Gestion de crise

Cyber-résilience : plier mais ne pas rompre

Face à la menace de grandes cyberattaques destructrices, comme Wannacry ou NotPetya en 2017, les entreprises doivent se préparer au pire. Les plans d’action et de continuité classiques n’offrent pas toujours la garantie d’une résilience satisfaisante et doivent être repensés.

L'auteur

Revue de l'article

Les attaques successives, en mai et juin 2017, de Wannacry et NotPetya ont démontré la fragilité des systèmes d’information (SI) et la capacité d’une cybermenace à rendre indisponibles pendant plusieurs semaines des parties importantes de ces systèmes. Les activités des entreprises touchées ont été arrêtées ou fortement perturbées, entraînant des pertes cumulées dépassant le milliard d’euros. Qu’en retenir et comment se préparer pour résister et réagir efficacement en cas de cyberattaques majeures ?

L’impact des cyberattaques destructives sur la résilience des entreprises est direct et évident. Pour les attaques ciblées en profondeur (en anglais, Advanced Persistent Threat – APT) ayant comme objectif de voler des données ou de réaliser des fraudes, l’impact sur la résilience est quant à lui indirect : en provoquant la perte de confiance dans les infrastructures informatiques, ces cyberattaques vont obliger l’entreprise à arrêter totalement ou partiellement son SI pour l’assainir ou le reconstruire.

La cyber-résilience vise donc à définir les plans permettant, en cas de cyberattaque majeure, de maintenir de façon dégradée les activités vitales de l’entreprise pendant que la confiance dans le SI est regagnée.

Les dernières cyberattaques majeures en date, destructives comme Wannacry ou NotPetya, ou ciblées telle que CCleaner, nous apprennent qu’il est possible d’être une victime collatérale. Le programme de cybersécurité ne peut donc plus uniquement être construit en fonction de l’évaluation de sa propre attractivité.

Le PCA : des mesures non adaptées à la menace

Face à une cyberattaque majeure, le premier réflexe, pour une majorité des entreprises, serait de vouloir utiliser le Plan de continuité d’activité (PCA), élément majeur de la stratégie de résilience des organisations. Or ce plan vise à répondre à des scénarios comme une crue de la Seine, une pandémie ou la destruction physique d’un data center, mais les scénarios de cyberattaque n’ont pas été pris en compte.

Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté un principe de mutualisation des infrastructures nominales et de secours à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Du fait de cette proximité, lors d’une cyberattaque, le système de secours sera compromis en même temps que le système nominal, pour trois raisons principales :

  • les systèmes de réplication vont propager le virus entre le site nominal et le secours ;
  • les infrastructures d’administration, utilisées dans les cyberattaques pour se propager, sont communes au SI nominal et au secours ;
  • enfin, même si le site de secours est totalement isolé, les mêmes vulnérabilités pourront être exploitées par l’attaquant lors de son activation.

Dernier recours pour reconstruire le SI, les sauvegardes ne constituent, là aussi, pas toujours la solution. En cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, « camps de base », mais aussi les modifications déjà opérées par l’attaquant. De plus, la résilience des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise de NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits, entraînant la perte définitive de ces dernières.

Muscler sa gestion de crise

Les crises cyber sont des crises particulières :

  • elles sont longues (plusieurs semaines) ;
  • la menace est difficile à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) ;
  • elles impliquent des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissier, autorités, fournisseurs, clients…).

Il est donc nécessaire de compléter les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI devra prioriser ses actions entre l’investigation, la définition et la mise en œuvre du plan de défense en plus des actions nominales de production. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense, avec les rotations pour assurer un fonctionnement 24/7.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer du bon outillage d’investigation (logs intègres, capacité de recherche de signatures, capacité d’analyse de malwares inconnus, cartographie technique et fonctionnelle…) pour analyser et comprendre l’attaque. Ainsi les bonnes décisions pourront être prises, permettant de limiter l’impact sur l’activité.

Pour limiter la propagation, la définition de points de coupure (floodgate) doit permettre d’isoler les systèmes les plus sensibles du reste du SI déjà compromis. Un premier niveau sera de s’appuyer sur les points naturels de coupure constitués par les interconnexions réseaux. Il faudra définir clairement l’impact associé à cette coupure et définir une chaîne de décision raccourcie ne nécessitant pas le gréement d’une cellule de crise, sinon la mesure sera prise trop tard.

Une fois la menace isolée, il est nécessaire de protéger le SI restant (déploiement rapide de correctifs ou de « vaccin »…) avant de penser à la reconstruction du SI compromis.

Une autre complexité de ce type de menace tient au fait que les outils de communication habituels sont indisponibles ou n’inspirent plus confiance. Il est donc nécessaire, pendant la crise, si cela n’a pas été anticipé, de construire des outils de communication en dehors du SI de l’entreprise (messagerie, site de suivi des décisions, annuaire…).

Et parce qu’il est primordial de s’exercer en amont afin d’être prêt, la réalisation d’exercices de crise réalistes sera un bon révélateur de la situation réelle de préparation.

Repenser les dispositifs de continuité

De nouveaux dispositifs de continuité, s’adaptant aux menaces cyber, doivent être pensés et mis en œuvre ; les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité.

Le plan de reprise utilisateur doit évoluer, pour intégrer par exemple la capacité de mettre à disposition des clés USB permettant aux utilisateurs de réinstaller eux-mêmes leur poste de travail. Certaines entreprises ont même choisi d’en faire la solution nominale pour tout nouveau poste déployé, permettant, au quotidien, de tester la procédure.

Le plan de continuité informatique doit inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, complexe, qui ne doit être envisagée que pour couvrir les applications les plus vitales (par exemple : les infrastructures à caractère systémique dans le monde de la finance) ou pour disposer d’une sauvegarde ultime garantie. 34 institutions financières américaines se sont d’ailleurs regroupées pour créer Sheltered Harbor, une entreprise à but non lucratif ayant pour objectif de conserver une copie ultime des données pouvant être utilisée pour la reconstruction en cas de cyberattaque.

Une solution moins ambitieuse, bien que restant complexe, consiste à prévoir des plans de reconstruction des infrastructures et applications les plus vitales. La clé de la réussite réside alors dans la capacité à standardiser les architectures pour être en mesure d’automatiser et de simplifier leur déploiement en nominal et lors d’une éventuelle reconstruction. Ce type de solution est, déjà aujourd’hui, utilisé dans les infrastructures cloud les plus avancées.

Un autre élément à ne pas négliger est de repenser les plans de continuité métier. Il est nécessaire de préparer les métiers à être en mesure de travailler de façon fortement dégradée, sans SI, pendant plusieurs jours ou semaines. Le métier devra a minima se poser les questions suivantes : puis-je mettre en place des solutions manuelles ? Si ce n’est pas possible, comment puis-je arrêter de façon contrôlée mon activité ? De quelles données et de quels outils de communication ai-je besoin ?

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter des mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si les systèmes nominaux ne sont pas eux-mêmes correctement protégés et surveillés, afin de limiter le risque et l’ampleur d’une cyberattaque. Le RSSI [1] est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. Une alliance du Risk Manager (RM) et du responsable du Plan de continuité d’activité (RPCA) sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes informatiques à 100 %, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM et/ou le RPCA joueront également un rôle.

 

[1] Responsable de la sécurité des systèmes d’information.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Sur le même sujet