de remédiation pour reprendre la main sur ses systèmes d'information après une attaque cyber et publie régulièrement des guides* sur le sujet. Pour l'agence, la remédiation est l'une des activités de la réponse à un incident cyber, avec la gestion de crise et l'investigation. C'est un projet dont l'objectif est de poser les fondements pour une reprise durable du contrôle du système d'information par les défenseurs. L'exécution du projet de remédiation suit habituellement 3 étapes, soit l'endiguement de l'attaquant (pour empêcher l'aggravation de l'incident), l'éviction de l'intrus du coeur du SI (pour recréer une base de confiance d'où mener la reconstruction) et enfin l'éradication des emprises de l'adversaire (pour éliminer les capacités de retour de l'attaquant par des portes dérobées laissées lors de l'intrusion).
*Guides : Cyberattaques et remédiation : piloter la remédiation ; Cyberattaques et remédiation : les clés de la décision...