Analyse de l'incident, signalement de la faille, récupération des données… Le PDG de Kudelski Security, Jacques Boschung, a publié une série de conseils à adopter en cas de cyberattaque.
Jacques Boschung, CEO de Kudelski Security.
© Kudelski Security
Phishing, hameçonnage, ransomware… Lorsqu’une cyberattaque survient dans une entreprise, c’est souvent la panique à bord. D’autant que les victimes n’ont pas forcément toutes les clés en main pour y faire face correctement. À cet égard, l’éditeur Kudelski Security, sous la plume de son PDG, Jacques Boschung, vient de publier une liste de conseils exhaustifs pour aider les entreprises à organiser leur réponse. En huit étapes, ce document livre les lignes directrices à suivre durant l’attaque.
Ne jamais contacter le cyberpirate
Premier conseil, il est crucial de garder son calme pour éviter de commettre des erreurs. Parmi les actions à proscrire, Jacques Boschung cite : la suppression de données précieuses, la réinitialisation des mots de passe, la désactivation des comptes. Mieux vaut également éviter de prendre contact avec le pirate ou encore de tenter des solutions dans la panique, sans réflexion préalable.
Analyser l’incident
Il s’agit ensuite de déterminer l’ampleur du problème en réalisant une analyse initiale de l’incident. Et ce en déterminant l’ensemble des critères relatifs à l’attaque (causes, datation, type de menace, éléments compromis etc). Autant d’informations qui permettront d’élaborer un plan d’action. En amont de l’attaque, Kudelski Security recommande également de réaliser des exercices de préparation (simulations de crise, red-teaming, blue-teaming, purple-teaming).
Observer le comportement de l’attaquant
Étape 4 : contenir l’attaque. Pour endiguer la propagation de l’incident, plusieurs facteurs entrent en jeu : il faut par exemple se demander si l’entreprise dispose d’un système de Détection et réponse des terminaux [Endpoint Detection and Reponse (EDR)] pour contenir l’attaque. Si un serveur a été touché, quels sont les services potentiellement concernés. De même, si les acteurs responsables de la menace sont présents sur le réseau depuis plusieurs mois, mieux vaut observer leurs comportements. De quoi déterminer l’ampleur du réseau infiltré, et éviter de les pousser à employer une solution de dernier recours, comme la destruction de données ou le déploiement d’un ransomware.
Contacter un fournisseur de services managés
Pour apporter une réponse adaptée, il est également important de faire appel à des experts, comme des fournisseurs de services managés de détection et de réponse. Ces derniers ont pour avantage d’être exposés à un large spectre de technologies et d’environnements. Et ce, contrairement à un fournisseur focalisé sur un seul type de menace.
Signaler la faille
Autre étape importante, les chefs d’entreprise doivent signaler la faille avec honnêteté, quoiqu’il en coûte. Sous peine de s’exposer à des répercussions réputationnelles, financières, voire juridiques dans le cas des établissements critiques. Un travail qui doit se réaliser conjointement avec les équipes communications et juridiques pour transmettre les bons messages aux médias, aux actionnaires et aux équipes.
© Reto Scheiwiller / Pixabay
Récupération du système
Quant à la phase de récupération, elle dépend de l’ampleur de l’incident. En cas d’incident mineur, il suffit d’éliminer les éléments malveillants du système, de patcher une vulnérabilité, mettre à jour tous les logiciels et déployer une solution EDR. En ce qui concerne les incidents plus sérieux, ils peuvent nécessiter un redéploiement complet de l’infrastructure, voire de reconstruire un environnement sécurisé à partir de zéro.
Une analyse rétrospective
Enfin, pour éviter qu’un tel incident ne se reproduise, il est préférable d’effectuer une analyse rétrospective pour renforcer sa résilience. Par exemple, en planifiant des évaluations et des tests de pénétration. En effet, une attaque révèle les failles du système de sécurité, et représente donc l’occasion d’optimiser ses défenses.
Ségolène Kahn
Commentez