Cyber-résilience : plier mais ne pas rompre

Les attaques successives, en mai et juin 2017, de Wannacry et NotPetya ont d&eacute;montr&eacute; la fragilit&eacute; des syst&egrave;mes d&rsquo;information (SI) et la capacit&eacute; d&rsquo;une cybermenace &agrave; rendre indisponibles pendant plusieurs semaines des parties importantes de ces syst&egrave;mes. Les activit&eacute;s des entreprises touch&eacute;es ont &eacute;t&eacute; arr&ecirc;t&eacute;es ou fortement perturb&eacute;es, entra&icirc;nant des pertes cumul&eacute;es d&eacute;passant le milliard d&rsquo;euros. Qu&rsquo;en retenir et comment se pr&eacute;parer pour r&eacute;sister et r&eacute;agir efficacement en cas de cyberattaques majeures ? L&rsquo;impact des cyberattaques destructives sur la r&eacute;silience des entreprises est direct et &eacute;vident. Pour les attaques cibl&eacute;es en profondeur (en anglais, Advanced Persistent Threat &ndash; APT) ayant comme objectif de voler des donn&eacute;es ou de r&eacute;aliser des fraudes, l&rsquo;impact sur la r&eacute;silience est quant &agrave; lui indirect : en provoquant la perte de confiance dans les infrastructures informatiques, ces cyberattaques vont obliger l&rsquo;entreprise &agrave; arr&ecirc;ter totalement ou partiellement son SI pour l&rsquo;assainir ou le reconstruire. La cyber-r&eacute;silience vise donc &agrave; d&eacute;finir les plans permettant, en cas de cyberattaque majeure, de maintenir de fa&ccedil;on d&eacute;grad&eacute;e les activit&eacute;s vitales de l&rsquo;entreprise pendant que la confiance dans le SI est regagn&eacute;e. Les derni&egrave;res cyberattaques majeures en date, destructives comme Wannacry ou NotPetya, ou cibl&eacute;es telle que CCleaner, nous apprennent qu&rsquo;il est possible d&rsquo;&ecirc;tre une victime collat&eacute;rale. Le programme de cybers&eacute;curit&eacute; ne peut donc plus uniquement &ecirc;tre construit en fonction de l&rsquo;&eacute;valuation de sa propre attractivit&eacute;. Le PCA : des mesures non adapt&eacute;es &agrave; la menace Face &agrave; une cyberattaque majeure, le premier r&eacute;flexe, pour une majorit&eacute; des entreprises, serait de vouloir utiliser le Plan de continuit&eacute; d&rsquo;activit&eacute; (PCA), &eacute;l&eacute;ment majeur de la strat&eacute;gie de r&eacute;silience des organisations. Or ce plan vise &agrave; r&eacute;pondre &agrave; des sc&eacute;narios comme une crue de la Seine, une pand&eacute;mie ou la destruction physique d&rsquo;un data center, mais les sc&eacute;narios de cyberattaque n&rsquo;ont pas &eacute;t&eacute; pris en compte. Depuis plus de dix ans, les dispositifs de continuit&eacute; (utilisateurs ou informatiques) ont adopt&eacute; un principe de mutualisation des infrastructures nominales et de secours &agrave; la fois pour r&eacute;pondre aux exigences de reprise rapide et d&rsquo;une meilleure exploitabilit&eacute;. Du fait de cette proximit&eacute;, lors d&rsquo;une cyberattaque, le syst&egrave;me de secours sera compromis en m&ecirc;me temps que le syst&egrave;me nominal, pour trois raisons principales : les syst&egrave;mes de r&eacute;plication vont propager le virus entre le site nominal et le secours ; les infrastructures d&rsquo;administration, utilis&eacute;es dans les cyberattaques pour se propager, sont communes au SI nominal et au secours ; enfin, m&ecirc;me si le site de secours est totalement isol&eacute;, les m&ecirc;mes vuln&eacute;rabilit&eacute;s pourront &ecirc;tre exploit&eacute;es par l&rsquo;attaquant lors de son activation. Dernier recours pour reconstruire le SI, les sauvegardes ne constituent, l&agrave; aussi, pas toujours la solution. En cas de compromission en profondeur, du fait de l&rsquo;ant&eacute;riorit&eacute; de l&rsquo;intrusion (souvent plusieurs centaines de jours avant sa d&eacute;tection), ces sauvegardes embarquent de fait les &eacute;l&eacute;ments malveillants : malwares, &laquo; camps de base &raquo;, mais aussi les modifications d&eacute;j&agrave; op&eacute;r&eacute;es par l&rsquo;attaquant. De plus, la r&eacute;silience des syst&egrave;mes de sauvegarde est souvent n&eacute;glig&eacute;e. Lors de gestion de crise de NotPetya, les serveurs g&eacute;rant les sauvegardes ont eux-m&ecirc;mes &eacute;t&eacute; d&eacute;truits, entra&icirc;nant la perte d&eacute;finitive de ces derni&egrave;res. Muscler sa gestion de crise Les crises cyber sont des crises particuli&egrave;res : elles sont longues (plusieurs semaines) ; la menace est difficile &agrave; cerner (qu&rsquo;a pu faire l&rsquo;attaquant ? depuis combien de temps ? quels sont les impacts ?) ; elles impliquent des parties externes elles-m&ecirc;mes souvent peu pr&eacute;par&eacute;es sur ce sujet (avocats, huissier, autorit&eacute;s, fournisseurs, clients&hellip;). Il est donc n&eacute;cessaire de compl&eacute;ter les dispositifs existants qui n&rsquo;ont pas &eacute;t&eacute; con&ccedil;us pour int&eacute;grer la dimension cyber. Acteur op&eacute;rationnel de la gestion de la crise cyber, la DSI devra prioriser ses actions entre l&rsquo;investigation, la d&eacute;finition et la mise en œuvre du plan de d&eacute;fense en plus des actions nominales de production. Cet aspect constitue un point d&rsquo;anticipation important &agrave; ne pas n&eacute;gliger. Il s&rsquo;agira donc d&rsquo;identifier clairement les &eacute;quipes &agrave; mobiliser sur la crise et d&rsquo;organiser les interventions parall&egrave;les d&rsquo;investigation et de construction de plan de d&eacute;fense, avec les rotations pour assurer un fonctionnement 24/7. Au-del&agrave; de l&rsquo;aspect organisationnel, il faudra s&rsquo;assurer de disposer du bon outillage d&rsquo;investigation (logs int&egrave;gres, capacit&eacute; de recherche de signatures, capacit&eacute; d&rsquo;analyse de malwares inconnus, cartographie technique et fonctionnelle&hellip;) pour analyser et comprendre l&rsquo;attaque. Ainsi les bonnes d&eacute;cisions pourront &ecirc;tre prises, permettant de limiter l&rsquo;impact sur l&rsquo;activit&eacute;. Pour limiter la propagation, la d&eacute;finition de points de coupure (floodgate) doit permettre d&rsquo;isoler les syst&egrave;mes les plus sensibles du reste du SI d&eacute;j&agrave; compromis. Un premier niveau sera de s&rsquo;appuyer sur les points naturels de coupure constitu&eacute;s par les interconnexions r&eacute;seaux. Il faudra d&eacute;finir clairement l&rsquo;impact associ&eacute; &agrave; cette coupure et d&eacute;finir une cha&icirc;ne de d&eacute;cision raccourcie ne n&eacute;cessitant pas le gr&eacute;ement d&rsquo;une cellule de crise, sinon la mesure sera prise trop tard. Une fois la menace isol&eacute;e, il est n&eacute;cessaire de prot&eacute;ger le SI restant (d&eacute;ploiement rapide de correctifs ou de &laquo; vaccin &raquo;&hellip;) avant de penser &agrave; la reconstruction du SI compromis. Une autre complexit&eacute; de ce type de menace tient au fait que les outils de communication habituels sont indisponibles ou n&rsquo;inspirent plus confiance. Il est donc n&eacute;cessaire, pendant la crise, si cela n&rsquo;a pas &eacute;t&eacute; anticip&eacute;, de construire des outils de communication en dehors du SI de l&rsquo;entreprise (messagerie, site de suivi des d&eacute;cisions, annuaire&hellip;). Et parce qu&rsquo;il est primordial de s&rsquo;exercer en amont afin d&rsquo;&ecirc;tre pr&ecirc;t, la r&eacute;alisation d&rsquo;exercices de crise r&eacute;alistes sera un bon r&eacute;v&eacute;lateur de la situation r&eacute;elle de pr&eacute;paration. Repenser les dispositifs de continuit&eacute; De nouveaux dispositifs de continuit&eacute;, s&rsquo;adaptant aux menaces cyber, doivent &ecirc;tre pens&eacute;s et mis en œuvre ; les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuit&eacute;. Le plan de reprise utilisateur doit &eacute;voluer, pour int&eacute;grer par exemple la capacit&eacute; de mettre &agrave; disposition des cl&eacute;s USB permettant aux utilisateurs de r&eacute;installer eux-m&ecirc;mes leur poste de travail. Certaines entreprises ont m&ecirc;me choisi d&rsquo;en faire la solution nominale pour tout nouveau poste d&eacute;ploy&eacute;, permettant, au quotidien, de tester la proc&eacute;dure. Le plan de continuit&eacute; informatique doit inclure de nouvelles solutions pour &ecirc;tre efficace en cas de cyberattaque. La plus embl&eacute;matique vise &agrave; construire des cha&icirc;nes applicatives alternatives. Il s&rsquo;agit de &laquo; dupliquer &raquo; une application sans utiliser les m&ecirc;mes logiciels, syst&egrave;mes d&rsquo;exploitation et &eacute;quipes de production. C&rsquo;est une solution extr&ecirc;me, complexe, qui ne doit &ecirc;tre envisag&eacute;e que pour couvrir les applications les plus vitales (par exemple : les infrastructures &agrave; caract&egrave;re syst&eacute;mique dans le monde de la finance) ou pour disposer d&rsquo;une sauvegarde ultime garantie. 34 institutions financi&egrave;res am&eacute;ricaines se sont d&rsquo;ailleurs regroup&eacute;es pour cr&eacute;er Sheltered Harbor, une entreprise &agrave; but non lucratif ayant pour objectif de conserver une copie ultime des donn&eacute;es pouvant &ecirc;tre utilis&eacute;e pour la reconstruction en cas de cyberattaque. Une solution moins ambitieuse, bien que restant complexe, consiste &agrave; pr&eacute;voir des plans de reconstruction des infrastructures et applications les plus vitales. La cl&eacute; de la r&eacute;ussite r&eacute;side alors dans la capacit&eacute; &agrave; standardiser les architectures pour &ecirc;tre en mesure d&rsquo;automatiser et de simplifier leur d&eacute;ploiement en nominal et lors d&rsquo;une &eacute;ventuelle reconstruction. Ce type de solution est, d&eacute;j&agrave; aujourd&rsquo;hui, utilis&eacute; dans les infrastructures cloud les plus avanc&eacute;es. Un autre &eacute;l&eacute;ment &agrave; ne pas n&eacute;gliger est de repenser les plans de continuit&eacute; m&eacute;tier. Il est n&eacute;cessaire de pr&eacute;parer les m&eacute;tiers &agrave; &ecirc;tre en mesure de travailler de fa&ccedil;on fortement d&eacute;grad&eacute;e, sans SI, pendant plusieurs jours ou semaines. Le m&eacute;tier devra a minima se poser les questions suivantes : puis-je mettre en place des solutions manuelles ? Si ce n&rsquo;est pas possible, comment puis-je arr&ecirc;ter de fa&ccedil;on contr&ocirc;l&eacute;e mon activit&eacute; ? De quelles donn&eacute;es et de quels outils de communication ai-je besoin ? Sans cybers&eacute;curit&eacute;, la cyber-r&eacute;silience n&rsquo;est rien Impl&eacute;menter des mesures de cyber-r&eacute;silience n&eacute;cessite des efforts importants. Des efforts qui seront vains si les syst&egrave;mes nominaux ne sont pas eux-m&ecirc;mes correctement prot&eacute;g&eacute;s et surveill&eacute;s, afin de limiter le risque et l&rsquo;ampleur d&rsquo;une cyberattaque. Le RSSI [1] est l&rsquo;acteur cl&eacute; pour faire aboutir ces d&eacute;marches souvent entam&eacute;es mais rarement finalis&eacute;es. Une alliance du Risk Manager (RM) et du responsable du Plan de continuit&eacute; d&rsquo;activit&eacute; (RPCA) sera alors un plus. Il est aujourd&rsquo;hui commun&eacute;ment acquis qu&rsquo;il est impossible de s&eacute;curiser des syst&egrave;mes informatiques &agrave; 100 %, il faut donc accepter la probabilit&eacute; d&rsquo;occurrence d&rsquo;une attaque et c&rsquo;est &agrave; ce moment-l&agrave; que le RM et/ou le RPCA joueront &eacute;galement un r&ocirc;le. 1 Responsable de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Gestion de crise

Cyber-résilience : plier mais ne pas rompre

Face à la menace de grandes cyberattaques destructrices, comme Wannacry ou NotPetya en 2017, les entreprises doivent se préparer au pire. Les plans d’action et de continuité classiques n’offrent pas toujours la garantie d’une résilience satisfaisante et doivent être repensés.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Gestion de crise

Cyber-résilience : plier mais ne pas rompre

Face à la menace de grandes cyberattaques destructrices, comme Wannacry ou NotPetya en 2017, les entreprises doivent se préparer au pire. Les plans d’action et de continuité classiques n’offrent pas toujours la garantie d’une résilience satisfaisante et doivent être repensés.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »