Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Crise Cyber : Êtes-vous vraiment prêt ?

avril 2019 par Marc Jacob

Pour cette nouvelle conférence du Cercle de la sécurité animée par Florence
Puybareau, Vincent Desroches, chef de la division adjoint de l’ANSSI et deux RSSI
du monde de l’industrie ont proposé leur vision de la gestion de crise à partir
de retours d’expérience.

La gestion de la crise cyber est un sujet qui depuis deux ans avec Wannacry et
NotPetya entre autre est devenu prégnant. Pour ce premier RSSI qui a subi une
attaque Wannacry sur plusieurs de ses filiales dans le monde un vendredi soir, une
cellule SOC et une cellule de crise IT sont montées. Le processus de gestion de
crise a été lancée. Dans le même temps, cet industriel a dû arrêter
toutes ses lignes de production dans le monde. La deuxième action a été de
bloquer tous les partages de fichier dans le monde sur l’ensemble des sites. Ainsi
le processus de reconstruction du SI a pu commencer. En fait 5% du parc Du SI avait
été impacté et par contre dans les unités de production près de 70% des usines
avaient été touchées. En fait la plus part des usines et des sites de cette
entreprise ont pu repartir dès le début de la semaine suivante. Un véritable tour de force qui a été réalisé grâce à l’engagement de tous els employés.

Les règles d’hygiènes informatique doivent être respectées !

Vincent Desroches a rappelé les missions de l’ANSSI en cas de crise tant pour
les administrations que pour les grandes entreprises voir les pépites françaises.
Il a expliqué la manière dont l’agence agit en cas de crise en prenant
l’exemple de Wannacry. Tout d’abord une collaboration est mise en place avec de
nombreux pays qui s’échangent les fichiers sources du virus et collaborent pour
trouver des remédiations. Pour lui, dans le paysage des attaques, certaines marquent
par leurs ampleurs et leur capacité de nuisances. Pour Vincent Desroches, ces
crises permettent une prise de conscience dans toutes les entreprises des dirigeants et de leurs équipes. Pourtant, il
déplore que malgré tout cela les mots de passe restent toujours faibles et certaines
règles d’hygiène informatique ne sont toujours pas mis en place.

Les exercices une bonne préparation pour les équipes

Ce second RSSI a présenté son retour d’expérience sur un exercice de crise
grandeur nature qu’il a mené récemment dans son entreprise. Suite à cet exercice
le besoin de transversalité et un CERT a été mis en avant. Il avait
été préparé durant six mois. Des rôles ont été créés dans le domaine de la
SSI.

Ce premier RSSI explique qu’avant cette crise une cellule de crise avait été
créée et des exercices avaient été organisés. Selon lui, cet exercice avait
été bénéfique même si dans la réalité des problèmes sont survenus qui
venaient surtout de l’attente des consignes de la SSI. Depuis la crise Wannacry un
autre exercice a été programmé qui a tenu compte de l’expérience de l’attaque précédente. Ainsi, un poste
de plus à la SSI a été créé et le scénario de crise a intégré les IOT.

Vincent Desroches rebondi en expliquant que l’exercice de crise est important pour
mieux gérer les impacts. Il a noté que dans toute crise, il y a une partie de
sidération et de fulgurances. De plus, il y a une double temporalité l’une
concerne la survie et la seconde a trait à la régénération du SI. En outre, il constate
qu’il y a une certaine incertitude qui planne car la victime ne sait jamais
s’il ne va pas être sous le coup d’une deuxième vague d’attaque sans savoir
par quel biais elle peut intervenir.

Pour ce second RSSI, l’exercice permet de mieux se rendre compte de la vitesse à laquelle se déroule
la crise à tous les niveaux en particulier en ce qui concerne la communication sous la pression des médias. Il insiste sur a nécessité d’avoir des
informations en directe de la part de l’ANSSI.

Pour ce premier RSSI dans le cas de Wannacry il n’a pas eu besoin de l’aide de
l’ANSSI. Aujourd’hui toute la « supply chain » est prise en compte avec des alertes
aux fournisseurs,

Vincent Desroches explique qu’il y a trois types d’attaquant : ceux qui sont
très structurés états. Organisation mafieuses... les seconds sont les Hacktivistes
et les troisièmes sont les officines particulières. Aujourd’hui, leur stratégie
d’attaques sont un peu toujours les mêmes. Par contre, les pirates informatique ont des hantises qui
commencent par la difficulté pour entrer chez une victime.

De ce fait, la stratégie de défense
passe par le renforcement des protections, l’analyse de risque... Aujourd’hui, les entreprises en France se partagent en trois groupes
les OIV, les fournisseurs de services essentiels et tous les autres.
Ces derniers, s’ils sont des sous-traitants de grands groupes, ils doivent évaluer la menace de leur fait. Ainsi, leurs donneurs d’ordres doivent les amener à monter en compétences cyber.

La communication de crise doit être prise au sérieux

Pour ce premier RSSI victime de Wannacry, la communication en interne est une
première difficulté. Par exemple, récupérer les téléphones l’ensemble des
collaborateurs est très difficile. Il a fallu mettre des posters à l’entrée de
toutes les usines pour les informer des manipulations à réaliser lors de leur
prise de poste...

Au final, il estime qu’il faut se préparer, avoir des sauvegarde et les
protéger. La crise a un côté feu et le vécu dépend de chaque personne. Il note un élan de solidarité pour que l’entreprise puisse survivre. Suite à cette
crise, il constate qu’il y a une tendance à sur-réagir. Pour lui, il y a aussi
un facteur chance qui joue mais il ne faut pas compter uniquement sur la chance.

Pour ce second RSSI, la préparation est importante pour montrer aux métiers
l’impact sur leur business. Elle permet de mieux sensibiliser les équipes, il faut
aussi savoir redescendre au niveau de tous les services afin de les mobiliser.

Vincent Desroches, en conclusion du débat, se pose la question du moment auquel on doit
activer le dispositif de crise. De ce fait, l’ANSSI encourage d’avoir un
processus d’escalade et de définir différents niveaux.
Au final, comme le répète sans cesse les experts de tout bord depuis des années, si les entreprises avaient une véritable politique de patch bien des problèmes seraient évitées… Toutefois, dans entreprises, les métiers ont la hantise des disfonctionnement liés au déploiement de patchs et donc rien ne bouge ! On préfère sans doute de se trouver confronter à des coûts extravagants liés aux piratages plutôt que de dépenser quelques milliers d’euros et du temps…


Voir les articles précédents

    

Voir les articles suivants