5 règles d’or en cas d’attaque cyber

5 règles d’or en cas d’attaque cyber

Le point

Si vos équipements ont un comportement anormal, répétés dans un laps de temps court et sur plusieurs systèmes, vous êtes très probablement sous le coup d’une attaque cyber. Mais généralement, et bien souvent, un beau texte sur fond noir ou une tête de mort illustrant le commentaire indique que vous devez payer une rançon pour accéder à vos contenus.

En cas d’attaque, il y a 5 règles élémentaires à exécuter dans un ordre de priorité précis. L’enjeu est de stopper la propagation du malware. Généralement le mal sera déjà fait. Mais vous empêcherez alors le vol de données qui prend du temps. En coupant les liens, les ordinateurs deviennent sourds et muets ce qui les rend par définition intouchables.

La première chose à faire c’est débrancher le câble de connexion à votre routeur télécom pour empêcher le dataleaks. Vous n’aurez plus d’internet. Inutile donc d’activer le partage de connexion avec votre GSM, vous allez aggraver la situation. À ce stade on ne travaille plus et on ne touche plus à rien. Puis débrancher les câbles de chaque serveur pour que la communication entre vos serveurs et vos postes de travail soient coupés.

A ce moment on peut commencer à regarder son plan de crise et en particulier les critères d’évaluation de l’ouverture d’une cellule de crise. Se préparer à ouvrir la cellule de crise, avec ses fonctions habituelles, directeur, coordinateur, historien, com et juridique. On y associera les experts nécessaires à cette attaque cyber, DSI mais aussi le DRH et le business.

La seconde étape, c’est prévenir vos salariés de ne plus toucher aux ordinateurs, d’interdire la connexion à distance et de contacter vos partenaires et clients pour annuler vos rendez-vous de la journée. Très important, vous interdisez à vos salariés de communiquer sur la situation. Secret absolu, ceci préservera la stratégie de votre communication de crise et vous permettra de mieux protéger votre marque et votre image.

Comme un secret de ce type ne tient jamais bien longtemps, on envisagera en réunion de la cellule de crise, tous les scénarios d’évolution défavorables. Impacts business (allez vous pouvoir produire, vendre, transporter, servir vos clients ?), financiers (risques qui découlent de l’impact sur le business mais aussi du risque juridique en particulier RGPD -l’amende pour rappel est de 4% du chiffre d’affaire- allez vous payer la rançon ?), juridiques (RGPD mais aussi quid d’un client qui se retourne contre vous car il croyait benoitement ses dossiers entre des mains amies), social (vos employés vont prendre une dose de stress, et un sentiment de frustration non négligeable, sur le long terme on ajoute l’impact sur le talent retention et sur la marque employeur, qui veut travailler pour Yahoo ?) et même humain (les pirates peuvent prendre le contrôle sur des systèmes hydrauliques, sur des vannes et tuer des gens, cela est déjà arrivé).

Comment votre stratégie de gestion de crise va protéger votre image ?

La troisième étape, c’est contacter votre assureur si vous avez une police d’assurance sur le risque Cyber. Si vous n’en avez pas, contactez-le quand même pour engager la procédure de sinistre. Chaque assureur à son protocole. Plus on intervient tôt, plus on a de chance d’être mieux accompagné et couvert.

Une fois les scénarios d’impacts déroulés, conviendra de commencer à réfléchir aux plans de mitigation, comment limiter la force de l’impact ? Comment faire baisser la probabilité du scénario ?

La quatrième étape c’est contacter votre partenaire cyber sécurité. Le mieux est de l’avoir identifié. Si vous n’en connaissez pas, utilisez votre réseau. Appelez votre avocat, votre agence de communication, mais pas votre prestataire informatique. Ce n’est pas son métier et il va vouloir improviser pour faire au mieux et vous aider. C’est très dangereux de faire intervenir un technicien sans l’expertise très pointue et sensible qu’exige la gestion technique d’une attaque cyber. Ne vous précipitez pas, attendez de le trouver, c’est lui qui pilotera votre partenaire informatique pour obtenir les informations dont il a besoin pour comprendre comment fonctionne votre organisation.

Maintenant il faut parler en interne, comment raconter l’histoire ? Eviter la recherche du bouc émissaire, la panique (données de marché confidentielles, dossiers classés SD, photos privées.. tout ce qui était sur un terminal peut se retrouver dans la nature) ? Il faut se préparer à vivre de longues semaines sans un accès complet à l’environnement de travail habituel (vos mails, vos datas, etc..)

Enfin, la dernière étape, enclenchée dans l’heure de l’attaque, c’est prévenir votre avocat. Mais pas votre avocat d’affaires. Votre avocat spécialiste de l’enjeu cyber. Celui qui gérera avec votre communication de crise la relation avec vos clients, vos partenaires et votre image. Ne contournez jamais ces règles. Vous ne ferez que complexifier la situation à tout point de vue.

L’attaque a fuité ? De toute façon vos clients, partenaires et fournisseurs ont bien remarqué que vos mails ne répondaient plus et que vous utilisiez des gmails. De toute façon le « milieu » cyber et certains experts comme Zataz auront bien repéré votre attaque et publié à son propos. Vient le temps de la com externe, comment ne pas affoler les marchés si vous êtes cotés en bourse ? Que répondre à la presse ? Quelle posture va être la meilleure pour sortir grandi de cette affaire ?

Une attaque cyber, c’est une attaque contre soi. C’est très perturbant et bouleversant. Personne n’est préparé à cela et cette situation engendre qu’on le veuille ou non un état de choc, y compris chez certains salariés. Il faut donc engager une démarche rassurante, expliquer ce qu’il se passe, ce qu’il va se passer et comment cela va être géré. C’est le meilleur moyen de protéger la mobilisation des salariés et cela aidera beaucoup l’équipe de crise qui à du recul, pas d’affect et une objectivité pertinente. Faites confiance et déléguer, car cette fois-ci, il n’y a que les professionnels qui pourront vous soutenir.

Nous avons bien guéri de la distorsion des biais cognitifs avec le Covid, méfions-nous cependant, une attaque cyber n’arrive pas qu’aux autres, grands ou petits, symbolique ou pas, la question n’est pas de savoir si cela vous arrivera, mais quand !

No Comments

Post a Comment