Cyberattaque : réduire le temps de réaction

Les catastrophes telles que les intempéries, les avalanches de neige, les actes de sabotage ou les cyberattaques ont un point commun. Elles surviennent avec un délai de préalerte très court, voire de manière totalement inattendue. Il faut alors agir avec détermination et coopération pour éviter que la situation d'urgence ne dégénère, avec des blessés, éventuellement des morts et des dégâts importants. Une communication efficace entre les équipes est la clé du succès dans le difficile métier de la gestion de crise. Les responsables d'intervention qui ne mettent en place des équipes d'urgence et des workflows de crise qu'une fois que la situation d'urgence est déjà survenue perdent trop de temps. Des heures, voire des jours, qui pourraient être mieux utilisés. Car la règle du pouce s'applique : plus le temps passe jusqu'à ce que les bonnes mesures d'urgence soient mises en place, plus les dommages seront importants au final.

Le vol de données et les attaques de ransomware causent chaque année des dommages importants aux entreprises suisses. Depuis le début de l'année 2019, les chevaux de Troie de cryptage s'attaquent de plus en plus aux PME et aux grandes entreprises en Suisse et à l'étranger, rapporte le centre d'enregistrement et d'analyse de la sécurité de l'information Melani. Lors de ces attaques, les sauvegardes sont parfois également cryptées et rendues illisibles. Il devient ainsi impossible de rétablir l'activité des entreprises concernées. Melani déconseille généralement de payer une rançon, car il n'y aurait aucune garantie d'obtenir les clés de décryptage.

Non seulement les entreprises industrielles, mais aussi les institutions publiques et les hôpitaux ne sont pas épargnés par les cyber-attaques et les erreurs de logiciel. En voici un exemple : Dans de nombreuses cliniques, maisons de retraite et de soins suisses, l'appel d'urgence sur les lits n'aurait plus fonctionné après le changement d'année 2018/19 en raison d'une panne de logiciel. Interrogé par la NZZ, l'hôpital universitaire de Zurich (USZ) a confirmé qu'une panne des moniteurs du système d'appel des patients s'était produite à minuit. La prise en charge des patients a toutefois été assurée à tout moment et aucun incident n'a été signalé, précise l'USZ.

La sécurité à 100 % n'existe pas. Parmi les experts en sécurité, une expression circule : il existe deux types d'entreprises. Les unes savent qu'elles ont été piratées, les autres ne se doutent de rien et se croient encore faussement en sécurité. La première étape consiste donc à reconnaître et à catégoriser une attaque. Les pare-feux classiques et les systèmes de détection d'intrusion, par exemple, aident à cela. Dans un deuxième temps, il s'agit de constituer le plus rapidement possible une équipe d'urgence disposant du savoir-faire adéquat et capable de combattre efficacement l'attaque et d'éviter les dommages à l'entreprise. La communication et la coopération jouent un rôle clé à cet égard. Ce n'est que si les entreprises communiquent efficacement en cas de besoin qu'elles peuvent désamorcer rapidement une cyberattaque, en limiter l'ampleur, maintenir autant que possible l'activité commerciale et éviter une perte de réputation. 

Un système automatisé prévient les dommages

Les professionnels de l'informatique estiment que l'utilisation d'un système CEM (Critical Event Management) permet de réduire d'au moins 20 % le temps de réaction à une cyberattaque. Un CEM permet la constitution automatisée d'une équipe d'urgence et la prise de contact automatique avec les membres de l'équipe selon des workflows prédéfinis par SMS, téléphone, mail ou application Messenger. La communication est bidirectionnelle. Si un membre de l'équipe n'est pas joignable, le CEM passe en revue tous les canaux de communication disponibles et, en cas d'échec, recherche des alternatives en termes de personnel.

Pour une gestion de crise réussie, il est essentiel d'intégrer non seulement les responsables informatiques et les équipes d'urgence, mais aussi l'ensemble du personnel dans le système de communication CEM. C'est la seule façon d'informer l'ensemble du personnel de la situation et des prochaines étapes. Dans le cas de la clinique de Fürstenfeldbruck, cela signifierait également informer les services d'urgence que la capacité d'accueil est actuellement fortement limitée en raison d'une panne informatique complète.

Communication sur tous les canaux

La clé pour informer rapidement les personnes concernées par la défense contre la cyberattaque réside dans la messagerie multimodale. Plus les canaux de communication sont nombreux, plus il est probable que les personnes concernées puissent être atteintes indépendamment de l'heure ou du lieu. C'est pourquoi il devrait toujours être possible de les contacter via plusieurs canaux et appareils : par SMS, message push, e-mail ou message vocal sur leurs téléphones fixes et mobiles privés et professionnels. Il faudrait également indiquer pour chaque personne le canal de communication qu'elle préfère en règle générale ou si elle se trouve actuellement à l'étranger et ne peut pas du tout prendre en charge l'urgence en temps réel.

Les flux de travail définis au préalable dans les plans d'urgence permettent de lutter efficacement contre les crises et de minimiser les dommages causés par les cyberattaques. Afin de communiquer le plus efficacement possible et sans erreur en cas d'urgence, les entreprises devraient en outre préparer des modèles pour les flux de travail et les notifications. Il est essentiel de concevoir les messages de manière ciblée pour les différents cercles de destinataires et leurs différentes tâches en cas de crise. L'équipe d'intervention informatique a besoin de toutes autres informations que la direction ou le service du personnel.

Ne pas oublier les partenaires et les clients

Outre la communication interne, la communication externe ne doit pas être négligée. Il s'agit par exemple d'informer à temps les partenaires ou les clients s'il y a un risque qu'ils soient affectés par la cyberattaque. Pour eux aussi, il convient de préparer des procédures et des modèles appropriés. Cela permet de créer de la transparence, d'instaurer la confiance et d'éviter que des informations erronées ne se répandent ou que des rumeurs ne se propagent. Il est également très important de garder un œil sur l'ensemble des réglementations et des prescriptions de conformité. Ainsi, il peut y avoir une obligation légale de notification aux autorités si une entreprise est classée comme exploitant d'une infrastructure critique.

Des modèles de flux de travail et de messages préparés permettent de s'exercer, de tester et, le cas échéant, d'optimiser les processus mis en place sans la pression d'un cas d'urgence. Les tests permettent de mesurer les taux de réponse et de réaction, de déceler d'éventuels points faibles et de les éliminer de manière ciblée.

Si un incident de sécurité informatique se produit, la communication interne et externe est tout aussi importante. Avec un système automatisé et piloté par des modèles, les entreprises s'assurent d'atteindre les bonnes personnes au bon moment. L'IT peut alors résoudre le problème plus rapidement et les parties prenantes internes et externes ont la possibilité de prendre leurs décisions sur la base d'informations exactes et actuelles. 

Les risques sont sous-estimés

Chaque entreprise a un intérêt vital à améliorer en permanence sa gestion des urgences à l'aide d'un CEM. Mais toutes les entreprises ne le font pas - et prennent ainsi un risque élevé. En 2018, le cabinet d'analyse Forrester a mené une enquête auprès de 214 entreprises : Chacune d'entre elles a eu à déplorer au moins une urgence critique au cours des 24 derniers mois. 24 % d'entre elles ont été attaquées par des cybercriminels, 25 % ont vu leur système critique tomber en panne et 28 % se sont fait voler des documents importants. Les entreprises concernées sont parfaitement conscientes que leur réputation en tant que partenaire commercial et fournisseur pourrait en pâtir et qu'elles risquent de voir leur chiffre d'affaires diminuer. Seul un petit tiers mesure le temps de restauration nécessaire pour remettre en marche des systèmes en panne ou fortement ralentis.

Enquête Forrester : le CEM intégré apporte des avantages

Parmi les entreprises interrogées, celles qui utilisent un système CEM ont pu mieux gérer les incidents critiques, plus rapidement et à moindre coût. Pour 49 % d'entre elles (29 % sans CEM), les coûts de planification et de mise en œuvre des mesures d'urgence ont été réduits ; sans CEM, ce chiffre n'était que de 29 %. 50 % ont été en mesure de localiser et de contacter plus facilement leurs collaborateurs grâce à un CEM, contre 36 % sans CEM. 39 % (21 % sans CEM) ont pu se conformer plus facilement aux règles de conformité et aux réglementations. Un résultat révélateur de l'enquête Forrester : les entreprises qui n'utilisent pas de système CEM intégré (unifié), mais préfèrent des solutions isolées, ne sont même pas conscientes des inconvénients de leur choix.

*Andreas Junck est directeur des ventes DACH chez Everbridge à Munich.