Cyberattaque : Comment réagir et rebondir rapidement

Lorsque le pire survient et qu’une cyberattaque immobilise une entreprise, une collectivité locale, il faut pouvoir se tourner vers des professionnels habitués à gérer une telle crise. Outre l’analyse des modalités de l’attaque et sa remédiation, c’est l’occasion de repenser la protection de ses données.

Une attaque réussie sur une entreprise est un choc pour son responsable informatique, la direction générale, mais aussi pour tous les collaborateurs empêchés de travailler. Il faut savoir réagir juste sans céder à l’urgence, remettre en place les données, mais aussi établir un nouveau système plus résilient. Novenci a créé un pôle Cybersécurité d’une dizaine de personnes, dont une partie sur le pôle expertise et 4 personnes dédiées à son SOC (Security Operations Center). Son activité est structurée selon le référentiel du NIST, une référence en la matière. Ce pôle Cyber compte une vingtaine de clients et de l’ordre de 5 000 terminaux sous surveillance. Son activité porte sur l’identification et l’analyse du risque, l’audit organisationnelle et technique, puis la mise en œuvre des moyens de protection du SI, mais aussi la sensibilisation du personnel au risque cyber.

Une gestion de crise qui va au-delà de la seule problématique IT

En cas d’attaque avérée chez un client de Novenci ou une entreprise qui fait appel à ses services, l’équipe de Romain Métayer, responsable du pôle cyber, entre immédiatement en action : « La première chose à faire est de constituer l’équipe de crise, avec des ressources mobilisées qui vont dépendre de l’ampleur de l’attaque » explique le responsable. « Cette équipe travaille avec le client et fait des points quotidiens sur l’avancement de la résolution de la crise. La phase de Forensic permet de faire un point sur le nombre de machines compromises. Les experts de sécurité collectent les données de log afin de retracer le chemin inverse de l’attaque pour remonter à son origine. » Ceux-ci mettent en œuvre divers outils, dont les fameux logiciels EDR (Endpoint detection and response), mais aussi des outils d’analyse des logs systèmes. « Nous nous appuyons sur le framework MITRE Att&ck pour comprendre les leviers mis en œuvre par les attaquants, à la fois arriver à identifier le patient 0, mais aussi les mouvements latéraux réalisés par l’attaquant pour infecter le reste du système d’information. » Cette phase d’analyse de l’attaque, le Forensic, dans le jargon des experts est suivie de la remédiation, c'est-à-dire la reconstitution progressive du système d’information avec le rechargement des données, la réinstallation des serveurs et des postes infectés. Ce sont les 2 axes de travail majeurs des équipes de réponses à incident.

Mais outre ce volet purement technique, il ne faut pas négliger l’importance de la gestion de crise dans son ensemble. Romain Métayer souligne notamment le rôle de la direction générale qui doit être intégré au comité de gestion de crise, au même titre que le DSI et l’éventuel RSSI. « Il faut inclure aux réunions de la cellule de crise les responsables métiers et la communication lorsque ceux-ci sont concernés. La communication interne est un aspect important d’une gestion de crise, car de nombreux collaborateurs se retrouvent souvent dans l’incapacité de pouvoir faire leur travail du jour au lendemain. Ils se posent des questions légitimes quant à leur avenir. Cet aspect psychologique de la crise ne doit pas être négligé. » De même l’aspect légal et réglementaire doit être respecté à la lettre. L’équipe de gestion de crise peut solliciter le DPO de Novenci afin d’accompagner la victime dans la rédaction de sa déclaration auprès de la CNIL et son dépôt de plainte.

Un impératif : Muscler les défenses avant de relancer les systèmes

Une cyberattaque est bien souvent l’occasion de remettre à plat les dispositifs de sauvegarde de données et l’occasion d’une modernisation qui va tenir compte de ce retour d’expérience. Généralement, les dirigeants d’entreprises suivent les préconisations des experts et mettent en place des moyens de protection plus efficients. C’est le cas de l’EDR qui est très souvent déployé à cette occasion sur l’ensemble des postes. L’infrastructure de stockage est aussi souvent remise à niveau. « Avant même la reprise d’activité, nous durcissons les systèmes existants ou un projet de modernisation des infrastructures de plus grande envergure est lancé en prenant en considération les aspects protections, stockage et sauvegardes » explique Romain Métayer. L’équipe Cyber fait alors appel au pôle infrastructures de Novenci qui s’appuie sur son partenariat avec le constructeur NetApp pour proposer une infrastructure de stockage et de sauvegarde des données plus résiliente.

Le stockage immuable, une réponse pragmatique au risque de ransomware

Frederico Fernandes, Directeur Technique Infrastructures NOVENCI, explique l’intérêt du choix de la technologie créée par NetApp : « Avec la technologie des sauvegardes immuables de NetApp, nous sommes aujourd’hui capables de restaurer 100 To de données en une dizaine de minutes seulement. La situation est radicalement différente pour une entreprise qui ne dispose que de sauvegardes traditionnelles sur bandes magnétiques. Il faut alors compte de 1 à 2 mois de délais pour pouvoir recharger toutes les données. » Les sauvegardes immuables apportent la garantie que les données restaurées n’ont pas été contaminées par un éventuel ransomware. En outre, la baie de stockage est capable de désactiver automatiquement les comptes compromis. L’équipe de remédiation peut ainsi rétablir très rapidement l’état des données présentes avant l’attaque. Romain Métayer résume l’avis de l’expert en cybersécurité sur cette nouvelle approche : « La solution proposée par NetApp permet surtout d’agir de manière automatique et efficiente au cours de l’attaque et avant qu’il ne soit « trop tard ». L’analyse comportementale intégrée aux baies de stockage NetApp est en mesure de bloquer un compte suspect afin d’endiguer l’attaque et stopper un chiffrement massif sur le système d’information. Ainsi, on va ainsi éviter de mobiliser la totalité de l’équipe de gestion de crise pour traiter l’incident. »

Une telle technologie permet de limiter l’immobilisation du système d’information à quelques heures alors qu’il est fréquent qu’une crise cyber majeure paralyse une entreprise pendant des mois.

En outre, Novenci assure l’hébergement de baies de stockage dans ses datacenters, un moyen de répondre à l’exigence des assureurs qui imposent de plus en plus à leurs clients de disposer de sauvegardes en dehors de leurs propres infrastructures : « Nous disposons d’infrastructures de stockage NetApp dans nos datacenters dotés de cette capacité de stockage immuable des données de nos clients » explique Frederico Fernandes. « Cela nous permet de proposer quasi systématiquement une externalisation des sauvegardes dans nos datacenters, avec une notion de délégation de la responsabilité. C’est nous qui assumons la responsabilité sur ces sauvegardes et la capacité de pouvoir délivrer des données saines après l’attaque. »

S’appuyer sur des moyens de sauvegarde performants et des équipes cyber aguerries reste encore la meilleure garantie face au risque causé par les ransomware.