Article
Environ 10 min
Dec 21, 2023 Publié le 21/12/2023

Cyberattaque paralysante : quelle posture adopter, quels outils utiliser ?

En fonction de sa gravité et du périmètre concerné, une cyberattaque peut entraîner une interruption totale ou partielle de certains services et composants du système d’information. Cette situation rend d’autant plus difficile la gestion de la crise cyber et la communication autour de l’événement.

Quelles sont les premières actions à réaliser pour stopper la propagation d’une cyberattaque ? Quels outils utiliser ? Comment bien communiquer sur la crise cyber en cours alors que certains outils ne sont plus accessibles ? Quelles leçons tirer d’une telle crise pour renforcer sa sécurité informatique ?

3 grands exemples de cyberattaques

Il n’est évidemment pas possible de lister les différentes formes de cyberattaques, tant les menaces sont nombreuses et les modes opératoires variés. Voici 3 exemples.

Intrusion

L’intrusion au sein d’un système d’information se définit comme un accès non autorisé par un tiers à un système informatique (serveur, réseau, appareil mobile, etc.). Différentes méthodes peuvent être utilisées pour réussir une intrusion au sein d’un système d’information, telles que le défaut de configuration, l’exploitation de vulnérabilités connues ou encore le vol d’identifiants. Une fois introduit au sein du système d’information, l’acteur malveillant peut chercher à accéder à d’autres zones, à réaliser une élévation de privilèges, à voler des informations, à perturber le fonctionnement de certains services, etc.

Ransomware

Une cyberattaque par ransomware (ou rançongiciel) se déroule via l’envoi d’un programme malveillant sur un appareil afin d’en chiffrer les données. Les attaquants exigent ensuite le paiement d’une somme d’argent afin de restituer la clé de déchiffrement. Le programme malveillant peut infecter un appareil de différentes manières : ouverture d’une pièce jointe frauduleuse ou clic sur un lien malveillant permettant d’exécuter le programme, intrusion informatique, etc.

Attaque par déni de service distribué (DDoS)

Les attaques de type DDoS visent à saturer de requêtes un site Internet afin de le ralentir ou de le rendre inaccessible. Relativement simples à mettre en œuvre, les attaques par déni de service distribué peuvent engendrer des pertes financières pour l’organisation qui en est victime (en lien avec l’interruption de service qui en résulte). Elles peuvent également porter atteinte à son image.

Les premières étapes à suivre face à une cyberattaque

1. Isoler les systèmes compromis

Le premier réflexe à mettre en œuvre face à un système d’information compromis est de chercher à endiguer et circonscrire l’attaque pour éviter sa propagation à d’autres éléments du SI. Concrètement, cela consiste à cloisonner ou à déconnecter du réseau les éléments compromis (applications, serveurs), mais sans les éteindre.

Certaines de ces mesures d’isolation du réseau peuvent avoir des conséquences sur la continuité de l’activité. Elles doivent donc être étudiées et validées par la cellule de crise.

2. Évaluer les impacts de la cyberattaque sur le système d’information

Réagir efficacement face à une cyberattaque implique de pouvoir identifier le périmètre concerné, le chemin pris par l’attaquant ainsi que l’impact de l’attaque sur les différents actifs qui composent le système d’information.

Exemples de questions à se poser pour évaluer les impacts d’une cyberattaque sur un SI et prendre l’ampleur des dysfonctionnements informatiques :

•       Quels sont les systèmes affectés par la cyberattaque ou suspectés de l’être ?

•       Ces systèmes ont-ils été identifiés comme critiques pour l’organisation, supportent-ils des données sensibles ?

•       Ces systèmes sont-ils soumis à des obligations réglementaires et/ou contractuelles ?

•       Quel est le niveau de perturbation du système d’information ?

•       Les métiers sont-ils impactés par la cyberattaque ?

•       Certains services sont-ils arrêtés/inaccessibles ?

•       Certains fichiers sont-ils impossibles à lire ?

Cette étape destinée à évaluer les impacts sera facilitée si les équipes chargées de gérer la crise peuvent s’appuyer sur une cartographie de leur système d’information, qui liste notamment :

•       Les différents actifs et les services identifiés comme critiques,

•       Les interdépendances entre les différents actifs et services,

•       Les interdépendances entre le système d’information et des entités externes à l’organisation (sous-traitants, prestataires, etc.).

En identifiant les services considérés comme critiques, la cartographie aide à prioriser les actions. Elle permet par exemple de déterminer quels actifs isoler, surveiller ou protéger en priorité.

3. Collecter et conserver des traces

Cette collecte d’informations est indispensable dans le cadre de la compréhension globale de l’incident et particulièrement utile pour la phase d’investigation. Les systèmes infectés doivent être maintenus sous-tension (mais déconnectés du réseau) afin de conserver des traces sur les attaquants.

Les éléments de preuve récoltés permettront également d’effectuer le signalement de la cyberattaque aux autorités compétentes. Tenir un registre des événements, des mesures prises et des actions menées aide à tirer les enseignements de la gestion de la crise. L’objectif est de capitaliser sur l’ensemble de ces éléments afin d’améliorer sa posture de réponse à incident.

Exemples de preuves à collecter et à conserver :

•       Les différents types de journaux (sécurité, systèmes, serveurs, postes de travail, équipements d’infrastructure), à mettre en sécurité en effectuant des copies hors ligne ou sur des systèmes isolés,

•       Disques durs des postes et serveurs infectés,

•       Emails piégés,

•       Contacts avec les attaquants (le cas échéant),

•       Fichiers chiffrés,

•       Etc.

Cette phase de collecte d’informations doit également empêcher l’attaquant de détruire ses propres traces.

Quels outils pour répondre à une cyberattaque ?

Les outils de détection des intrusions

Différents dispositifs de sécurité permettent de détecter d’éventuelles intrusions sur le système d’information, par exemple :

•       Les outils de supervision,

•       Les outils de journalisation et d’analyse des logs (puits de logs, SIEM),

•       Les antivirus, les logiciels EDR et XDR,

•       Les logiciels de détection d’intrusion sur l’hôte et le réseau.

Les outils de réponse à incident

Quant aux outils utiles lors de la phase de réponse à incident, citons :

•       La cartographie du système d’information (pour identifier et comprendre l’attaque, améliorer la prise de décision),

•       La boucle OODA (Observe, Orient, Decide, Act), un modèle de prise de décision orienté vers l’action.

Les outils de récupération

S’agissant de la phase de récupération, les outils de reconstruction de l’AD et les logiciels de récupération de données s’avèrent particulièrement utiles.

Communication de crise : un volet indispensable

Anticiper sa communication de crise

L’anticipation est la clé de toute gestion de crise réussie. Anticiper une potentielle cyberattaque et ses impacts en termes de communication permettra de la traiter avec plus de rapidité et d’efficacité lorsque celle-ci surviendra. L’ANSSI conseille de suivre 7 grandes étapes afin de préparer sa communication de crise :

1. Travailler hors période de crise à l’instauration d’un dialogue entre les équipes communication, cyber et IT

2. Anticiper différents scénarios de crise cyber et les réponses à y apporter sur le volet communication

3. Concevoir sa stratégie de communication destinée à répondre à la crise cyber

4. Intégrer la fonction communication dans le dispositif de gestion de crise cyber

5. Organiser la communication de crise

6. Créer une boîte à outils de communication dédiée à la gestion d’une crise cyber

7. Former et entraîner les équipes à la gestion du volet communication

Communication de crise en cas de système d'information paralysé : quelques conseils concrets

•      Identifier des canaux de communication « de secours » et temporaires à utiliser si les systèmes de communication classiques (messagerie professionnelle, téléphonie) ne sont plus opérationnels.

•      Mettre en place des annuaires de crise déconnectés du système d’information (un fichier presse, par exemple).

Le rôle de la communication dans le processus de gestion de réponse à incident

Si les cyberattaques déstabilisent le fonctionnement d’une organisation, en paralysant par exemple certains de ses services, elles peuvent également porter atteinte à l’image et à la réputation. L’objectif de la communication est précisément de reprendre la main, d’expliquer l’incident, les perturbations en cours et les mesures prises pour gérer la crise.

Le volet communication doit être intégré dans le processus de gestion de crise. Le communicant peut ainsi mieux évaluer l’impact de la cyberattaque sur les métiers, les services et l’organisation dans son ensemble. Il peut également anticiper le potentiel impact de la cyberattaque sur l’image et la réputation et ainsi mieux les préserver.

Concrètement, le travail du communicant dans la gestion de crise cyber se découpe en différentes missions :

•       Réaliser une analyse de risque communicationnelle afin d’évaluer l’impact de la cyberattaque sur l’image et la réputation de l’organisation.

•       Préparer des éléments de langage si l’organisation choisit de communiquer sur l’incident.

•       Répondre aux sollicitations, qu’elles proviennent de l’interne, de clients, de partenaires, de médias, etc.

•       Coordonner la communication émise par les différents acteurs impliqués : équipes techniques, direction générale, métiers impactés et en contact avec des parties prenantes externes (service client, par exemple), etc.

Communication interne, communication externe : deux facettes à prendre en compte

•       Une communication de crise efficace s’adresse aux différents publics impactés, qu’ils soient internes ou externes.

•       De nombreux acteurs sont potentiellement concernés : salariés, clients, fournisseurs, sous-traitants, partenaires, etc.

•       Contenu de la communication interne : expliquer la situation, lister les mesures prises pour limiter la perturbation des activités, transmettre des consignes pratiques, esquisser des perspectives de retour à la normale.

•       Contenu de la communication externe : expliquer la crise et les mesures prises tout au long des différentes étapes (compréhension de la cyberattaque, réponse à incident, etc.).

•       Veiller à la cohérence entre les différents messages tout en les adaptant au contexte de chaque acteur, communiquer régulièrement en fonction de l’évolution de la situation.

Renforcer sa sécurité informatique après une cyberattaque : 3 étapes clés

1. Reconstruire son système d’information

•       Corriger les vulnérabilités exploitées par l’attaquant, supprimer ses accès.

•       Définir une stratégie de reconstruction des systèmes infectés et de reprise des activités, prioriser pour redémarrer progressivement.

•       Mettre en place des actions de récupération des données.

2. Capitaliser sur l’incident pour améliorer sa posture

•       Appréhender la cyberattaque comme une étape pivot permettant d’améliorer durablement la sécurité du système d’information afin d’éviter la survenue d’une nouvelle crise.

•       Passer en revue sa politique de sécurité du système d’information (PSSI) et identifier les éléments inadaptés/insuffisants.

•       Définir des actions de sécurité à engager, les déployer et les suivre dans le temps pour mettre en place des standards de sécurité plus élevés.

•       Passer en revue la gestion de crise cyber afin d’identifier les éléments à améliorer dans le dispositif de gestion de crise.

•       Élaborer ou mettre à jour son plan de reprise d’activité (PRA).

3. Gagner en visibilité sur son système d’information

•       Améliorer la surveillance du SI et les capacités de détection.

•       Réaliser une cartographie de son SI ou mettre à jour la cartographie existante afin d’identifier ses services et ses ressources critiques.

•       Partager les outils et informations avec l’ensemble des équipes.

Une cyberattaque est déstabilisante par nature. Elle l’est d’autant plus lorsque le système d’information est durablement impacté et perturbé, ce qui complique la réponse à incident. L’anticipation et la préparation sont essentielles pour prendre rapidement les premières mesures et savoir communiquer autour de l’incident. Être outillé correctement est également indispensable pour réagir efficacement. L’analyse de la gestion de crise peut être l’occasion d’améliorer sa posture et de renforcer sa sécurité informatique.

Vous aimeriez savoir comment OverSOC peut vous aider à mieux organiser votre réponse à incident ? Contactez-nous.