Ransomware – La gestion de crise au cœur de la résilience

« L’acte malveillant représente l’un des modèles commerciaux les plus puissants de la cybercriminalité actuelle, ». Il peut coûter jusqu’à 40 à 80 millions de dollars aux entreprises, qui souhaitent accéder à nouveau à leurs données. Il peut aussi mettre en péril leurs activités voire leur survie. »

Les victimes sont aussi humaines, notamment quand les hôpitaux et les dispositifs médicaux vitaux sont visés : en septembre 2020, une patiente admise aux urgences de l’hôpital de Düsseldorf n’avait pu être sauvée à temps, par les équipes médicales, une cyberattaque ayant bloqué tous les systèmes et les données de l’établissement.

Comprendre la chaine de valeur métier

Face à la recrudescence des attaques, « les organisations doivent ajuster leur état d’esprit autour du rôle de la sécurité en matière de ransomware, », indique un récent rapport d’Accenture notant que les stratégies de rétablissement adaptées aux plans traditionnels de continuité des activités ne suffisent plus.

« En amont comme en aval de l’attaque, la gestion des ransomwares relève trop souvent du domaine technique, i.e. autour de l’investigation technique » note Cédric L’Ollivier, Directeur Associé chez Accenture Security, en charge des services Cyber Défense pour la région Gallia (qui inclut la France et le Benelux). « La prévention, le traitement et la remédiation de la crise, sont bien souvent gérés par le responsable IT et sécurité, alors que tous les départements techniques, opérationnels, administratifs sont concernés. »

Aussi, pour Cédric L’Ollivier, l’organisation doit inclure tous ses métiers dans son approche ransomware : « La démarche doit passer par une cartographie complète de ses actifs et processus critiques, pour bien comprendre sa chaine de valeurs, répertorier tous les systèmes impactés et applications associées, et identifier les responsables du métier » préconise-t-il. « Le but est de définir et de prioriser les bonnes réponses en cas d’attaque, afin de minimiser les impacts opérationnels, financiers, les risques d’image ou de réputation » L’objectif principal reste avant tout la continuité opérationnelle : selon Deep Instinct, le temps de réponse moyen d’une organisation à une attaque par ransomware est d’environ 2 jours ouvrables.

Par ailleurs, « les cyberattaquants restent environ 11 jours dans les réseaux d’entreprise avant d’être détectés. Et ils ne sont souvent repérés qu’une fois leur demande de rançon notifiée à leur victime, » indique Sophos.

« Il faut en moyenne 18 jours à une société pour redémarrer sa production, » estime pour sa part Veeam. « Probablement dû aux problèmes d’échelle liés à la résolution de ce qui a été affecté, mais aussi à la diligence nécessaire pour confirmer que les systèmes restaurés étaient ‘propres’ avant d’être remis en production. »

Impliquer les dirigeants et tenir compte de l’écosystème de l’entreprise

Accenture constate également que les plans de préparation n’incluent pas assez souvent les dirigeants. « Durant la crise pourtant, des décisions très importantes et critiques doivent être prises : faut-il couper Internet, arrêter la production ? Quand, où et comment redémarrer l’activité, quelles sont les priorités… ? », liste M. L’Ollivier. « En se préparant et en s’impliquant en amont, le PDG, le comité de direction ou le conseil d’administration peuvent aider l’entreprise à récupérer plus rapidement. »

Autre point non négligeable, les plans de communication de crise existants manquent de transparence et d’agilité pour s’adapter aux nouvelles complexités cyber. Ils ne seraient pas toujours à jour, ni adaptés ou testés et n’impliqueraient pas les bonnes personnes. Sans frontières, les ransomwares ont en effet un impact sur tout l’écosystème de l’organisation : depuis les investisseurs, fournisseurs et tiers de confiance jusqu’aux clients, en passant en interne par les salariés et les métiers administratifs et opérationnels.

Moderniser la préparation à la crise

« Toute stratégie de réponse aux crises doit donc tenir compte de l’éventail des parties prenantes concernées, » conclut Accenture. En dehors du métier et de l’IT, différents départements viennent à être impliqués lors d’une crise : équipes juridiques, RH, marketing/relation publique, etc.

« Un plan de communication doit être agile, prendre en compte la complexité d’une cyberattaque, qui bien souvent évolue. Quand un système est impacté, il y a souvent des mouvements latéraux, de l’exfiltration de données… », ajoute M. L’Ollivier. « Aussi, l’entreprise doit être en mesure de communiquer de manière transparente et ouverte, avec précaution, dans les temps, auprès des bonnes personnes, au bon moment. » Le contenu des communications avec les différentes parties et l’identification des canaux de communication doivent être préparés en amont, de même que les besoins en termes de reporting, d’audience et de timing.

Un plan de réponse à incident cyber doit donc tenir compte de tout l’écosystème de l’entreprise : des salariés aux dirigeants, les équipes opérationnelles, techniques et administratives, sans oublier l’écosystème externe comme les fournisseurs, les clients et les autorités. L’identification de l’ensemble des parties et des besoins afférents de communication sont donc essentiels dans la préparation du plan. Une fois le plan validé avec les parties prenantes, il est important que ces dernières soient sensibilisées et formées afin que le plan soit connu de tous. Enfin, il devra être testé lors d’exercices de simulation de crise et régulièrement mis à jour, car le métier comme le paysage des menaces évoluent constamment.