Dirigeants d’entreprise, comment gérer une crise de cybersécurité ? Voici 5 règles d’or

0

Dans les affaires, l’essentiel est de planifier la réussite. En matière de cybersécurité, il s’agit d’anticiper le risque », m’a confié récemment un dirigeant de grande entreprise, résumant ainsi le lien étroit entre les objectifs économiques et les exigences de la cybersécurité. 

Le risque cyber peut engendrer un préjudice incalculable pour l’entreprise au niveau opérationnel, commercial, légal, financier ou de sa réputation. Elle risque aussi de mettre un terme prématuré à la brillante carrière de ses dirigeants, comme ce fut le cas dans certaines cyberattaques récentes. 

En fait, le baromètre des risques Allianz 2020, plus grande enquête sur les risques au monde, a reconnu que les perturbations des activités stratégiques dues à des crises de sécurité constituaient le risque le plus grave pour les entreprises.

Mais, bien qu’il s’avère impossible de prévoir quand une crise vous frappera, vous pouvez gagner du temps en déployant un plan de cyber-résilience bien conçu et efficace. Il joue un rôle essentiel pour atténuer les pires effets d’une attaque tout en pérennisant l’activité. Cela devient un sujet brûlant pour les acteurs de la sécurité et pour les dirigeants dans leur analyse de risque afin de remédier à une attaque. 

La solution commence par une bonne préparation à une telle crise. Pour être capable de réagir rapidement et d’éviter des dommages durables, l’entreprise doit simuler une cyberattaque afin de déterminer les responsabilités requises, d’éventuelles lacunes opérationnelles ou les enjeux technologiques. Cela implique des exercices théoriques au cours desquels les dirigeants concernés se réunissent pour examiner le déroulement possible d’un scénario. Toutefois, même la meilleure préparation n’empêche pas une crise de survenir à tout instant. Quelles mesures faut-il prendre, en tant que dirigeant, si votre entreprise subie une cyberattaque ?

Règle 1 : assumer ses responsabilités. C’est un enjeu personnel.

Retroussez vos manches ! Déléguer simplement le travail à la DSI en cas de cyberattaque peut s’avérer dangereux pour l’entreprise et au niveau personnel. Certains dirigeants de grandes sociétés l’ont appris récemment à leurs dépens. Le cyber-risque ne touche pas que le réseau informatique, mais toute l’activité. Les interruptions d’activité et les frais de contentieux ont un effet immédiat sur la réputation si on ne les gère pas correctement. Il n’est donc pas surprenant que les actionnaires commencent à engager la responsabilité du dirigeant si l’entreprise connaît un grave incident. Une gestion efficace d’une crise implique un engagement entier des dirigeants. C’est pour cela que le PDG est souvent le mieux placé pour la gérer.  

Règle 2 : la communication prime.

Lorsqu’une attaque frappe, nul ne souhaite se retrouver au cœur du problème. S’agit-il d’une faille de sécurité ou d’une attaque ciblée de pirate ? Avez-vous réellement évalué l’étendue des données compromises ? Existe-t-il d’autres portes dérobées susceptibles de servir à des fins de sabotage ? 

Une crise de cybersécurité est en général très complexe. Cela peut prendre des mois, voire des années, pour répondre à toutes les questions. Cependant, une bonne stratégie de communication façonne l’opinion publique sur le degré de professionnalisme avec lequel vous avez géré l’incident. Quelles mesures allez-vous donc prendre ? Privilégier le secret, une transparence totale ou un compromis dangereux ? 

Bien que nous ne puissions que spéculer sur le taux de réussite des incidents tenus secrets, des preuves suffisantes révèlent que la plupart des grandes entreprises ayant cherché à tenir secret une crise sans finalement y parvenir ont payé le prix fort en termes de réputation. 

En outre, il faut gérer tous les acteurs internes concernés et les fournisseurs pour respecter les exigences de déclaration obligatoire en vigueur. Certains législateurs imposent une déclaration immédiate, comme l’autorité monétaire de Singapour (MAS) qui exige une notification en quelques minutes. En France, les entreprises doivent respecter le Règlement général sur la protection des données à caractère personnel (RGPD), la directive sur la sécurité des réseaux et des systèmes d’information (NIS) et déclarer leur incident de sécurité, notamment en informer tout tiers d’une compromission des données le concernant. Ainsi, toute entreprise qui serait jugée responsable d’une violation de la sécurité des données personnelles s’expose à une amende pouvant aller jusqu’à 10 millions d’euros ou 4% du chiffre d’affaires annuel. Et concernant les OIV (Opérateurs d’Importance Vitale) ces réglementations rendent obligatoire la déclaration de tout incident de sécurité, notamment vis à vis de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et via ce formulaire. Seules les Nations-Unies (ONU), qui dispose d’un statut diplomatique particulier lui offrant l’immunité contre toute forme de procédure légale ne sont donc pas obligées de divulguer leurs failles de sécurité ni d’informer les potentielles victimes. 

Un traitement transparent de la crise offrira des avantages comme le soutien public des autorités, des analystes et des clients. Il faut toutefois être prêt à endurer la pression, tant dans la communication que l’exécution.  

Règle 3 : faire appel à des experts en cybersécurité.

Nombre d’entreprises emploient leur propre équipe de sécurité pour gérer la crise. Toutefois, une question se pose : votre équipe suit-elle et vit-elle réellement la crise dans sa globalité ? Si vous n’avez pas encore réalisé d’exercices théoriques adaptés et que votre équipe n’a jamais géré de crise, ne tentez pas de vous en charger seul. Envisagez plutôt de faire appel aux acteurs suivants dans le processus :

  • Experts en cybersécurité et crise : des prestataires externes assurent sans doute un suivi de la crise et une analyse technique plus efficaces, car ils ont déjà géré des situations similaires ou le même vecteur de menace. Par exemple, la plupart des entreprises ne possèdent pas les connaissances juridiques ou ignorent les tactiques, techniques et procédures (TTP) du pirate.
  • Fournisseurs de sécurité : la majorité des entreprises hésitent à considérer les fournisseurs de sécurité comme des partenaires. En réalité, ils incarnent peut-être les meilleurs partenaires pour aider à atténuer la menace grâce à leur expérience des mesures de sécurité. 
  • Homologues : la cybersécurité est « l’affaire de tous ». Il convient donc d’adopter la bonne attitude pour collaborer avec ses homologues, voire des concurrents. La plupart des menaces auxquelles fait face votre entreprise ont déjà touché certains de vos homologues. Interagir avec eux et demander de l’aide est crucial.
  • Organes juridiques : dans beaucoup de pays, le rapport avec des organes juridiques revêt plus un caractère formel pour déclarer un incident. Il existe un cadre qui couvre non seulement l’analyse des vecteurs de menace, mais aussi les mesures de protection du réseau. Pour relever durablement le défi de la cybersécurité, il convient toujours de coopérer avec les organes juridiques pendant ou après un incident.

Règle 4 : utiliser un confinement intelligent.

Endiguer une cyber-crise peut prendre des années si l’on suit au hasard toutes les recommandations disponibles. Comment demandez-vous au RSSI de parvenir à concilier la maîtrise de l’incident et le maintien de l’activité tout en évitant la panique ? 

Au lieu d’agir sur tous les fronts, votre équipe opérationnelle peut appliquer une méthode de confinement axée sur les risques en traitant les points primordiaux : 1. Pourquoi avons-nous été piratés ? 2. Quels sont nos actifs les plus précieux et ont-ils été affectés ? 3. Comment atténuons-nous la menace ? Pour comprendre comment atténuer la menace, il faut bien examiner les deux premiers points. 

Pour toutes les attaques ciblées visant précisément votre entreprise, comme tenter de voler des données pour espionner ou saboter le système informatique, il faut toujours poser une question clé à votre RSSI : avons-nous identifié le patient zéro ? 

Connaitre le patient zéro peut aider à analyser l’angle d’attaque et à identifier d’éventuelles portes dérobées que le pirate a créées dans le réseau pour y recourir s’il vient à être démasqué. Si l’équipe opérationnelle ne peut pas identifier le patient zéro, elle sera incapable de vérifier la présence du pirate dans le réseau ou de déterminer toute l’étendue de l’attaque. 

Règle 5 : mieux vaut prévenir que guérir.

Quel est l’impact de la violation de sécurité sur l’activité au niveau réputation, juridique, financier ou technique ? Avez-vous subi une perte financière à cause de l’incapacité d’exploiter un serveur au cours des 20 dernières heures ? 

Estimez le coût global de l’attaque. Évaluez l’impact opérationnel durable si vous n’avez pas pu travailler sur des projets importants. Cette analyse ne s’impose pas uniquement si vous bénéficiez d’une assurance contre le risque, mais aussi pour calculer l’investissement requis en cybersécurité. 

Finalement, la plupart des entreprises qui connaissent une crise investissent sensiblement davantage dans la cybersécurité. Mettre l’accent sur des principes comme la confiance zéro, le fameux « Zéro Trust », améliorer les pratiques et simplifier les procédures et les technologies de sécurité figurent parmi les mesures de base primordiales.  

Conclusion

Peu importe votre secteur d’activité, un plan de cyber-résilience adapté est indispensable pour vous préparer au pire des scénarios. Réduire l’étendue des dommages provoqués par une cyberattaque constitue son objectif premier. Tenter de protéger le réseau est un aspect. Toutefois, déployer un plan de continuité d’activité bien conçu et fiable en cas d’attaque peut éviter à votre entreprise d’énormes pertes de temps et d’argent. Il convient donc de bien se préparer.

Share.

About Author

Vice-président pour la zone EMEA South chez Palo Alto Networks

Leave A Reply