Cybersécurité, comment s’organiser en cas de crise
“Il n’y a en réalité que deux types de sociétés: celles qui ont été attaquées et celles qui ont été attaquées mais ne le savent pas encore”. Comme Alain Bouillé le souligne à juste titre, la gestion de crise en matière de cybersécurité a un rôle essentiel à jouer au sein des organisations. En réalité, la montée exponentielle des menaces nécessite de s’organiser pour faire face aux attaques de front et dans les meilleures conditions.
Pour les organisations, il ne s’agit plus de savoir si, mais plutôt quand elles seront victimes d’un incident de sécurité majeur et quels réflexes devraient être adoptés à ce moment-là.
A découvrir également : Quel est le rôle du netlinking dans le référencement SEO ?
Les entreprises sont conscientes du besoin croissant (et parfois même de l’obligation) de protéger leurs ressources de données des menaces à la cybersécurité. De plus, il est important de déployer les moyens de prévention et de défense en fonction des enjeux, à savoir la lutte contre l’espionnage industriel et la protection des informations sensibles, etc.
Que ce soit dans une entreprise privée ou publique, à l’échelle nationale ou même mondiale, une crise peut survenir à tout moment et se répandre comme une traînée de poudre. Pour répondre à la crise, chaque organisation doit adopter une procédure parfaitement adaptée à son environnement, permettant une coordination à la fois urgente et efficace.
A lire en complément : Quelle différence entre WhatsApp et les SMS ?
Plan de l'article
Etude de cas : fuite de données dans le magazine L’Express
La crise qu’a connue l’hebdomadaire français L’Express au début de l’année 2018, qui a affecté les données de près de 700 000 lecteurs, est représentative de la réalité de ces enjeux. Le magazine avait laissé un serveur contenant une base de données renfermant les informations personnelles de ses lecteurs sans protection pendant plusieurs semaines. La base de données contenait leurs noms complets, leurs adresses et leurs titres d’emploi. Bien que le magazine ait été alerté de la fuite à plusieurs reprises, il n’est pas intervenu immédiatement, ce qui a permis aux pirates informatiques malveillants de demander une rançon.
Quels éléments étaient en faute ici ? Tout d’abord, la base de données des lecteurs, l’atout stratégique du magazine, s’est révélée dépourvue de sécurité suffisante. Il ne s’agit pas seulement d’un défaut technique : l’absence de réponse de l’hebdomadaire suggère également une défaillance au sein de l’organisation.
Cette sécurité insuffisante a été amplifiée par l’incapacité apparente de la société à agir rapidement pour résoudre le problème, qui a continué de compromettre les actifs concernés. Finalement, après la couverture médiatique de l’événement, la situation du magazine est rapidement passée d’un incident à un état de crise, en raison des difficultés de l’entreprise à gérer l’exposition publique de son atteinte à la sécurité.
Ces défaillances ont empêché l’organisation d’aller de l’avant, de gérer correctement l’incident et de conserver une résilience adéquate à la situation de crise.
Les 3 étapes pour une gestion de crise réussie
La gestion d’un incident de sécurité majeur implique une organisation rigoureuse et bien planifiée avec des étapes bien définies. Lorsque l’incident majeur perturbe les activités normales de l’organisation, l’entreprise est en crise. Dans la mesure du possible, il ne faut pas attendre qu’un incident grave se produise avant d’y réfléchir : la clé d’une gestion de crise réussie est la prévoyance.
Étape 1 : Anticipation et préparation
Anticiper signifie mettre en place un système de réponse aux incidents incluant toutes les parties prenantes (sécurité, juridique, communications, etc.). Il est essentiel de disposer d’un processus de gestion de crise, même bref.
Certaines mesures utiles pourraient être proposées, à savoir :
- Implémentez une matrice RACI : elle attribue les rôles et les responsabilités qui détermineront qui est concerné en cas d’incident de sécurité majeur, qui intervient, le rôle de chaque personne et les actions à mettre en œuvre dans une telle situation.
- Déployer une logistique spécifique : cela implique de se doter des moyens nécessaires pour mener une gestion de crise sereine. Il peut s’agir de créer un lieu spécial avec un accès restreint (par exemple, un centre de crise), en tenant compte des ressources humaines (en particulier si vous travaillez de nuit pour que les membres de l’équipe d’intervention puissent travailler toute la nuit, faire des pauses régulières, manger, faire un thé ou un café, etc.).
- Déterminez comment se déroulera la gestion de crise : la méthodologie choisie pour diriger les différentes opérations de remédiation, pour déterminer qui supervisera et s’il y a des étapes clés à retenir. Par exemple, il est utile d’organiser des briefings quotidiens au début et à la fin de chaque journée pour consolider l’information avec l’ensemble de l’équipe, pour noter les actions de chacun, pour anticiper quelles autorités internes doivent être informées, pour prévoir si des organismes publics doivent être informés.
- Rechercher des réactions : l’objectif ici est de rédiger un rapport sur la gestion de la crise, d’organiser des retours d’informations sur les mesures à prendre pour améliorer la gestion, de dissiper les points de blocage pour les crises futures ou même d’avertir les autres acteurs du marché dans le but de favoriser la coopération.
Planifier un processus à l’avance vous permettra de gagner du temps en période de crise et de d’orienter les mesures à prendre.
Étape 2 : Diagnostiquer, prendre des décisions et agir
Dès qu’un incident de sécurité est connu, l’organisation doit pouvoir le classer : s’agit-il d’un “incident simple” ou l’entreprise est-elle au point de rupture et donc confrontée à une crise imminente ? De plus, les données sont-elles affectées ? Quels systèmes sont touchés ? Quelles sont les premières lignes d’investigation et de confinement à prendre ? Comment peut-on mettre fin à l’incident et le résoudre ?
Une fois l’incident classé, le plan d’action établi peut être mis en œuvre et, si nécessaire, une cellule de crise chargée de confiner, de bloquer et de résoudre les conséquences de l’incident grave tout en documentant les événements survenus au cours du processus de gestion sera mise en place.
- Mettre en place une cellule de crise : toutes les parties prenantes y participeront. Cela implique des experts en sécurité et en informatique, bien sûr, mais également du personnel de la direction et du service financier (en cas d’attaque par ransomware, par exemple), ainsi que des chefs d’équipe en fonction des services affectés par l’incident majeur. Concrètement, il s’agit de mettre à disposition des locaux, de planifier les fournitures afin que l’équipe puisse travailler sans être interrompue, etc. Du point de vue technique, si un système d’information traditionnel est compromis, il est souvent essentiel de mettre en place un système d’information parallèle. Par exemple, en cas d’élévation de privilège (EOP), les attaquants prendront le contrôle de l’ensemble du système : les ordinateurs et les boîtes de réception ne seront plus fiables. Les mesures de sécurité traditionnelles seront désormais inopérantes parce que les agresseurs ont réussi à prendre le contrôle de celles-ci.
- Documenter scrupuleusement la gestion de crise : une crise peut bloquer et / ou compromettre le système d’information de l’organisation. La tenue d’un journal de bord au début de la crise devrait de préférence être réalisée sous forme papier afin de consigner toutes les actions entreprises par les membres de l’unité. Chaque jour, la cellule de crise doit suivre un cycle d’opérations comprenant une réunion du matin, une réunion intermédiaire et une réunion du soir et en rendre compte à la haute direction. L’objectif ici est de restaurer et de nettoyer le système afin que les opérations puissent continuer. Ensuite, les points d’apprentissage de cette crise seront enregistrés pour trouver les causes de la compromission et résoudre les éventuels dysfonctionnements du système.
Il est essentiel de recueillir des preuves et, dans la mesure du possible, de documenter chaque étape. Cela permettra de prouver que tous les moyens possibles ont été mis en place pour résoudre la crise, mais aussi d’alimenter les informations recueillies lors de toute plainte éventuelle. Une documentation complète de l’événement permettra à l’organisation de passer à l’étape suivante : la communication et la notification.
Étape 3 : Notification et communication
En cas d’incident majeur de sécurité, le GDPR (règlement général sur la protection des données) s’attend à ce que le responsable des données en informe les autorités compétentes au plus tard 72 heures après l’avoir constaté. Cette notification peut s’accompagner d’une obligation d’alerter les parties concernées en cas de risque accru concernant leurs droits et leurs libertés.
Le responsable des données doit pouvoir analyser la situation et centraliser les informations requises pour la notification le plus rapidement possible.
Dans l’ exemple de fuite de données L’Express , si le GDPR était applicable en janvier 2018, le magazine aurait alors dû procéder à ladite notification de violation dans les délais impartis à la Commission nationale de l’informatique et des libertés (CNIL, l’agence française de protection des données). Cette notification aurait été accompagnée de certaines informations obligatoires telles que la nature des données personnelles violées, les catégories de données concernées et les personnes concernées, une description des conséquences probables ou même les mesures prises pour la résoudre.
La notification obligatoire des incidents de sécurité n’est pas seulement le domaine du GDPR. Il est également appliqué à certains secteurs ou à des organisations spécifiques, d’où par exemple, en France, les raisons pour lesquelles des opérateurs vitaux doivent notifier à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) toute violation de la sécurité. Les organisations de santé, en revanche, doivent signaler ces incidents aux agences de santé régionales dès que possible.
La gestion de crise est inévitable pour une organisation résiliente
Une crise a toujours des conséquences. Que cela porte atteinte aux intérêts de l’organisation ou aux personnes dont les données ont été affectées, les répercussions sont quasi systématiques. Pour réussir la gestion de crise, il est nécessaire de faire preuve de prévoyance et de mettre en œuvre une solution adéquate pour résoudre le problème efficacement.
La gestion de crise est inévitable et jamais facile. C’est ce processus qui permet à une organisation de reprendre ses activités le plus rapidement possible et de mettre en œuvre des mesures de prévention pour éviter que ce type de situation ne se reproduise. Il est donc nécessaire de réfléchir à la gestion des incidents majeurs de cybersécurité et de rechercher un soutien sur la manière de s’y prendre.