AccueilEconomieCybersécurité : comment réagir pendant, après et… avant une d'attaque

Parole d'expert Cybersécurité : comment réagir pendant, après et… avant une d'attaque

Elles sont devenues si fréquentes qu'elles ne suscitent qu'un étonnement très modéré, même lorsqu'elles touchent des entreprises spécialisées en la matière. « Elles », ce sont les attaques cyber. Mais qu'est-ce qu'une attaque cyber au juste, sont-elles une fatalité, et que faire au moment où elles surviennent, en aval… et en amont surtout ?
Cybersécurité : comment réagir pendant, après et… avant une d'attaque

Economie Publié le ,

Attaque cyber… ou pas ?

Les mots sont importants. Il ne faut pas confondre une attaque, et ce que nous nommons pudiquement un « événement de sécurité ». Ce dernier terme désigne un écart vis-à-vis d'une situation nominale, en matière de sécurité du système d'information (SI). Un tel événement ne sera qualifié d'attaque que s'il s'avère qu'une source de menace (un hacker par exemple) est à l'origine de l'exécution d'une méthode (l'utilisation d'un ransomware, à titre d'exemple toujours), dans l'idée de compromettre un système d'information (pour le rendre indisponible, exfiltrer des données, etc.).

Il s'agit bien d'une attaque, que faire ?

Il convient en premier lieu d'évaluer l'ampleur et la nature de la compromission. La complexité de la tâche sera indexée sur le niveau de maturité de votre SI : nombre d'équipements de sécurité sont extrêmement verbeux, et vous fourniront de précieuses indications ; et pour peu que les traces aient été centralisées dans un outil de type SIEM (Security Information and Event Management), la corrélation des signaux faibles en dira long sur le scénario de l'attaque subie.

Bien sûr, le remède à appliquer variera en fonction des symptômes mais il est possible de dégager une « trame commune ». Dès la levée de doute opérée, il s'agit d'être réactif et d'isoler les machines qui ont été compromises. Mais attention, isoler ne signifie pas éteindre ! Cela engendrerait une probable perte des traces locales et ne faciliterait pas les investigations post mortem. Outre les démarches techniques, il ne faut pas négliger trois autres points : le dépôt de plainte, l'éventuelle déclaration à la CNIL (Commission nationale informatique et libertés) s'il y a compromission de données à caractère personnel et… la communication interne et externe. Les informations fuitent vite ; aussi, mieux vaut être à l'origine de la transmission d'éléments factuels, que de subir la propagation de rumeurs !

Enfin, une fois le SI restauré, il ne faut jamais faire l'économie d'investigations : l'attaque que vous avez essuyée n'était peut-être que les prémices d'une compromission de beaucoup plus grande ampleur. SI restauré n'est pas synonyme de SI assaini.

Subir une attaque, est-ce une fatalité ?

Une étude du Cesin (Club des experts de la sécurité de l'information et du numérique) de 2019 révélait que 79 % des entreprises ont déjà subi une attaque cyber… alors mieux vaut ne pas occulter la possibilité que vous viviez un jour cette douloureuse expérience. Le meilleur réflexe en cas d'attaque est donc… de vous fier au plan de gestion de crise que vous aviez établi en amont. Mais aussi d'avoir conçu votre stratégie cyber en n'ayant pas alloué la totalité de votre budget au volet protection.

Mettons fin à tout suspens : aucun SI n'est invulnérable ; alors il convient de ne pas négliger les axes de détection et de réaction. La valeur sous-jacente d'un tel système étant la dissuasion, vous vous prémunirez de bon nombre d'attaques dites « opportunistes ». Et cela est déjà un bon début.


Lire aussi : La cybersécurité des PME au menu du Café de l'audit


Partage
Envoyer à un ami
Connexion
Mot de passe oublié ?