Secu

Les cinq gestes de base à connaître absolument

Par La rédaction, publié le 24 janvier 2013

Savoir que l’on a été attaqué est une chose, bien réagir est une autre. De la préservation de la preuve aux premiers secours à porter au système d’information, l’entreprise se doit de ne pas rester inactive.

1. Bien qualifier l’incident et l’éradiquer

En premier lieu, il s’agit de cerner le type d’attaque (sa cible, sa portée, les systèmes touchés), puis de lancer  rapidement des actions de confinement, mais avec discernement (coupure de service et des accès internet,  filtrage  réseau…). Nicolas Furgé, directeur des services de sécurité d’Orange Business Services, conseille de « faire appel à  des personnes ayant les compétences requises pour traiter de façon adaptée et rapide un incident de sécurité. Car  ces experts possèdent les techniques et les outils nécessaires. » Pour Renaud Bidou, directeur technique de Deny All,  « le plus difficile est de détecter de l’intrusion. Selon les outils de contrôle mis en place, l’impact et la manière dont la faille est exploitée, il peut se passer des semaines, des mois voire des années avant que la malversation soit  découverte, souvent par hasard. » 

2. Mobiliser rapidement les directions métier

Avant de mener à bien ces étapes, « il est essentiel d’en informer rapidement les directions métier, explique Gérôme  Billois, consultant sécurité et gestion des risques chez Solucom. Bien trop souvent, l’attaque est traitée comme une  simple défaillance technique dont le périmètre semble limité à la DSI. » Ce n’est pourtant pas toujours le cas. Un cybercriminel vise à nuire à une entreprise, à son image, à ses secrets, donc à son coeur de métier. Réunir les  directions opérationnelles permettra donc de mesurer l’impact d’une intrusion. La  direction informatique n’a pas les moyens, à elle seule, d’évaluer l’étendue d’une attaque. Encore moins d’anticiper les éventuels dérapages que cela peut causer. Si une analyse de risques n’a pas été faite au préalable, il est temps de faire le point, car « mieux vaut  tard que jamais ».

3. Mettre sur pied une cellule de crise

La structuration d’une cellule de crise à deux têtes est essentielle. « Elle doit réunir les directions opérationnelles  concernées, le juridique, la communication mais également la direction générale. Cette cellule sera chargée de  comprendre les impacts, de gérer les relations avec les acteurs externes (clients, médias…) et d’identi‡ er les actifs à  protéger en priorité », précise Gérôme Billois. Une équipe IT portera les actions permettant d’identifier l’attaque, sa  portée, les systèmes et données attaquées ou volées et imaginera des scénarios de protection à déployer  rapidement, mais aussi à moyen terme. 

4. Ne pas altérer les éléments de preuve

Si un dépôt de plainte est envisagé, il est très important de ne pas détruire ou altérer des éléments de preuve. « La  collecte de preuves est une opération sensible, qui doit être conduite en respectant de nombreuses règles, sous  peine de voir ces preuves invalidées. A minima, l’intervention d’un huissier de justice sera nécessaire pour assister à cette phase », précise Gérôme Billois. Il n’est de fait pas recommandé de se lancer dans une opération de ce type  seul, Se faire assister par un conseil expérimenté, voire assermenté, est essentiel. Mais le dépôt de plainte relève  d’une procédure complexe, qui peut dévoiler l’incident à l’extérieur. De plus, malheureusement, elle ne porte pas  toujours ses fruits quand les attaquants opèrent de l’étranger ou utilisent des serveurs hors de France. Ce qui est  très fréquent.

5. Analyser les faits pour en tirer les conséquences

Il est important de ne pas stigmatiser tel ou tel acteur vis-à-vis des actions commises et ayant pu amener ou amplifier  l’incident », complète Gérôme Billois. Il sera temps, une fois la situation revenue à la normale de « comprendre  exactement ce qui s’est passé et d’en tirer les conséquences. » La présence dans le système d’information d’une solution SIEM (Security Information and Event Manager) peut permettre de réaliser une reconstitution de l’incident.  Au-delà des premières actions à conduire dans l’urgence, il est important pour toutes les structures exposées de se préparer en vue de futures situations équivalentes. « Les dernières actualités nous montrent clairement que ce type de situation est en constante augmentation. Des questions simples doivent être traitées : qui prévenir en cas de  découverte d’un incident ? Quel est le processus de décision en cas de crise ? Quels services peut-on couper ? Quels mécanismes de résilience envisager ? », ajoute Gérôme Billois. 

Une fois que ces mesures ont été prises, il est intéressant de prévoir un exercice de gestion de crise avec l’ensemble des acteurs : direction, services juridique et  technique, métiers concernés. Toute l’entreprise doit être mobilisée. L’aide d’acteurs externes est alors appréciable.  En plus des autorités compétentes comme l’Anssi (Agence nationale de la sécurité des systèmes d’information), la  DCRI (Direction centrale du renseignement intérieur), l’OCLCTIC (O‘ ce central de lutte contre la criminalité liée aux  technologies de l’information et de la communication), la Be’fti (Brigade d’enquêtes sur les fraudes aux technologies de l’information), entre autres, des avocats spécialisés ou des experts en analyse technique postincident (forensics)  peuvent intervenir. « Sans oublier les conseils en gestion de crise et en communication », conclut Gérôme Billois. 

Dans l'actualité

Verified by MonsterInsights