Si vous demandez à votre Conseil d’Administration quel est le risque le plus fort pour votre activité, en cette période d’incertitude généralisée, vous entendrez très probablement : « la cybersécurité » (risque en tête du baromètre 2022 d’AGCSi). La France est le 4ème pays en 2021 en termes de nombre d’attaques/habitantii.
Nombre d’acteurs des technologies de l’information rêveraient d’être ainsi visibles des dirigeants et des actionnaires des entreprises qui façonnent l’économie. Force est de constater que cette préoccupation est partagée de manière hétérogène en France par les salariés et les partenaires de nos entreprises où les programmes d’entraînement à la crise cyber restent encore marginauxiii.
Oui, le risque cyber n’est pas uniquement lié à la technologie, il est avant tout lié à l’humain et aux différentes équipes qui travaillent auprès des entreprises. Les hackers en jouent, avec des techniques relativement peu sophistiquées de piratage comme le spoofing (usurpation d’adresse mail), le phishing (hameçonnage, par envoi de pièce jointe ou de lien internet infectés) et l’utilisation de failles liées à l’obsolescence d’une configuration de machine et de logiciel. Souvent tapis dans des espaces techniques peu surveillés, les hackers étudient et observent leurs cibles avant de passer à l’attaque proprement dite… et cette attaque n’est pas nécessairement accompagnée d’une demande de rançon.
Une fois passé le moment de sidération, les entreprises disposent d’une liste assez restreinte de réponses pour sortir de la crise, puis renforcer la protection de leur SI au sens large sans oublier bien sûr la prévention de toutes les parties prenantes… car la question n’est plus de savoir si une entreprise sera attaquée mais si elle saura réagir quand elle le sera.
Ainsi, le cadre de travail en cybersécurité proposé par le NISTiv permet d’établir un cercle vertueux de fonctionnement pour l’entreprise : sensibiliser, protéger, détecter/réagir, capitaliser.
Quelle prévention des cyberattaques ?
En amont d’une attaque, les entreprises les plus résilientes se préparent. La technologie peut beaucoup. Les éditeurs, les constructeurs et les start-ups du secteur proposent des solutions à la mesure de la sophistication croissante des attaques… celles-ci constituent rapidement un puzzle dont les interstices obligent par ailleurs à constituer un dispositif réactif basé sur l’humain et les procédures :
- Établir une veille active et se préparer en tenant compte des recommandations gouvernementales (site www.cybermalveillance.gouv.fr ou celui de l’ANSSIv www.ssi.gouv.fr).
- Former et sensibiliser les collaborateurs, les prestataires et les partenaires de l’entreprise : savoir reconnaitre un phishing, s’organiser face aux tentatives de fraude au président ou à la diffusion d’un RIB frauduleux auprès des clients, le refus de cadeaux connectés ou de clés USB porteurs de malwares (logiciels malveillants, virus) potentiels…
- Simuler des attaques et évaluer les réponses de l’entreprises, à l’image de ces sociétés qui font régulièrement des simulations d’alerte incendie.
- Souscrire une assurance cybersécurité, qui oblige par ailleurs à mettre en place des dispositifs éprouvés de sécurité informatique.
- Crypter les données personnelles et sensibles afin qu’elles ne fassent pas l’objet d’un chantage sur le Dark Webvi.
- Réaliser des sauvegardes régulières, les conserver à l’extérieur du réseau de l’entreprise et tester régulièrement la capacité de restauration de ces sauvegardes.
- Construire et – surtout – tester son plan de reprise d’activité (PRA ou « Disaster Recovery Plan ») afin de reconstituer son patrimoine informationnel au plus vite et au plus juste.
- Enfin, disposer d’un système d’authentification « multi-factor » (MFA), où un utilisateur s’identifie par au moins 2 appareils différents référencés dans l’entreprise (PC, tablette, téléphone…).
Réagir à l’attaque informatique
Au cours de l’attaque, les entreprises qui ont pu mener ces initiatives clés sont mieux préparées. Néanmoins, la gestion de la crise elle-même reste un sujet de mobilisation au plus haut niveau de l’entreprise avec la mobilisation d’une cellule de crise stratégique. Des cabinets spécialisés peuvent renforcer le dispositif prévu pour la communication de crise ou encore l’identification de :
- La nature de l’attaque,
- Le mobile et l’origine de l’attaquant,
- Le patient 0 (qui a été infecté le premier, ou le point d’entrée de l’attaquant),
- L’étendue dans les systèmes d’information,
- Le vol éventuel de données ou l’insertion d’un malware à des fins d’espionnage, de cryptage ou de prise de contrôle de l’informatique.
La remise en service passe par une restauration de données, parfois du réseau, des ordinateurs et souvent de l’annuaire d’entreprise. Il s’agit de revenir en arrière – avant le moment de l’intrusion – à un moment qui permettra de se prémunir des effets d’un dispositif malveillant. Cette étape est complexe, et peut entrainer de la perte d’informations liées à une tentative d’écourter les indisponibilités des systèmes d’informations.
Quid de la rançon, si elle est exigée ? Payer pour récupérer ses données reste une solution de « facilité » aux conséquences souvent dangereuses. Selon l’origine de l’attaque, une entreprise peut tomber sur un groupe de professionnels dont « l’éthique » consiste effectivement à activer ses menaces (publication/vente de données sensibles sur le Dark Web) et à tenir ses promesses (restituer les données au paiement de la rançon).
Néanmoins, quiconque paie une rançon sera repéré par d’autres groupes et l’exposition à de nouvelles attaques couteuses ne fera que s’accroître. À noter, une loi récente permet qu’une assurance cyber rembourse la rançon si l’entreprise a fait une déclaration auprès de la Police et qu’elle a respecté les exigences de sa police d’assurance.
Si la décision de ne pas payer la rançon peut être terrible pour la survie immédiate d’une entreprise (en France, 1 PME sur 2 qui ne paie pas de rançon risque de déposer le bilan sous 6 moisvii), elle reste la meilleure solution pour sa pérennité sur le moyen et le long terme.
La cybersécurité de l’après-crise
Une fois la crise passée, les entreprises sont amenées à renforcer leurs dispositifs sur le plan technique (VPN, firewall, antivirus, filtrage de mails…) en particulier. Un audit régulier de sécurité informatique permet de faire un check-up et de mieux connaître ses vulnérabilités. Les entreprises initient ou accélèrent les projets qui améliorent la sécurité des systèmes d’informations :
- Gouvernance par comité de sécurité réunissant les parties prenantes se tenant régulièrement sous la direction du responsable de la sécurité informatique et d’un sponsor comme le Secrétaire Général de l’entreprise,
- Organisation annuelle d’exercices de cyber-crise,
- Inventaire exhaustif et à jour des matériels et logiciels réalisé à l’aide d’une CMDB (base de données de gestion des configurations),
- Réduction de la dette technique (sortie des solutions techniques obsolètes qui ne sont plus supportées par les éditeurs),
- Anticipation des menaces à l’aide d’une veille régulière sur les techniques employées.
L’externalisation de la surveillance du système d’information par des professionnels peut être une bonne solution (usage de « SOC » : Security Operations Center) si l’entreprise est en mesure de traiter les différentes alertes que le SOC signalera.
Ce survol des dispositifs illustre à quel point le risque cyber est à la fois une affaire technique – comme tout ce qui touche aux systèmes d’informations d’entreprise – mais surtout une affaire d’organisation dont la dimension humaine constitue le facteur clé de succès d’un système robuste de prévention et de traitement des crises cyber.
En période de crise, le responsable de la sécurité informatique se doit d’être aguerri et d’avoir les bons réflexes, le bon discours de mobilisation dans l’entreprise, le bon réseau de partenaires. Il est très rare d’avoir un responsable de la sécurité informatique qui soit à la fois un pompier de choc et l’architecte d’une forteresse à la Vauban.
Cet autre rôle d’architecte fait appel à des qualités de direction de projet, de pédagogie, d’anticipation, de veille technologique. Le management de transition est une approche innovante adoptée par de plus en plus d’entreprises pour mobiliser ponctuellement un manager doté de ces deux profils ou pour compléter les compétences d’un responsable de la sécurité informatique. Ce d’autant que les managers de transition bénéficient d’un sens de l’adaptation et du résultat rapide qui sont en phase avec l’urgence des sujets de cybersécurité.
Nous remercions Marie-Odile Crinon, présidente fondatrice du cabinet MRC2 spécialisé dans le management des risques et des crises cyber, pour sa précieuse contribution à cet article.
Pour aller plus loin
i Allianz Global Corporate & Specialty SE, filiale grands risques du groupe ALLIANZ, mentionné article du 2 Février 2022 des Echos « Dix choses à savoir sur le risque cyber »
ii Étude NordLocker 2022
iii 40% des 262 entreprises interrogées au titre du 7ème baromètre annuel du CESIN – Club des Experts de la Sécurité de l’Information et du Numérique – ont un plan de sensibilisation à la crise cyber (https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html)
iv https://www.nist.gov/cyberframeworkv
v Agence Nationale de la Sécurité des Systèmes d’Information
vi Ensemble caché de sites Internet accessibles uniquement par un navigateur spécialement conçu à cet effet comme TOR
vii Rapport du Sénat