Les intrusions sont parfois très difficiles à détecter : il peut se passer des mois avant que l’attaque ne soit découverte. Ainsi, la plupart du temps, les failles de sécurité sont détectées par hasard, par un tiers de l’entreprise, ce qui l’oblige à réagir très rapidement.
Selon une étude du cabinet de conseil américain Eagle Rock, 40% des entreprises ayant subi un arrêt de 72 heures de leurs moyens informatiques et télécoms ne survivent pas.
C’est pourquoi il est important d’avoir anticipé les acteurs à solliciter en interne (le responsable sécurité, la Direction Générale et le pôle communication) et en externe (les autorités, la gendarmerie, la police, les experts, huissiers et avocats).
En cas d’attaque : prioriser
En cas de crise, la priorité consiste à protéger sa réputation : il faut tout faire pour maintenir la confiance de ses clients, des actionnaires et du grand public, et permettre aux ventes de continuer afin de limiter les pertes financières.
Il convient donc de :
- Mandater une personne qui se chargera des contacts avec les tiers (assurances, avocats, État,…)
- Faire appel à un expert pour déterminer l’origine de l’attaque, identifier les données touchées, réparer et mettre à jour le système.
- Faire appel à un spécialiste de la communication de crise pour limiter les conséquences de l’attaque sur l’entreprise.
- Faire appel à un avocat pour gérer les relations avec les tiers
- Si un dépôt de plainte est envisagé, il est très important de conserver les éventuels éléments de preuve et de faire appel à un huissier au plus vite.
- Informer les directions métiers : la DSI ne peut, à elle seule, évaluer l’étendue et les dégâts causés par une attaque, ni anticiper les conséquences multiples.
- Tenter de garder la tête froide : parfois, les DSI sont prises en étau et reçoivent des ordres contradictoires, ce qui les freine dans leur action.
- Entreprendre une analyse de risques pour prévoir un plan de contre-attaque : imaginer les actions de protection à entreprendre immédiatement comme à moyen terme.
Plan de reprise d’activité (PRA) ou plan de continuité d’activité (PCA) ?
L’entreprise qui a subi une attaque informatique doit mettre en œuvre un plan de reprise ou de continuité d’activité, selon les processus qu’elle a prévus en cas de défaillance.
Historiquement, le PCA (plan de continuité d’activité) consiste à analyser l’impact de l’attaque ou de la défaillance et à définir les moyens à mettre en œuvre pour limiter les dégâts. Aujourd’hui, le PCA décrit l’ensemble des moyens destinés à assurer la continuité d’activité de l’entreprise et de ses applications en garantissant une haute disponibilité.
Le PRA (plan de reprise d’activité), de son côté, décrit l’ensemble des moyens et procédures à mettre en place pour assurer une reprise rapide des applications après un arrêt, qu’il soit lié à une défaillance technique, électrique, à une erreur humaine ou à un sinistre.
La différence ? Dans le cadre d’un PCA, l’infrastructure et les applications restent disponibles. Dans le cadre d’un PRA, l’indisponibilité est limitée au minimum.
PRA : Assurer le redémarrage ordonné en cas de défaillance
Tout le monde n’a pas absolument besoin d’une disponibilité totale en cas de défaillance. Tout le monde n’a pas non plus les moyens de s’offrir cette garantie.
Pour beaucoup d’entreprises, le plan de reprise d’activité (PRA) est le moyen le plus rapide et le plus approprié pour assurer un redémarrage rapide de l’infrastructure informatique.
Il s’agit de redémarrer l’activité à partir d’un site ou des équipements de secours (qui est dans l’entreprise, ou géré par un tiers). Le PRA définit les architectures, les moyens et les procédures nécessaires pour protéger les applications et minimiser l’impact de la défaillance.
Selon les configurations, le démarrage se fait :
- A chaud : à partir d’une copie synchrone ou asynchrone des données de l’infrastructure, en s’appuyant sur le dernier état cohérent. Le démarrage des serveurs de secours est accéléré en répliquant les données et en tentant d’obtenir un état aussi proche que possible de celui du dernier instant avant la défaillance. Ainsi, le temps nécessaire pour remettre les applications en route peut être limité à quelques minutes.
- A froid : le redémarrage s’effectue à partir des dernières sauvegardes de l’entreprise. L’entreprise restaure alors ses données ex-nihilo depuis leur support de sauvegarde et remet en route ses applications. Cette solution est plus économique qu’un plan de reprise d’activité à chaud. Le délai de remise en route est plus lent : plusieurs heures, voire plusieurs jours. Avec les sauvegardes sur disque, ce délai peut être réduit à 2 heures. Ce délai dépend aussi de la fréquence des sauvegardes.
L’accessibilité de cette solution va encore augmenter avec la démocratisation des technologies de virtualisation.
Le PCA pour les entreprises visant la haute disponibilité
Si l’entreprise ne veut pas subir d’interruption de service, elle doit avoir préparé un PCA (Plan de Continuité d’Activité) avant la défaillance.
L’entreprise doit avoir préalablement défini les procédures à mettre en œuvre pour assurer une haute disponibilité de l’infrastructure.
Pour cela, des équipements redondés doivent être mis en place sur plusieurs datacenters pour qu’en cas de défaillance de l’infrastructure de l’entreprise, le relais puisse être pris automatiquement par le site de secours.
En général, seules les applications critiques bénéficient d’un PCA, les autres pouvant supporter un PRA qui limite les coûts de fonctionnement.
Faut-il s’entraîner à la gestion de crise ?
L’entreprise a tout intérêt à organiser un exercice de gestion de crise avec l’ensemble des acteurs internes concernés (la direction, les services juridiques, SI, et métiers) ainsi qu’avec les tiers, comme les avocats spécialisés et les experts en analyse technique post-incident , l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), la Befti (Brigade d’enquêtes sur les fraudes aux technologies de l’information), l’Anssi (Agence nationale de la sécurité des systèmes d’information), et la DCRI (Direction centrale du renseignement intérieur) , par exemple.
En effet, la gestion de crise peut durer plusieurs mois et il est important de savoir comment agir le plus sereinement et le plus efficacement possible !
Par la suite, il conviendra de se doter de compétences et d’outils permettant de comprendre l’attaque : outils d’analyse de traces, journaux, plateformes de stockage des éléments techniques,…
Ainsi, pour survivre à une défaillance, mieux vaut bien s’y préparer. Le choix des solutions et procédures à utiliser sera déterminé par la criticité de l’information, mais surtout, par le rapport bénéfice/risque !
Vous avez un doute ? Faîtes appel à nos conseils en matière d’ingénierie d’infrastructure et de sécurité informatique !