Hacked - so what ?

Le réveil est brutal : en tant que directrice, vous recevez tôt le matin un e-mail "Infrastructure piratée" et une lettre de chantage. Comment informez-vous la cellule de crise et impliquez-vous d'autres personnes concernées un tel jour ?

Lettre de chantage
Nico Zonvi/USZ

Une journée inhabituelle en tant que directrice : en vous rendant à votre entreprise, vous voulez consulter les e-mails professionnels et recevez un message d'erreur. A 8h15, arrivée au bureau, la lettre de chantage de la hackeuse s'affiche à l'écran. Elle veut recevoir dix bitcoins dans les prochaines 24 heures et vous promet qu'une fois les bitcoins reçus, vous récupérerez votre infrastructure commerciale.

Pas de problème - vous êtes préparé. Il n'est pas question pour vous de verser des bitcoins à la pirate. Tout d'abord, vous sortez une sorte de carte de visite de votre porte-monnaie. Toutes les coordonnées de la cellule de crise y figurent. Il existe également deux possibilités de convoquer une réunion. Comme la messagerie professionnelle est perturbée, vous n'utilisez pas le groupe de messagerie, mais le groupe threema de la cellule de crise. À 8h20, tous les membres de la cellule de crise reçoivent votre message : "Infrastructure piratée - réunion à 8h30 dans la salle de réunion ou via le numéro de conférence 058xxxxxx avec le code 529xxx. Vous sortez alors votre doc de crise du tiroir et vous vous rendez dans la salle de réunion de la cellule de crise pour établir la liaison de conférence.

Jusqu'à ce que tout le monde se soit connecté, jetez un coup d'œil à votre dossier de crise. Vous voyez d'abord la liste des I. responsables de la cellule de crise avec les données relatives à la responsabilité, à l'adresse e-mail et au numéro de téléphone ainsi qu'aux suppléants. Pour le choix des membres de la cellule de crise, vous avez fait une évaluation des risques et défini les réseaux critiques pour l'entreprise. Dans votre cas, un collaborateur d'une entreprise informatique externe est défini comme responsable de la sécurité informatique. Dans son rôle, il s'assure en premier lieu qu'aucun hacker ne passe. Si un hacker a tout de même réussi à s'infiltrer, il s'occupe de nettoyer les réseaux et de restaurer l'infrastructure commerciale.
Dans votre cas, le conseil d'administration voulait seulement être informé et ne pas participer à la cellule de crise. C'est pourquoi vous êtes mentionné en tant que décideur. Lors de chaque attaque contre des données, la sécurité des données est concernée et la personne chargée de la sécurité des données est mentionnée en conséquence. Elle s'occupera des éventuelles obligations de déclaration et de la procédure pénale à laquelle il faut s'attendre en matière de protection des données. Vu la taille de votre entreprise, vous portez également la casquette de responsable de la communication.

Sur votre Krisendok II. Vous y trouverez les indications sur la manière dont vous souhaitez convoquer une réunion. La transposition de ces indications sur la taille d'une carte de visite et leur conservation dans le portefeuille de tous les membres de la cellule de crise ont fait leurs preuves aujourd'hui. La convocation aurait tout aussi bien pu être lancée par un autre membre de la cellule de crise. Il est 8h28 et il ne manque plus qu'un membre pour que vous puissiez commencer la réunion.

Dans le dossier de crise III parties prenantes, vous avez listé les contacts dont vous ne souhaitez pas qu'ils apprennent par les journaux que votre entreprise a été piratée. Vous y avez mentionné toutes les coordonnées de vos collaborateurs, de votre conseil d'administration, de vos clients et de vos partenaires commerciaux. Comme vous êtes membre d'une association et soumis à une surveillance, vous avez également mentionné les coordonnées. Pour le contact avec la police compétente, vous avez clarifié l'emplacement de vos serveurs et vous avez maintenant également des données de contact complètes dans votre Krisendok. Au niveau fédéral, vous faites une déclaration auprès du bureau de communication Melani/NCSC. Comme votre entreprise ne pourrait survivre que sept jours ouvrables sans accès à l'infrastructure, vous avez souscrit une cyber-assurance il y a un mois. Les coordonnées et le numéro de la police sont mentionnés. 8h30 : les membres de la cellule de crise sont au complet et la réunion peut commencer à l'heure. La discussion s'ouvre sur la personne qui a convoqué la cellule de crise. Après avoir donné la parole à chaque membre et l'avoir informé de l'actualité, des décisions sont prises. Le responsable informatique s'occupe des notifications auprès de Melani/NCSC, les autorités compétentes en matière de protection des données sont informées par le délégué à la protection des données. Vous vous chargez de la communication avec les parties prenantes. La cellule de crise se réunit maintenant toutes les deux heures pour informer des actualités.

La consigne IV. Communication de votre doc de crise vous aide à informer vos parties prenantes à 9h00 avec cette lettre :
"Nous avons le regret de vous informer que notre entreprise a constaté un accès non autorisé à l'infrastructure aujourd'hui à 8h15. Le pirate a réussi à placer un message de chantage. La cellule de crise prévue pour un tel cas s'est réunie pour la première fois à 8h30. Jusqu'à présent, tous nos systèmes ont été déconnectés d'Internet. Outre la recherche de la manière dont l'accès à notre infrastructure a pu être obtenu, nous travaillons à l'analyse chronologique de nos sauvegardes hors ligne pour vérifier qu'elles ne sont pas infectées. Une sauvegarde propre sera téléchargée sur une infrastructure de réserve. Vous recevrez de plus amples informations aujourd'hui à 17 heures".

À 9h15, vous respirez un peu. Toutes vos parties prenantes vous ont informé et vous pouvez vous consacrer entièrement à la situation. Vous êtes reconnaissant de vous être entraîné à de tels scénarios avec la même régularité que les exercices des pompiers. Lors de ces exercices, vous avez identifié les points faibles et y avez remédié. Avec l'équipe que vous avez maintenant, vous êtes confiant dans le fait que votre infrastructure sera à nouveau opérationnelle à 16 heures. Vous avez probablement perdu des données des dernières heures. Je me demande si vous pourrez annoncer à 17h00 que vous avez réussi à repousser l'attaque. Quel sera le montant de l'amende pour violation de la sécurité des données ?

(Visité 125 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link