L’incident de sécurité informatique, on en entend tout le temps parler, mais rares sont les organisations préparées à y faire face. C’est pourquoi OPPENS a compilé pour vous les 8 commandements de la gestion des incidents de cybersécurité, en s’inspirant de l’excellent travail du NIST (en anglais).
Avant l’incident : la préparation
1. Soyez préparé
Pourquoi ?
Ce n’est pas dans le feu de l’action, alors que la production est paralysée et que les coups de fil affluent de toute part, que l’on devrait se poser des questions sur l’organisation et la résilience de l’entreprise.
Toute stratégie de cybersécurité solide commence donc par mettre en place une capacité de réponse à incident.
Comment ?
- Définisser une organisation et une procédure de gestion des incidents : personnes à contacter, responsabilités de chacun, plans d’actions et procédures de fonctionnement dégradé… y compris des mesures contractuelles pour les intervenants extérieurs à l’entreprise (sous-traitant spécialisé en réponse à incident par exemple).
- Former les collaborateurs concernés par la gestion des incidents, mais aussi communiquer auprès de l’ensemble des collaborateurs sur les bonnes pratiques, sur les signaux suspects et sur les points de contact en cas de problème.
- Exercez vous régulièrement pour vérifier la connaissance par les collaborateurs et la pertinence des procédures de gestion des incidents
- Évaluez vous sur OPPENS.fr, notamment sur la sensibilisation des collaborateurs.
Pendant l’incident : la détection / analyse
2. Alertez les gestionnaires d’incidents ou la direction
Pourquoi ?
La cybersécurité est un sujet technique, il est donc important de pouvoir s’appuyer sur les bonnes personnes. Les gestionnaires d’incidents ont une compétence en cybersécurité et vont jouer les chefs d’orchestre dans le traitement des incidents, en animant l’équipe de réponse à incident.
Mais pour cela, il faut bien sûr qu’ils en aient connaissance.
Comment ?
Au moindre doute, alertez toujours le référent cybersécurité de votre organisation (par un exemple un RSSI). A défaut alertez le responsable informatique, voire la direction.
Ces personnes seront les mieux placées pour organiser et piloter la gestion de l’incident : consultez-les avant toute décision liée à l’incident et à ses conséquences, et informez-les régulièrement.
3. Analysez et qualifiez l’incident
Pourquoi ?
Dans le feu de l’action, on peut avoir envie de réinstaller tous ses PC et de redémarrer l’activité sans attendre, mais ce serait imprudent : avant de soigner le mal, il faut le comprendre.
Une réaction trop précipitée pourrait provoquer une stratégie inadaptée, manquer un foyer d’infection ou même aggraver la situation en alertant l’attaquant.
Comment ?
Encadrés par les gestionnaires d’incidents, les experts techniques et métier vont analyser les informations disponibles pour qualifier l’incident :
- Recueil et analyse des symptômes observés
- Priorisation de l’incident (principalement selon ses impacts)
- Notification des interlocuteurs concernés (cellule de crise cyber, experts de la réponse à incident…) : cela permet en particulier l’information sur les moyens de communication autorisés et l’organisation des réunions de suivi.
- Identification et surveillance des données et applications les plus critiques : une stratégie doit être décidée dans le cas où elles seraient menacées par l’incident.
Il est important d’impliquer tous les collaborateurs concernés, et seulement les collaborateurs concernés, dans la gestion de l’incident : spécialistes informatique et sécurité, représentants des métiers, direction, juridique, partenaires et sous-traitants…
Cette étape d’analyse est récursive : elle se répète et s’enrichit selon les informations collectées et l’efficacité des mesures de confinement et de remédiation. C’est l’une des raisons pour lesquelles une communication régulière vers l’ensemble des interlocuteurs est nécessaire.
4. Limitez l’impact sur le business
Pourquoi ?
Même si votre métier dépend fortement de l’informatique, il est souvent possible de mettre en place un mode de fonctionnement dégradé pendant la durée du traitement de l’incident. Mais pour cela il faut d’abord confirmer avec les gestionnaires d’incident son innocuité.
Comment ?
Identifiez rapidement les conséquences de l’incident sur le business, et étudier les éventuels moyens de contournement (utilisation de sauvegarde, suspension de certaines fonctions, procédure manuelle, sous-traitance…). Leur mise en œuvre doit être discutée avec les gestionnaires d’incident pour ne pas interférer avec la crise en cours.
De la même façon, veillez à informer les partenaires potentiellement affectés par l’incident via une communication régulière, mais distincte de la gestion de l’incident : régulateurs, clients, fournisseurs…
Pendant l’incident : la remédiation / restauration
5. Confinez l’incident et préservez les preuves pour l’enquête
Pourquoi ?
Après avoir analysé l’incident, mais avant de restaurer l’informatique, le confinement permet de valider les hypothèses et décisions de l’équipe de réponse à incident.
Il permet aussi de récupérer et protéger les informations utiles à la compréhension détaillée de l’incident et à ses éventuelles suites judiciaires.
Comment ?
Isoler les machines infectées, en les déconnectant du réseau, mais de préférence sans les redémarrer.
Collectez et préservez les preuves techniques (logs). N’attendez pas la fin de l’incident pour ne pas risquer de perdre des informations utiles. Ces données pourront servir pour l’analyse fine de l’incident, pour ses suites judiciaires ou pour l’indemnisation par l’assurance.
Il ne faut supprimer aucune donnée, et si possible réaliser au plus vite une copie des machines impliquées dans l’incident (mémoire vive et stockage).
Bien sûr ne réinstallez aucune machine ni ne restaurez aucun service sans avoir d’abord demandé l’avis des gestionnaires d’incident.
6. Communiquez
Pourquoi ?
Votre entreprise fait partie d’un écosystème. L’incident qui vous touche affecte aussi vos partenaires : clients, fournisseurs, voire régulateurs. Pour leur confort et pour votre image, communiquez !
Comment ?
Informez régulièrement vos collaborateurs de la situation, en particulier les conséquences de l’incident pour eux et pour leurs interlocuteurs.
Informez régulièrement de la même façon vos partenaires.
Enfin vérifiez vos obligations réglementaires et contractuelles pour communiquer en conséquence (RGPD notamment).
Après l’incident : les activités post-incident
7. Déposer plainte
Pourquoi ?
Le taux d’élucidation des affaires de cybercriminalité reste faible, mais il n’est pas nul. Le dépôt de plainte contribue à la lutte contre les criminels, à la prise en compte par les pouvoirs publics et à la prise de conscience de l’ensemble des entreprises.
Il peut aussi être exigé dans un contrat de cyber-assurance.
Comment ?
La plainte peut être déposée dès que le périmètre de l’incident est compris (indisponibilité de l’informatique, fraude…).
8. Réparer et évoluer
Pourquoi ?
En matière de cybersécurité, la foudre peut frapper deux fois au même endroit, alors tirez le meilleur parti des leçons apprises à l’occasion d’un incident en améliorant votre posture.
Comment ?
A l’issue de l’incident, réunissez tous les membres de l’équipe de réponse à incident pour identifier avec eux les forces et les points d’amélioration de votre organisation.
Définissez des plans d’action en vous assurant qu’ils couvrent les vulnérabilités exploitées par les attaquants.
Dans tous les cas, n’hésitez pas à revoir les fondamentaux : maintenir vos ordinateurs à jour, sensibiliser vos collaborateurs, partager les bonnes pratiques.