Dans le contexte de tensions internationales actuelles, la France subit de très nombreuses cyberattaques. Leurs conséquences peuvent être désastreuses pour les entreprises, allant de la paralysie des activités au vol de données sensibles. Sources de stress, les cyberattaques compliquent la prise de décision des responsables informatiques et limitent leur incidence. L’anticipation devient alors une nécessité. Comment se préparer à affronter une crise ? Comment bien réagir une fois qu’elle est là ?
« Il y a deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque et celles qui ne tarderont pas à l’être » affirme un brin provocateur Guillaume Poupard, le directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi).
Une crise cyber s’aborde de deux manières : soit on la subit, avec tous les aléas des mesures prises dans l’urgence, soit on l’anticipe. Malheureusement, le gendarme de la cybersécurité souligne le manque d’anticipation des entreprises. C’est pourquoi l’Anssi les incite fortement à mettre en place des mesures préventives. L’agence identifie cinq mesures prioritaires à mettre en œuvre à court terme pour parer à toute éventualité.
1. Renforcer les procédures d’authentification
Les comptes les plus sensibles, ceux des administrateurs du système d’information (SI) de l’entreprise et ceux des personnes les plus exposées (direction, cadres dirigeants…) doivent être renforcés. L’Anssi recommande la mise en œuvre d’une authentification forte à deux facteurs d’identification.
Ainsi, pour accéder au réseau, il faudra par exemple combiner un mot de passe robuste et un support matériel (carte à puce, jeton USB, carte magnétique…). A minima un code reçu par SMS pourra servir de deuxième moyen d’identification.
Ce système d’authentification à deux facteurs existe déjà depuis 2019 pour les établissements bancaires .
2. Accroître la surveillance du réseau
En cas de cyberattaque, le temps de réaction devient primordial. La préparation est donc essentielle afin de pouvoir réagir le plus rapidement possible le moment venu. C’est pourquoi l’Anssi recommande la mise en place d’une surveillance globale et permanente du réseau. Cela permettra d’identifier au plus vite une éventuelle compromission et la traiter au plus tôt. En cas d’absence de surveillance globale, l’Anssi conseille de « centraliser les journaux des points les plus sensibles du système d’information » comme les points d’entrées de VPN, les bureaux virtuels, les contrôleurs de domaine ou les hyperviseurs.
Les responsables de la sécurité du SI devront enquêter sur toute anomalie susceptible d’être ignorée en temps normal comme les connexions anormales sur les contrôleurs de domaine et toute alerte des antivirus et solutions EDR (Endpoint detection and response).
3. Sauvegarder hors-ligne les données et applications
Réaliser « des sauvegardes régulières de l’ensemble de données de l’entreprise, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métiers, doivent être réalisées » insiste l’Anssi.
Afin d’éviter les ransomwares, les sauvegardes doivent être déconnectées du réseau pour empêcher leur chiffrement. Il faut privilégier l’usage de solutions de stockage à froid (disques durs et bandes magnétiques).
Il conviendra de restaurer les sauvegardes régulièrement pour s’assurer de leur intégrité et éviter les erreurs lors de la restauration.
4. Identifier les services critiques
En cas d’attaque, il faut prioriser les actions de sécurisation. Pour cela, il faut auparavant avoir établi un inventaire des services numériques de l’entreprise et les hiérarchiser en fonction de leur caractère critique pour la continuité d’activité de l’entreprise.
L’Anssi demande aussi de tenir compte des dépendances vis-à-vis des prestataires.
5. Préparer la gestion de crise adaptée à une cyberattaque
Une cyberattaque peut déstabiliser le fonctionnement de l’entreprise. Les fonctions support comme la téléphonie, la messagerie, mais aussi les applications métiers sont souvent les premières à être mis hors d’usage. L’entreprise devra alors fonctionner en mode dégradé, au risque parfois de revenir au papier et au crayon.
Selon la gravité, une cyberattaque cause une interruption d’activité partielle allant dans les cas les plus graves à une interruption totale.
L’entreprise devra constituer une cellule de crise et définir un plan de réponse visant à applique un plan de continuité d’activité (PCA) ou un plan de reprise informatique (PRI). De quoi permettre à l’entreprise de fonctionner en mode dégradé et restaurer au plus vite les systèmes et les données pour revenir à une situation normale.