Comment gérer une cybercrise ?
Lorsqu’une entreprise est victime d’un piratage informatique, le premier réflexe doit être d’isoler les ordinateurs infectés du reste du système d’information, afin de stopper la propagation de l’attaque. Mais ce n’est que le début d’un marathon.
Alerter les autorités
Le Règlement général sur la protection des données (RGPD) impose aux entreprises de faire remonter tout vol d’informations personnelles à la CNIL, et parfois même aux clients concernés. La notification initiale à la CNIL doit être réalisée dans les 72 heures, en se rendant sur le site notifications.cnil.fr/notifications/. Afin de déterminer s’il est nécessaire d’avertir les personnes dont les données ont été subtilisées (et donc de rendre public l’incident), il est recommandé de demander conseil à la Commission lors de cette première étape déclarative. Attention, car la non-déclaration de l’incident peut mener à l’application de lourdes sanctions.
Communiquer au moment opportun
Une cyberattaque se traduit au mieux par une perturbation de l’activité, voire par un arrêt complet des opérations. Si de grands acteurs font partie des clients de l’entreprise, ils risquent de lui demander des comptes par la suite, ce qui peut mener à des ruptures de contrats. La règle est de jouer la transparence en alertant les clients de la survenue de l’attaque, des actions en cours pour y remédier et des perspectives de retour à la normale. Mais attention à ne pas communiquer trop tôt, car les pirates sauront que leurs méfaits ont été découverts. Ils pourraient alors fuir, en ayant au préalable fait le plus de dégâts possibles.
Mener l’enquête avant de tenter une restauration
Mener l’enquête est essentiel afin de savoir par où les cybercriminels sont passés. S’il s’agit de l’envoi d’un e-mail piégé, restaurer une sauvegarde à une date antérieure à la réception de l’e-mail suffira à résoudre le problème. Mais rien ne garantit que les cybercriminels n’ont pas précédemment mis la main sur des actifs stratégiques de l’entreprise, comme son serveur Active Directory (répertoire des adresses e-mail). De même, le chiffrement des données opéré par un rançongiciel (ransomware) va prendre un temps conséquent. Restaurer à l’aveugle la sauvegarde datant de la veille du jour de l’incident ne servira donc à rien… si ce n’est risquer un second incident.
Restaurer le système d’information et renforcer sa sécurité
Une fois les failles du système d’information identifiées, il est possible de restaurer les ordinateurs touchés, à partir de sauvegardes saines, sur lesquelles auront été éventuellement appliqués les correctifs de sécurité comblant les failles par lesquelles les pirates sont passés. Cette remise en route doit se faire progressivement, avec un maximum de prudence. Mais ce n’est pas tout. Une attaque informatique doit toujours être suivie d’une révision de la politique de sécurité de l’entreprise : installation de nouvelles protections, sensibilisation des collaborateurs, mise en place de plans de gestion de crise et de reprise d’activité (PRA), renforcement du système de sauvegarde, etc.
À toutes les étapes de la crise, il est indispensable de prendre le temps de faire les choses correctement. Remettre en route un système d’information peut durer plusieurs semaines et coûter cher. La tentation est donc grande pour les entreprises de sauter des étapes afin de relancer leur activité au plus vite, sans trop dépenser. Mais cela pourrait mener à un second piratage avec, à la clé, des pertes de clients, des procès, voire la fermeture définitive de l’entreprise.
De nombreux experts peuvent aider les organisations dans leurs travaux de communication, d’enquête et de restauration du système d’information. Le site cybermalveillance.gouv.fr aide par ailleurs les entreprises à bien se protéger et vise à les accompagner dans leurs démarches en cas de cyberattaque.