Assistez aux actions permettant d’éliminer l’attaquant du système d’information
En parallèle des investigations et de la gestion de crise, se déroule la remédiation.
Il s’agit en particulier de réaliser les activités suivantes :
Phases de la remédiation | Objectifs | Détails de l’objectif |
Endiguement | Empêcher l’attaquant de progresser dans le système d’information |
|
Éviction | Chasser l’attaquant du cœur du système d’information pour en rétablir la confiance | Identifier le cœur de confiance du système d’information autour duquel on pourra reconstruire et d’assurer la fiabilité des systèmes techniques. |
Éradication | Éliminer tout accès de l’attaquant à des composants du système d’information | Faire tout son possible pour empêcher un retour de l’attaquant sur le système d’information, en supprimant ses accès et en détectant un éventuel retour. |
Reconstruction | En parallèle de l’éviction et de l'éradication, reconstruire et renforcer la sécurité de son système d’information pour mieux résister à la présente attaque et aux prochaines. |
C’est la cellule de crise opérationnelle / technique qui pilote les opérations de remédiation durant la crise. Les investigations dont nous avons parlé précédemment sont un prérequis nécessaire à une bonne remédiation : il est important de comprendre d’abord par où est passé l’attaquant et quelles actions il a mené le système d’information.
Avant de commencer la remédiation, il faut tout d'abord préparer un plan. Ce plan de remédiation est constitué :
d’objectifs stratégiques, tels que, dans notre exemple, pouvoir soigner de nouveau les patients ;
d’objectifs opérationnels, comme : restaurer les sauvegardes des dossiers patients pour être capables de connaître leurs antécédents, redémarrer les équipements d’imagerie médicale ;
d’actions techniques telles que : restaurer les bandes contenant les sauvegardes des dossiers patients, déterminer si les logiciels d’imagerie médicale ont été corrompus et les réinstaller de zéro si besoin, etc.
Valider ce plan de remédiation implique la validation de tous les métiers concernés : direction de l’hôpital, médecins, équipe en charge des systèmes d’information, etc.
Il est maintenant temps de le mettre en œuvre, accompagné par une étape de reconstruction que je détaille dans la section suivante.
Suivez la reconstruction d’un système d’information
Je vous propose maintenant de découvrir les actions menées dans le cadre de la reconstruction du système d'information de l’hôpital.
Tout d’abord, il faut avoir en tête que la reconstruction du système d'information ne se fera pas en un jour ni même en une semaine… Après une telle cyberattaque, l’hôpital peut mettre plusieurs mois pour avoir un système d'information 100 % opérationnel, et renforcé pour faire face à de nouvelles attaques.
Après la phase de réponse à la cyberattaque, il s’agit de la reprise (recovery, en anglais).
Les équipes de l’hôpital sont désormais mobilisées sur le nettoyage du système d'information, la récupération des données et le redémarrage des applications. Pendant cette phase, bien connaître son système d'information est indispensable : quels sont les systèmes et applications les plus critiques, quelles sont leurs interconnexions avec d’autres systèmes et applications, quelles données sont bien sauvegardées, etc.
Nous avons parlé du plan de continuité d’activité (PCA) dans le chapitre précédent. Sachez qu’il existe son équivalent concernant la phase de reprise : le plan de reprise d’activité (PRA). Ce document est essentiel pour savoir quelles actions prioriser lors de la phase de reprise. Dans la panique d’une crise, il est difficile de garder la tête froide et d’avoir le recul nécessaire : le PRA permet de réfléchir en amont aux services à prioriser lors d’une reprise, et aux mesures à prendre en priorité.
Dès que les équipes IT et Sécurité sont bien sûres que l’attaquant n’a plus accès au système d'information de l’hôpital, elles peuvent procéder à la récupération des sauvegardes de données… Mais cela n’est possible que parce que les sauvegardes étaient bien isolées du système d'information, et inaccessibles par l’attaquant ! Notez que l’équipe IT a bien pris le temps de vérifier que les sauvegardes étaient saines, avant de les utiliser.
Après la restauration des sauvegardes de données et le redémarrage des applications les plus critiques, les activités essentielles de l’hôpital peuvent reprendre. Encore une fois (c’est important), cela peut prendre de plusieurs semaines à plusieurs mois.
À la suite de la reconstruction, les équipes IT et Sécurité continuent à travailler sur le renforcement du système d'information, en appliquant de nouvelles mesures de sécurité qui permettront d’éviter une nouvelle attaque. Par exemple :
passer à une version de Windows plus récente, avec les dernières mises à jour de sécurité ;
installer de nouveaux outils de détection des cyberattaques ;
sensibiliser les utilisateurs du système d'information au phishing ;
améliorer ses procédures utiles en cas d’attaque.
Ces équipes ont également un rôle essentiel à jouer pour prévenir les cyberattaques ; nous verrons cela plus tard dans le cours.
Découvrez comment est assurée la résilience du système d'information
Et maintenant, comment on s’assure que tout cela n’arrive plus, ou arrive le moins souvent possible ?
Dans tout incident, toute crise, il est essentiel de tirer les leçons de la gestion qui en a été faite. Des réunions sont ainsi organisées avec tous les membres des cellules de crise, afin de faire le point sur :
la performance des activités réalisées durant la crise : mobilisation des parties prenantes, qualification des impacts, mise en œuvre du PCA, communication, etc. ;
la conformité avec les procédures existantes (procédure de gestion de crise, PCA, PRA, procédure de restauration des sauvegardes, etc.) ;
les actions à mettre en œuvre pour mieux gérer la prochaine crise.
Ces réunions s’appellent “retour d’expérience” (ou RETEX). Elles sont normalement organisées à chaud (peu de temps après la crise) et à froid (quelques semaines voire quelques mois après la crise). Il est essentiel qu’un plan d’action découle de ces retours d’expérience, afin d’améliorer la capacité de l’organisation à résister à une future crise.
On parle alors d’améliorer la résilience de son système d’information et, in fine, du bon fonctionnement de l’organisation.
“Résilience du système d’information”, ça veut dire quoi ?
Le métier de responsable de gestion de crise est essentiel pour assurer et améliorer la résilience d’une organisation.
Plusieurs chantiers doivent être menés, afin de :
réduire la probabilité de réussite des cyberattaques via la mise en place de mesures spécifiques (voir section précédente) ;
réduire les impacts en cas de survenue d’une cyberattaque : bien connaître son système d'information, avoir les bonnes procédures permettant de réagir mieux et plus rapidement, etc. ;
réduire le temps de reprise des activités essentielles de l’organisation : récupérer les données rapidement, faire redémarrer les systèmes les plus critiques, etc.
Ainsi, assurer la résilience de son système d’information passe par la pratique, et donc par la participation à des exercices.
Des exercices ? Des sortes de fausses crises ?
Exactement ! L’idée est de tester la préparation de ses équipes et la pertinence de ses documents (procédure de gestion de crise, PCA, PRA), en organisant des exercices de gestion de crise ou des tests du PCA ou du PRA. Lors de ces exercices, une petite équipe s'attelle à la préparation du scénario (élément déclencheur, actions de l’attaquant, etc.), tandis qu’un groupe d’employés devra réagir comme si l’attaque était réelle. Parfois, ce groupe d’employés ne sait même pas qu’il s’agit d’un exercice !
Ces exercices sont d’excellents moyens de préparer ses équipes à gérer une crise, et d’identifier les éléments à améliorer avant la survenue d’une vraie crise.
Je vous recommande de consulter ces ressources !
En résumé
En lisant ce chapitre, vous avez compris que :
les étapes de reprise de l'activité de l'organisation sont la restauration des sauvegardes de données, le redémarrage des applications et le renforcement de la sécurité du système d'information ;
la reprise de l'activité est longue, elle peut durer plusieurs mois ;
la résilience est un élément essentiel à toute organisation, qui lui permet de fonctionner en cas de crise, et de retourner à un fonctionnement normal le plus rapidement possible ;
il est important de s'exercer à des crises pour progresser, et être prêt le jour J !
Vous connaissez certains des métiers qui gèrent la crise et la reconstruction post-cyberattaque… Dans la suite du cours, je vous propose de partir à la rencontre des métiers qui œuvrent pour prévenir les cyberattaques. Accrochez-vous, vous avez encore de belles rencontres à faire !