« Dans la peau d’un RSSI face à une cyberattaque »

Dans le cadre du Mois européen de la cybersécurité, piloté en France par Cybermalveillance.gouv.fr et son initiative Cybermoi/s, F24, un fournisseur de solutions logicielles pour la gestion de crise, l'alerte et la communication critique des entreprises, a organisé un webinaire interactif le 15 octobre dernier.Ce webinaire avait pour objectif de sensibiliser aux bons gestes à adopter lors d'une cyberattaque, à travers un scénario fictif où chaque participant devait prendre des décisions face à la crise.

L’ espace d’un moment, je me suis retrouvé dans la peau du RSSI du groupe Crisix, un fabricant de machines industrielles automatisées qui connaît une forte expansion commerciale. Une cible de choix pour des cybercriminels dont je ne tarde guère à découvrir les intentions malveillantes. Alors que je viens de me connecter à mon ordinateur, je remarque la lenteur anormale de celui-ci. Rapidement, je suis bombardé d’appels et de SMS de collègues qui rencontrent les mêmes difficultés.

Quelle mobilisation déclencher ?

Tout s’explique très vite. Les pirates ont introduit un rançongiciel dans un serveur de données de l’entreprise qui est désormais inaccessible. Sauf à cliquer sur un lien fourni par les cybercriminels pour récupérer une clé de déchiffrement sur le Dark Web en échange du paiement d’une rançon. La situation est critique. Que faire ?

La première question posée aux participants est capitale lors de la découverte d’une cybercrise en cours. Quels sont les acteurs clés à mobiliser d’emblée et en urgence sans pourtant créer la panique ou oublier des personnes clés ? Quatre choix nous sont proposés :

activer la cellule du PCA,
mobiliser l’équipe de gestion de crise,
contacter le service informatique
ou alerter le PDG.

Très vite, le vote se porte sur l’activation de la cellule de crise. C’est effectivement la bonne décision. Celle-ci est la première instance à entrer en action lorsqu’une cyberattaque frappe. Elle va immédiatement mettre en place l’historique à travers une main courante qui retrace tous les faits intervenus et enclencher les premières actions en fonction des périmètres de compétence de ses membres et des procédures de crise existantes.

Jusqu’où communiquer ?

Dans ce scénario évidemment raccourci pour les besoins de l’exercice, il s’agit ensuite d’alerter rapidement toutes les personnes concernées, à commencer par les collaborateurs pour éviter que l’attaque des pirates n’engendre d’autres effets collatéraux sur l’infrastructure informatique de l’entreprise. Que mettre dans le message d’alerte ? D’abord, des éléments de contexte qui permettent à chacun de disposer d’une vue globale de la situation sans pour autant tout dévoiler. Cela serait prendre le risque d’informer les pirates.

Ensuite, des consignes doivent être données avec en premier lieu, la cessation de toute activité sur les ordinateurs. Le passage de l’activité en mode dégradé avec les bons vieux papiers et crayons est impératif. Dans certains cas, il convient de débrancher tous les appareils connectés à des zones critiques. L’objectif étant d’enrayer toute propagation ultérieure de la cyber-attaque.

Autre point souligné : cibler par groupes métiers avec des consignes concrètes et claires d’actions à faire ou ne pas faire sans noyer tout le monde avec des instructions massives. Et surtout, privilégier des canaux de communication en dehors du périmètre attaqué comme les appels téléphoniques, l’envoi de SMS, voire le recours à une application spécifique sécurisée comme le propose F24 dans ses outils SaaS.

Dernier point à intégrer : surveiller les réseaux et forums spécialisés extérieurs qui sont souvent très au fait des cyberattaques se produisant. En fonction de la situation, il s’agira alors de calibrer une communication externe adaptée qui vise en priorité à rassurer les parties prenantes potentiellement les plus exposées comme les fournisseurs et les clients.

Comment réagir face aux cybercriminels ?

La crise bat son plein et les cybercriminels s’impatientent. La tension monte d’un cran. Doit-on les contacter ou au contraire, éviter toute communication avec eux ? Faut-il déléguer d’éventuelles négociations aux autorités ? Doit-on payer la rançon pour obtenir les clés de déchiffrement qui permettront de récupérer et reconstituer les données dérobées ? À ces questions cruciales, il n’y a pas de modèle unique de réponse. Hormis le fait qu’il est fortement conseillé par l’ANSSI de ne jamais lâcher de l’argent. Cela ne garantit nullement d’avoir en retour des clés de déchiffrement de qualité (sans parler du risque de virus pouvant être à nouveau introduit et de l’image de « bon payeur » que les pirates auront de l’entreprise).

La prise de contact avec les cybercriminels peut en revanche s’envisager. Elle peut être particulièrement utile pour déterminer le profil des assaillants. S’agit-il juste d’un amateur qui s’est procuré un kit de rançongiciel sur le Dark Web pour juste 36 euros ou bien d’une bande très structurée qui dispose de moyens importants ? En fonction, cela peut aider à aiguiller les décisions, tenter de faire baisser les prix ou encore de gagner du temps pendant que les équipes SI de l’entreprise sont à l’œuvre pour éradiquer le problème. À cet égard, ces dernières peuvent également s’appuyer sur un site comme celui du No More Ransom Project édité par des services policiers spécialistes du cybercrime et des sociétés spécialisées en sécurité informatique.

On touche au but !

Ca y est ! Le rançongiciel a enfin été neutralisé. L’entreprise a pu éviter de payer les criminels. Les systèmes informatiques vont pouvoir repartir progressivement. Cela signifie-t-il la fin de la crise pour le RSSI que nous avons été l’espace d’un temps ? Pas vraiment !
Tout d’abord, il lui faut documenter toutes les preuves de l’intrusion (journal des logs, fichiers corrompus, etc.), rédiger le rapport qui compile tous les faits survenus et les mesures de sécurité prises. Rapport qu’il faut partager avec le comité de direction de l’entreprise. Et en cas de violation de données personnelles, il est également obligatoire d’avertir la CNIL (Comité national de l’Informatique et des Libertés) dans un délai de 72 heures.

La conclusion heureuse de l’exercice de simulation insiste également sur la nécessité de maintenir un niveau de vigilance constant et élevé, notamment à travers des mises à jour des pare-feux et des antivirus ainsi que des sauvegardes régulières des serveurs de données. Sans oublier non plus que l’anticipation et des formations via des exercices de simulation sont également d’excellents moyens pour tester et améliorer en permanence les protocoles de sécurité. Les cybercriminels ne s’arrêtent jamais et sont très souvent à la pointe des dernières innovations technologiques. Autant s’en prémunir au maximum avec une posture proactive !