Pour sensibiliser à la gestion de crise, quoi de mieux qu’un témoignage de ceux l’ayant expérimentée ? Lundi dernier, l’Anssi présentait ses trois guides visant à partager les bonnes pratiques en matière de gestion de crise cyber.
Un domaine que l’agence connaît bien : comme l’expliquait Yves Verhoeven, sous-directeur stratégie au sein de l’Anssi, le nombre de crises cyber sur lesquelles le CERT-FR a été mobilisé en 2020 a bondi de 250 %. Un chiffre qui reflète une nouvelle fois la montée en puissance des attaques au ransomware. La particularité de ces attaques, pour les entreprises, est qu’elle provoque la plupart du temps l’arrêt brutal de leur système d’information et le plus souvent des opérations de l’entreprise, un danger bien réel pour l’avenir de la société.
Une bonne raison de se préparer au pire, afin d’éviter d’être pris au dépourvu le jour ou celui-ci se produira.
Prendre des décisions coûteuses dans l’urgence
Pour témoigner de l’expérience, l’agence avait ainsi convié Thomas Degardin, responsable de la sécurité chez Bouygues Construction. En janvier 2020, la filiale construction du groupe Bouygues a été touchée par le groupe de ransomware Maze, dont le logiciel malveillant a bloqué le fonctionnement de plusieurs milliers de serveurs et d’applications métier, plongeant l’entreprise dans un état de crise prolongé.
Comme l’explique le RSSI, ce type de situation impose de prendre des décisions parfois coûteuses et dans l’urgence. « L’attaque a été déclenchée dans la nuit du 29 au 30 janvier 2020, d’abord à travers des signalements de nos collègues travaillant en Asie, avant de se propager au reste du système informatique. Rapidement, la cellule de crise a été mise en place. Il a fallu agir rapidement et nous avons choisi d’isoler dans un premier temps le système, puis de l’arrêter complètement pour stopper la propagation. »
Une première décision salutaire dans le cas de Bouygues Construction, qui a permis de limiter la propagation du logiciel malveillant et de s’éviter de voir l’ensemble des boites e-mails Exchange de leurs employés chiffrées par les attaquants. « Après cette première étape, nous avons contacté notre assureur, puis l’Anssi, et surtout des experts inforensiques pour nous accompagner rapidement », précise Thomas Degardin.
Le rôle essentiel de l’inforensique
Le terme « inforensique » désigne ici le travail d’experts capables d’investiguer un système informatique touché par un logiciel malveillant afin de comprendre l’origine de l’attaque, les outils utilisés par les attaquants, le cheminement des attaquants dans le système d’information et tous les éléments pouvant éclairer la cellule de gestion de crise sur les décisions à prendre.
« On a terriblement besoin de ces experts, parce que dans les premiers moments de l’attaque, on est toujours dans le flou total. Ce sont les conclusions de nos prestataires en inforensique qui nous ont permis de prendre des décisions, c’est-à-dire décider la restauration de certains systèmes ou l’utilisation de certaines sauvegardes, parce qu’on savait qu’elles étaient saines », raconte le RSSI.
Une expertise primordiale donc, mais qui doit également prendre en compte l’aspect métier. « C’est quelque chose dont on était évidemment conscient. Si l’entreprise ne redémarre pas, elle meure », estime Thomas Degardin.
Préserver ses équipes
Le contact direct avec les autres directions de l’entreprise a ainsi permis d’identifier et de prioriser les travaux de la cellule de crise sur les fonctions les plus essentielles pour la survie de la société. Dans le cas de Bouygues Construction, la date de l’attaque est devenue un facteur clé : « Nous avons été attaqués le 30 janvier. Donc notre première priorité a été de payer les collaborateurs. Et dans la même logique, assurer le fonctionnement des chantiers et donc payer les fournisseurs qui travaillent avec nous sur ces dossiers », rappelle-t-il.
Une fois la cellule de crise en place, et les premières actions mises en œuvre, la partie est néanmoins loin d’être terminée, comme l’explique Nasser Adami, directeur des services informatiques de l’hôpital de Villefranche.
L’établissement a été visé par une attaque au ransomware assez similaire à celle de Bouygues Construction dans la nuit du 14 au 15 février 2021.
Là aussi, ce sont les nécessités qui dictent le premières décisions à prendre. « Rapidement, on doit se demander comment on assure la venue des patients aux urgences, ce qu’on fait des patients en réanimation, etc.. Mon rôle était d’assurer le lien entre la cellule de crise et l’opérationnel, ce qui n’était pas toujours évident. On me demandait souvent quand est-ce que tel ou tel système allait être rétabli, mais je n’avais pas toujours la réponse. C’est quelque chose de difficile à appréhender, surtout sur la durée : nous étions prêts pour fonctionner sur un mode dégradé pendant 24 à 48 heures, mais pas pendant sept semaines ! Il a fallu repasser au papier et au crayon pour fonctionner, et quand l’ensemble des procédures sont automatisées, ça n’a rien de facile. »
Le tout en faisant face à la pression des usagers, mais aussi des collaborateurs et des partenaires. « C’est un véritable facteur de stress, et on doit éviter que cela ne pèse trop sur les équipes chargées de la reconstruction. L’idée de « mettre sous cloche » l’équipe chargée de la reconstruction a été évoquée, mais elle est tout à fait nécessaire. »
Se préparer aux imprévus
Avec les ransomwares, le terme de « crise » est en effet trompeur : bien souvent, la crise traîne en longueur, et c’est un paramètre à prendre en compte dans les préparatifs. « Dans une situation pareille, les équipes sont engagées au-delà du raisonnable. Je peux vous assurer qu’au début, vous allez essayer de courir un sprint, alors que c’est plutôt un marathon qui vous attend. Et vos équipes vont s’épuiser très vite », prévient Thomas Degardin.
Alors, mieux vaut prévoir de ménager ses troupes, et toute l’aide extérieure est la bienvenue. « Nous avions mis en place une cellule opération, qui centralisait l’ensemble des demandes et se chargeait par exemple de recruter des consultants externes selon les besoins. Et il faut également penser aux services généraux : les premiers jours, nous avions 200 personnes sur site. Il a donc fallu penser à s’organiser pour le nettoyage, ou encore les équipes de restauration qui sont venues nous aider. Et c’est parfois salvateur : j’ai souvenir d’un velouté potiron gingembre-noisette qui m’a permis de repartir au combat jusqu’à deux heures du matin. »
Les deux responsables ont rappelé plusieurs conseils essentiels pour ne pas se laisser déborder : conserver par exemple un annuaire d’entreprise dans un coin, déconnecté du système informatique. Quand ce dernier est paralysé, pas la peine d’essayer de retrouver le contact d’un employé essentiel. De la même manière, mieux vaut anticiper à l’avance le choix d’une messagerie sécurisée pour communiquer au sein de la cellule de crise, et en direction des employés qui seront forcement très demandeurs en informations. Comme le rappelle Nasser Adami, « dans les premières heures, nous n’avions plus rien. Dans notre cas, nous avons choisi d’utiliser WhatsApp parce que c’était le plus pratique, mais à l’avenir, j’espère qu’on aura un outil plus approprié ».
Préparer également les équipes de communication, qui seront très probablement sollicitées à la fois par les employés, et pour filtrer si besoin les demandes extérieures. Et évidemment, se rappeler qu’il est impossible de tout prévoir, et que chaque crise mérite d’être débriefée pour préparer la prochaine, comme l’explique Thomas Degardin. « Je pense qu’aujourd’hui, on est mieux armé pour faire face à ce genre d’incident, mais cela ne sert à rien d’essayer d’anticiper toutes les attaques. Dans ce genre de cas, les plans sont inutiles mais la planification est indispensable. » Un mot d’ordre que l’Anssi ne reniera pas.
