• 4 heures
  • Facile
Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 19/04/2024

Assistez à la reconstruction après une cyberattaque

Bannière décorative pour le chapitre

Suivez la reconstruction d’un système d’information

Dans le chapitre précédent, vous avez vu les activités menées par les cellules de crise à court terme afin d’endiguer la cyberattaque. Je vous propose maintenant de découvrir les actions menées dans le cadre de la reconstruction du système d'information de l’hôpital.

Tout d’abord, il faut avoir en tête que la reconstruction du système d'information ne se fera pas en un jour ni même en une semaine… Après une telle cyberattaque, l’hôpital peut mettre plusieurs mois pour avoir un système d'information 100 % opérationnel, et renforcé pour faire face à de nouvelles attaques.

Après la phase de réponse à la cyberattaque, il s’agit de la reprise (recovery, en anglais).

Les équipes de l’hôpital sont désormais mobilisées sur le nettoyage du système d'information, la récupération des données et le redémarrage des applications. Pendant cette phase, bien connaître son système d'information est indispensable : quels sont les systèmes et applications les plus critiques, quelles sont leurs interconnexions avec d’autres systèmes et applications, quelles données sont bien sauvegardées, etc.

Nous avons parlé du plan de continuité d’activité (PCA) dans le chapitre précédent. Sachez qu’il existe son équivalent concernant la phase de reprise : le plan de reprise d’activité (PRA). Ce document est essentiel pour savoir quelles actions prioriser lors de la phase de reprise. Dans la panique d’une crise, il est difficile de garder la tête froide et d’avoir le recul nécessaire : le PRA permet de réfléchir en amont aux services à prioriser lors d’une reprise, et aux mesures à prendre en priorité.

Dès que les équipes IT et Sécurité sont bien sûres que l’attaquant n’a plus accès au système d'information de l’hôpital, elles peuvent procéder à la récupération des sauvegardes de données… Mais cela n’est possible que parce que les sauvegardes étaient bien isolées du système d'information, et inaccessibles par l’attaquant ! Notez que l’équipe IT a bien pris le temps de vérifier que les sauvegardes étaient saines, avant de les utiliser.

Après la restauration des sauvegardes de données et le redémarrage des applications les plus critiques, les activités essentielles de l’hôpital peuvent reprendre. Encore une fois (c’est important), cela peut prendre de plusieurs semaines à plusieurs mois.

À la suite de la reconstruction, les équipes IT et Sécurité continuent à travailler sur le renforcement du système d'information, en appliquant de nouvelles mesures de sécurité qui permettront d’éviter une nouvelle attaque. Par exemple :

  • passer à une version de Windows plus récente, avec les dernières mises à jour de sécurité ;

  • installer de nouveaux outils de détection des cyberattaques ;

  • sensibiliser les utilisateurs du système d'information au phishing ;

  • améliorer ses procédures utiles en cas d’attaque.

Ces équipes ont également un rôle essentiel à jouer pour prévenir les cyberattaques ; nous verrons cela plus tard dans le cours.

Découvrez comment est assurée la résilience du système d'information

Et maintenant, comment on s’assure que tout cela n’arrive plus, ou arrive le moins souvent possible ?

Dans tout incident, toute crise, il est essentiel de tirer les leçons de la gestion qui en a été faite. Des réunions sont ainsi organisées avec tous les membres des cellules de crise, afin de faire le point sur :

  • la performance des activités réalisées durant la crise : mobilisation des parties prenantes, qualification des impacts, mise en œuvre du PCA, communication, etc. ;

  • la conformité avec les procédures existantes (procédure de gestion de crise, PCA, PRA, procédure de restauration des sauvegardes, etc.) ;

  • les actions à mettre en œuvre pour mieux gérer la prochaine crise.

Ces réunions s’appellent “retour d’expérience” (ou RETEX). Elles sont normalement organisées à chaud (peu de temps après la crise) et à froid (quelques semaines voire quelques mois après la crise). Il est essentiel qu’un plan d’action découle de ces retours d’expérience, afin d’améliorer la capacité de l’organisation à résister à une future crise.

On parle alors d’améliorer la résilience de son système d’information et, in fine, du bon fonctionnement de l’organisation.

“Résilience du système d’information”, ça veut dire quoi ?

Le métier de responsable de gestion de crise est essentiel pour assurer et améliorer la résilience d’une organisation.

Plusieurs chantiers doivent être menés, afin de :

  • réduire la probabilité de réussite des cyberattaques via la mise en place de mesures spécifiques (voir section précédente) ;

  • réduire les impacts en cas de survenue d’une cyberattaque : bien connaître son système d'information, avoir les bonnes procédures permettant de réagir mieux et plus rapidement, etc. ;

  • réduire le temps de reprise des activités essentielles de l’organisation : récupérer les données rapidement, faire redémarrer les systèmes les plus critiques, etc.

Ainsi, assurer la résilience de son système d’information passe par la pratique, et donc par la participation à des exercices.

Des exercices ? Des sortes de fausses crises ?

Exactement ! L’idée est de tester la préparation de ses équipes et la pertinence de ses documents (procédure de gestion de crise, PCA, PRA), en organisant des exercices de gestion de crise ou des tests du PCA ou du PRA. Lors de ces exercices, une petite équipe s'attelle à la préparation du scénario (élément déclencheur, actions de l’attaquant, etc.), tandis qu’un groupe d’employés devra réagir comme si l’attaque était réelle. Parfois, ce groupe d’employés ne sait même pas qu’il s’agit d’un exercice !

Ces exercices sont d’excellents moyens de préparer ses équipes à gérer une crise, et d’identifier les éléments à améliorer avant la survenue d’une vraie crise.

Je vous recommande de consulter ces ressources !

En résumé

En lisant ce chapitre, vous avez compris que :

  • les étapes de reprise de l'activité de l'organisation sont la restauration des sauvegardes de données, le redémarrage des applications et le renforcement de la sécurité du système d'information ;

  • la reprise de l'activité est longue, elle peut durer plusieurs mois ;

  • la résilience est un élément essentiel à toute organisation, qui lui permet de fonctionner en cas de crise, et de retourner à un fonctionnement normal le plus rapidement possible ;

  • il est important de s'exercer à des crises pour progresser, et être prêt le jour J !

Vous connaissez certains des métiers qui gèrent la crise et la reconstruction post-cyberattaque… Dans la suite du cours, je vous propose de partir à la rencontre des métiers qui œuvrent pour prévenir les cyberattaques. Accrochez-vous, vous avez encore de belles rencontres à faire !

Exemple de certificat de réussite
Exemple de certificat de réussite