Les dégâts d’une attaque informatique peuvent se chiffrer en millions, voire en dizaines de millions d’euros. C’est pourquoi les orientations et les moyens donnés au pilotage de la reprise de contrôle d’un système d’information compromis par une cyberattaque (appelée « remédiation ») sont déterminants pour l’avenir d’une organisation touchée.
La remédiation est, avec l’investigation et la gestion de crise, l’une des dimensions majeures de la réponse à incident cyber (atteinte aux activités ou espionnage). Elle est définie comme le projet de reprise de contrôle d’un système d’information compromis et de rétablissement d’un état de fonctionnement suffisant.
À la suite d’un incident majeur, la remédiation modifie durant plusieurs semaines voire plusieurs mois le cycle de vie du système d’information, et touche durant cette période de nombreux métiers.
Les recommandations pour réussir sa remédiation
La réussite d'une remédiation informatique dépend de plusieurs facteurs, et voici quelques recommandations pour vous aider dans ce processus :
1. Pilotez dans la tempête
Sortez de l'immédiateté : se faire absorber par l'activité à la minute est un gouffre. Les incidents se gèrent en semaines et en mois. Prenez le temps de comprendre, de vous faire expliciter les options pour choisir.
2. Assumez des choix structurants
Tout vouloir traiter conduit à la dispersion des moyens et à l'échec. Seuls des décisions stratégiques fortes, une posture assumée et des engagements financiers concrets dans le traitement d’incident permettent des effets durables.
3. Fixez des objectifs stratégiques centrés sur les métiers
Les objectifs stratégiques que vous devez fixer conditionnent la fin du plan de remédiation, et dépendent de l’un des trois scénarios présentés ci-après. Ces objectifs se mesurent à la capacité des métiers à travailler. Ne vous laissez pas emporter dans les arbitrages de détails techniques, mais assumez la portée de leurs impacts sur l’activité de votre organisme.
4. Priorisez les correctifs
Classez les failles ou les vulnérabilités en fonction de leur criticité et concentrez-vous d'abord sur les plus critiques pour minimiser les risques.
5. Élaborez un plan de remédiation
Créez un plan détaillé pour remédier aux failles identifiées et planifiez les corrections en fonction de leur priorité.
1. Collaborez avec les parties prenantes
Impliquez toutes les parties prenantes dans le processus de remédiation, y compris les utilisateurs finaux. Communiquez de manière transparente sur les actions entreprises et les progrès réalisés.
2. Gérez les correctifs
Utilisez un système de gestion des correctifs pour suivre et appliquer les mises à jour de sécurité. Automatisez autant que possible le processus de déploiement des correctifs.
3. Surveillez en continue
Mettez en place des outils de surveillance pour détecter toute activité suspecte. Surveillez en permanence les journaux de sécurité et les alertes.
4. Restez réactif
Une remédiation se joue contre une intelligence hostile. Les changements adverses peuvent nécessiter des adaptations. La partie ne se termine jamais.
5. Soyez flexible
La réalisation d'un plan de remédiation rencontre des obstacles. Vous devrez adapter les moyens, les priorités et les temporalités, tout en maintenant des objectifs clairs et constants. Adapter les actions en gardant le cap est un des arts majeurs du décideur.
6. Gardez l'œil sur l'humain
Une fois un plan de remédiation lancé, votre rôle est fondamental dans le maintien du cap. Le leadership, la gestion du moral et de la fatigue dans la durée sont cruciaux dans l'exécution du projet.
1. Contemplez un horizon viable à long terme
Des investissements judicieux pendant la remédiation conditionnent la manière dont l’activité normale va reprendre et dont la gestion de la sécurité va être assurée. Un projet de remédiation réussi n’est pas un substitut à un plan de sécurisation dans la durée, mais il peut améliorer radicalement la gestion des risques cyber par une organisation.
2. Formez et sensibilisez
Formez votre personnel à la sécurité informatique et sensibilisez-le aux bonnes pratiques. Encouragez les employés à signaler tout comportement ou incident suspect.
3. Vérifiez les sauvegardes et anticipez une reprise après incident
Assurez-vous que des sauvegardes régulières sont effectuées et testées. Élaborez des plans de reprise après incident pour minimiser l'impact en cas de nouvelle faille de sécurité.
4. Contrôlez la conformité aux normes de sécurité
Assurez-vous de respecter les normes de sécurité et les réglementations en vigueur dans votre domaine d'activité. Effectuez des audits de conformité réguliers.
5. Évaluez en continue
Réévaluez régulièrement la sécurité de votre système informatique. Tenez compte des évolutions technologiques et des nouvelles menaces pour ajuster votre stratégie de sécurité.
Les différents scénarios de remédiation
L’ANSSI identifie trois scénarios de remédiation en fonction de l’urgence de redémarrage et des coûts induits par les dommages liés à l’attaque à long terme. Ces scénarios sont des archétypes qui, en conditions réelles, doivent être adaptés. Néanmoins, ils peuvent servir de base pour permettre aux dirigeants d’arbitrer sur le type de remédiation à mener.
Face à un péril immédiat pour votre organisation, un nombre restreint de services doivent impérativement être redémarrés. Toutefois, cette approche ne traitera ni les causes racines de l’incident, ni ne protégera d’une résurgence de l’attaque à moyen terme. La survie de votre organisation reste en question.
Vous privilégiez un retour le plus rapide possible à l’état de fonctionnement antérieur de la totalité du système d’information. Il n’est pas restructuré. Votre organisation reste à risque, tant que des changements substantiels n'auront pas été réalisés (protection de l’administration, détection…).
Quitte à réaliser des changements majeurs dès la remédiation, vous transformez votre posture de sécurité. Vous choisissez d’investir durablement pour vous réapproprier le pilotage et la défense de votre système d’information. Cette approche permet d’adopter un modèle de sécurité proactif, plutôt que réactif.
En suivant ces recommandations et en adoptant une approche proactive en matière de sécurité informatique, vous améliorerez la résilience de votre infrastructure et réduirez les risques liés aux vulnérabilités.
Une mauvaise remédiation peut avoir de graves conséquences sur le système d'information de votre entreprise. Il est parfois plus prudent de se faire accompagner par un expert tel que Promosoft Informatique qui saura analyser vos spécificités et vous accompagner méthodiquement dans votre reprise de contrôle.
Cet article a été rédigé d'après des sources de l’ANSSI : https://cyber.gouv.fr/actualites/lanssi-publie-un-corpus-de-guides-dedies-la-remediation-dincidents-cyber
