Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

NotPetya : des coulisses de la gestion de crise au renforcement de la cyber-résilience

janvier 2018 par Emmanuelle Lamandé

Sujet théorique pendant des années, la cyber-résilience est devenue le 27 juin 2017, en l’espace de quelques heures, un sujet stratégique animant les directions générales. Wavestone a participé à la gestion de crise sur plusieurs des attaques destructives attribuées au malware NotPetya. Gérôme Billois, Partner Cybersecurity & Digital Trust - Wavestone, revient dans les coulisses de cette gestion de crise à l’occasion de la 10ème édition du FIC et explique également aux entreprises comment renforcer leur cyber-résilience opérationnelle.

L’année 2017 a connu l’arrivée massive des ransomwares avec Wannacry et le déploiement conséquent de wiperworm avec NotPetya. Même si ces évènements étaient redoutés, leur ampleur et leurs effets ont été sans commune mesure et ont mis en avant le risque de destruction massif de systèmes d’information. En 2017, Wavestone a piloté opérationnellement la gestion de crise de plusieurs attaques Wannacry et NotPetya d’ampleur. Quelques mois plus tard, Gérôme Billois partage les retours d’expérience terrain de ses équipes relatifs à la gestion d’attaques destructives attribuées au malware NotPetya.

NotPetya a impacté plusieurs milliers de machines en juin 2017. Ce malware, qui ressemblait de prime abord à un ransomware, s’est avéré au final être un wiperworm, un logiciel de destruction et d’effacement. L’exécution de ce malware a causé des dégâts considérables pour les victimes, d’autant que le temps de restauration des systèmes détruits s’est avéré pour certaines très long. Le préjudice financier de NotPetya est, quant à lui, estimé à plus d’un milliard de dollars.

Gérer la crise avec les « moyens du bord »

Dans les premières heures suivant le début de l’attaque, Wavestone a reçu de nombreux appels en provenance de clients, y compris de ceux n’ayant pas été touchés par l’évènement. Beaucoup s’inquiétaient des risques éventuels.
Malheureusement pour ceux qui en ont été victimes, la vague NotPetya a causé de nombreux dégâts dans les systèmes d’information, à commencer par la destruction d’applications. Entre 60 à 95% des serveurs et machines ont été complètement détruits sur les systèmes des entreprises touchées. Elles étaient, de plus, dans l’incapacité de gérer leurs SI, puisqu’elles n’avaient plus d’outils d’administrations. Les informations stockées aussi avaient été détruites, et les serveurs de sauvegardes étaient également impactés.

« Lorsque nous sommes arrivés sur le terrain chez nos clients, nous avons tout d’abord essayer de rétablir une communication entre les équipes avec les moyens du bord : WhatsApp, Gmail… Plusieurs de nos analystes ont ensuite analysé les SI de ces entreprises touchées, afin d’investiguer sur l’attaque et d’en mesurer l’impact. » Il est également important, rappelle-t-il, dans ce type de cas, d’éteindre le réseau, afin d’éviter toute propagation de l’attaque.

Puis, les cellules de crise se sont mises en place et ont opéré chez les victimes en 24h/7j. Dans certaines structures, jusqu’à 130 collaborateurs ont été mobilisés pour reconstruire les SI.

Dans le cas de NotPetya, la plupart des systèmes d’information ont pu être recréés grâce à la virtualisation et à des services Cloud, ou en s’appuyant sur des collaborateurs ou fournisseurs n’ayant pas été touchés. Toutefois, cette reconstruction ne doit pas être faite n’importe comment, sinon on risque de recréer le même schéma et donc les mêmes vulnérabilités. L’objectif est, en effet, de mettre en place une organisation qui tienne la route dans la durée.

Comment renforcer sa cyber-résilience opérationnelle ?

Voici quelques éléments clés sur lesquels les organisations doivent, selon lui, mettre l’accent aujourd’hui pour renforcer leur cyber-résilience :
- L’anticipation : il est essentiel d’appliquer les règles d’hygiène informatique et les basics de la cybersécurité ;
- Introduire de la diversité et de la flexibilité au sein de l’entreprise ;
- Pouvoir limiter l’amplification potentielle d’une attaque ;
- Revoir les plans d’alertes et de gestion de crise : il est indispensable que les entreprises développent leur capacité de réaction aux incidents. Pour ce faire, elles doivent s’entraîner techniquement, mais aussi au niveau organisationnel, à gérer les incidents de sécurité, et pas que les plus anodins.
- Etre capable de reconstruire rapidement leur SI, et ce de manière sécurisée. Il est, en outre, essentiel de tester au préalable l’innocuité des différents systèmes que l’on va déployer sur le réseau.

Toutes ces actions ne pourront toutefois être effectives que si les différentes équipes (IT, sécurité, métiers, décideurs, gestion de crise, fournisseurs…) travaillent de concert.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants