14 février 2024

Les recommandations pour réussir sa reprise de contrôle après une cyberattaque

Les dégâts d’une attaque informatique peuvent se chiffrer en millions, voire en dizaines de millions d’euros. C’est pourquoi les orientations et les moyens donnés au pilotage de la reprise de contrôle d’un système d’information compromis par une cyberattaque (appelée « remédiation ») sont déterminants pour l’avenir d’une organisation touchée.

La remédiation est, avec l’investigation et la gestion de crise, l’une des dimensions majeures de la réponse à incident cyber (atteinte aux activités ou espionnage). Elle est définie comme le projet de reprise de contrôle d’un système d’information compromis et de rétablissement d’un état de fonctionnement suffisant.

À la suite d’un incident majeur, la remédiation modifie durant plusieurs semaines voire plusieurs mois le cycle de vie du système d’information, et touche durant cette période de nombreux métiers.

Les recommandations pour réussir sa remédiation

La réussite d'une remédiation informatique dépend de plusieurs facteurs, et voici quelques recommandations pour vous aider dans ce processus :

  • En début de remédiation

1. Pilotez dans la tempête

Sortez de l'immédiateté : se faire absorber par l'activité à la minute est un gouffre. Les incidents se gèrent en semaines et en mois. Prenez le temps de comprendre, de vous faire expliciter les options pour choisir.

2. Assumez des choix structurants

Tout vouloir traiter conduit à la dispersion des moyens et à l'échec. Seuls des décisions stratégiques fortes, une posture assumée et des engagements financiers concrets dans le traitement d’incident permettent des effets durables.

3. Fixez des objectifs stratégiques centrés sur les métiers

Les objectifs stratégiques que vous devez fixer conditionnent la fin du plan de remédiation, et dépendent de l’un des trois scénarios présentés ci-après. Ces objectifs se mesurent à la capacité des métiers à travailler. Ne vous laissez pas emporter dans les arbitrages de détails techniques, mais assumez la portée de leurs impacts sur l’activité de votre organisme.

4. Priorisez les correctifs

Classez les failles ou les vulnérabilités en fonction de leur criticité et concentrez-vous d'abord sur les plus critiques pour minimiser les risques.

5. Élaborez un plan de remédiation

Créez un plan détaillé pour remédier aux failles identifiées et planifiez les corrections en fonction de leur priorité.

  • En cours de remédiation

1. Collaborez avec les parties prenantes

Impliquez toutes les parties prenantes dans le processus de remédiation, y compris les utilisateurs finaux. Communiquez de manière transparente sur les actions entreprises et les progrès réalisés.

2. Gérez les correctifs

Utilisez un système de gestion des correctifs pour suivre et appliquer les mises à jour de sécurité. Automatisez autant que possible le processus de déploiement des correctifs.

3. Surveillez en continue

Mettez en place des outils de surveillance pour détecter toute activité suspecte. Surveillez en permanence les journaux de sécurité et les alertes.

4. Restez réactif

Une remédiation se joue contre une intelligence hostile. Les changements adverses peuvent nécessiter des adaptations. La partie ne se termine jamais.

5. Soyez flexible

La réalisation d'un plan de remédiation rencontre des obstacles. Vous devrez adapter les moyens, les priorités et les temporalités, tout en maintenant des objectifs clairs et constants. Adapter les actions en gardant le cap est un des arts majeurs du décideur.

6. Gardez l'œil sur l'humain

Une fois un plan de remédiation lancé, votre rôle est fondamental dans le maintien du cap. Le leadership, la gestion du moral et de la fatigue dans la durée sont cruciaux dans l'exécution du projet.

  • Après la remédiation

1. Contemplez un horizon viable à long terme

Des investissements judicieux pendant la remédiation conditionnent la manière dont l’activité normale va reprendre et dont la gestion de la sécurité va être assurée. Un projet de remédiation réussi n’est pas un substitut à un plan de sécurisation dans la durée, mais il peut améliorer radicalement la gestion des risques cyber par une organisation.

2. Formez et sensibilisez

Formez votre personnel à la sécurité informatique et sensibilisez-le aux bonnes pratiques. Encouragez les employés à signaler tout comportement ou incident suspect.

3. Vérifiez les sauvegardes et anticipez une reprise après incident

Assurez-vous que des sauvegardes régulières sont effectuées et testées. Élaborez des plans de reprise après incident pour minimiser l'impact en cas de nouvelle faille de sécurité.

4. Contrôlez la conformité aux normes de sécurité

Assurez-vous de respecter les normes de sécurité et les réglementations en vigueur dans votre domaine d'activité. Effectuez des audits de conformité réguliers.

5. Évaluez en continue

Réévaluez régulièrement la sécurité de votre système informatique. Tenez compte des évolutions technologiques et des nouvelles menaces pour ajuster votre stratégie de sécurité.

Les différents scénarios de remédiation

L’ANSSI identifie trois scénarios de remédiation en fonction de l’urgence de redémarrage et des coûts induits par les dommages liés à l’attaque à long terme. Ces scénarios sont des archétypes qui, en conditions réelles, doivent être adaptés. Néanmoins, ils peuvent servir de base pour permettre aux dirigeants d’arbitrer sur le type de remédiation à mener.

  • Scénario 1 - « Restaurer au plus vite des services vitaux »

Face à un péril immédiat pour votre organisation, un nombre restreint de services doivent impérativement être redémarrés. Toutefois, cette approche ne traitera ni les causes racines de l’incident, ni ne protégera d’une résurgence de l’attaque à moyen terme. La survie de votre organisation reste en question.

  • Scénario 2 - « Reprendre le contrôle du SI »

Vous privilégiez un retour le plus rapide possible à l’état de fonctionnement antérieur de la totalité du système d’information. Il n’est pas restructuré. Votre organisation reste à risque, tant que des changements substantiels n'auront pas été réalisés (protection de l’administration, détection…).

  • Scénario 3 - « Saisir l’opportunité pour préparer une maîtrise durable du SI »

Quitte à réaliser des changements majeurs dès la remédiation, vous transformez votre posture de sécurité. Vous choisissez d’investir durablement pour vous réapproprier le pilotage et la défense de votre système d’information. Cette approche permet d’adopter un modèle de sécurité proactif, plutôt que réactif.

En suivant ces recommandations et en adoptant une approche proactive en matière de sécurité informatique, vous améliorerez la résilience de votre infrastructure et réduirez les risques liés aux vulnérabilités.

Une mauvaise remédiation peut avoir de graves conséquences sur le système d'information de votre entreprise. Il est parfois plus prudent de se faire accompagner par un expert tel que Promosoft Informatique qui saura analyser vos spécificités et vous accompagner méthodiquement dans votre reprise de contrôle.

Cet article a été rédigé d'après des sources de l’ANSSI : https://cyber.gouv.fr/actualites/lanssi-publie-un-corpus-de-guides-dedies-la-remediation-dincidents-cyber

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

pROMOSOFT iNFORMATIQUE

Depuis plus de 30 ans, Promosoft informatique est une entreprise informatique basée à Orléans et Rouen qui couvre la Normandie, le Centre-Val de Loire et l'Ile de France. 
Elle accompagne les TPE, PME, ETI et Administrations dans la conception, le déploiement et la maintenance de leur système d'informations.
CONTACTEZ-NOUS
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram