Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Crise Cyber : Êtes-vous vraiment prêt ?

avril 2019 par Marc Jacob

Pour cette nouvelle conférence du Cercle de la sécurité animée par Florence Puybareau, Vincent Desroches, chef de la division adjoint de l’ANSSI et deux RSSI du monde de l’industrie ont proposé leur vision de la gestion de crise à partir de retours d’expérience.

La gestion de la crise cyber est un sujet qui depuis deux ans avec Wannacry et NotPetya entre autre est devenu prégnant. Pour ce premier RSSI qui a subi une attaque Wannacry sur plusieurs de ses filiales dans le monde un vendredi soir, une cellule SOC et une cellule de crise IT sont montées. Le processus de gestion de crise a été lancée. Dans le même temps, cet industriel a dû arrêter toutes ses lignes de production dans le monde. La deuxième action a été de bloquer tous les partages de fichier dans le monde sur l’ensemble des sites. Ainsi le processus de reconstruction du SI a pu commencer. En fait 5% du parc Du SI avait été impacté et par contre dans les unités de production près de 70% des usines avaient été touchées. En fait la plus part des usines et des sites de cette entreprise ont pu repartir dès le début de la semaine suivante. Un véritable tour de force qui a été réalisé grâce à l’engagement de tous els employés.

Les règles d’hygiènes informatique doivent être respectées !

Vincent Desroches a rappelé les missions de l’ANSSI en cas de crise tant pour les administrations que pour les grandes entreprises voir les pépites françaises. Il a expliqué la manière dont l’agence agit en cas de crise en prenant l’exemple de Wannacry. Tout d’abord une collaboration est mise en place avec de nombreux pays qui s’échangent les fichiers sources du virus et collaborent pour trouver des remédiations. Pour lui, dans le paysage des attaques, certaines marquent par leurs ampleurs et leur capacité de nuisances. Pour Vincent Desroches, ces crises permettent une prise de conscience dans toutes les entreprises des dirigeants et de leurs équipes. Pourtant, il déplore que malgré tout cela les mots de passe restent toujours faibles et certaines règles d’hygiène informatique ne sont toujours pas mis en place.

Les exercices une bonne préparation pour les équipes

Ce second RSSI a présenté son retour d’expérience sur un exercice de crise grandeur nature qu’il a mené récemment dans son entreprise. Suite à cet exercice le besoin de transversalité et un CERT a été mis en avant. Il avait été préparé durant six mois. Des rôles ont été créés dans le domaine de la SSI.

Ce premier RSSI explique qu’avant cette crise une cellule de crise avait été créée et des exercices avaient été organisés. Selon lui, cet exercice avait été bénéfique même si dans la réalité des problèmes sont survenus qui venaient surtout de l’attente des consignes de la SSI. Depuis la crise Wannacry un autre exercice a été programmé qui a tenu compte de l’expérience de l’attaque précédente. Ainsi, un poste de plus à la SSI a été créé et le scénario de crise a intégré les IOT.

Vincent Desroches rebondi en expliquant que l’exercice de crise est important pour mieux gérer les impacts. Il a noté que dans toute crise, il y a une partie de sidération et de fulgurances. De plus, il y a une double temporalité l’une concerne la survie et la seconde a trait à la régénération du SI. En outre, il constate qu’il y a une certaine incertitude qui planne car la victime ne sait jamais s’il ne va pas être sous le coup d’une deuxième vague d’attaque sans savoir par quel biais elle peut intervenir.

Pour ce second RSSI, l’exercice permet de mieux se rendre compte de la vitesse à laquelle se déroule la crise à tous les niveaux en particulier en ce qui concerne la communication sous la pression des médias. Il insiste sur a nécessité d’avoir des informations en directe de la part de l’ANSSI.

Pour ce premier RSSI dans le cas de Wannacry il n’a pas eu besoin de l’aide de l’ANSSI. Aujourd’hui toute la « supply chain » est prise en compte avec des alertes aux fournisseurs,

Vincent Desroches explique qu’il y a trois types d’attaquant : ceux qui sont très structurés états. Organisation mafieuses... les seconds sont les Hacktivistes et les troisièmes sont les officines particulières. Aujourd’hui, leur stratégie d’attaques sont un peu toujours les mêmes. Par contre, les pirates informatique ont des hantises qui commencent par la difficulté pour entrer chez une victime.

De ce fait, la stratégie de défense passe par le renforcement des protections, l’analyse de risque... Aujourd’hui, les entreprises en France se partagent en trois groupes les OIV, les fournisseurs de services essentiels et tous les autres. Ces derniers, s’ils sont des sous-traitants de grands groupes, ils doivent évaluer la menace de leur fait. Ainsi, leurs donneurs d’ordres doivent les amener à monter en compétences cyber.

La communication de crise doit être prise au sérieux

Pour ce premier RSSI victime de Wannacry, la communication en interne est une première difficulté. Par exemple, récupérer les téléphones l’ensemble des collaborateurs est très difficile. Il a fallu mettre des posters à l’entrée de toutes les usines pour les informer des manipulations à réaliser lors de leur prise de poste...

Au final, il estime qu’il faut se préparer, avoir des sauvegarde et les protéger. La crise a un côté feu et le vécu dépend de chaque personne. Il note un élan de solidarité pour que l’entreprise puisse survivre. Suite à cette crise, il constate qu’il y a une tendance à sur-réagir. Pour lui, il y a aussi un facteur chance qui joue mais il ne faut pas compter uniquement sur la chance.

Pour ce second RSSI, la préparation est importante pour montrer aux métiers l’impact sur leur business. Elle permet de mieux sensibiliser les équipes, il faut aussi savoir redescendre au niveau de tous les services afin de les mobiliser.

Vincent Desroches, en conclusion du débat, se pose la question du moment auquel on doit activer le dispositif de crise. De ce fait, l’ANSSI encourage d’avoir un processus d’escalade et de définir différents niveaux. Au final, comme le répète sans cesse les experts de tout bord depuis des années, si les entreprises avaient une véritable politique de patch bien des problèmes seraient évitées… Toutefois, dans entreprises, les métiers ont la hantise des disfonctionnement liés au déploiement de patchs et donc rien ne bouge ! On préfère sans doute de se trouver confronter à des coûts extravagants liés aux piratages plutôt que de dépenser quelques milliers d’euros et du temps…




Voir les articles précédents

    

Voir les articles suivants