10 conseils pour prévenir et gérer une cybercrise

Dans le cadre d’une conférence virtuelle du Club de trafic de Montréal tenue le 4 février, Arnaud Mangematin, conseiller principal, résilience des organisations chez CGI, a abordé la question de la cybersécurité et offert des conseils sur la façon d’agir en cas de cybercrise.

«Une cybercrise, c’est une crise qui trouve soit son origine, soit ses répercussions dans le cyberespace donc, en lien avec vos systèmes d’information. On parle par exemple d’une fuite de données sensibles qui vous appartiennent, de l’indisponibilité de vos systèmes industriels ou de vos systèmes de gestion, etc.»

Les cybercrises sont évolutives. Quand un attaquant est sur votre réseau, il peut initier d’autres actions que celles qu’il a déjà entreprises et peut continuer à vous porter atteinte de pire en pire. Ces actions peuvent s’étendre sur l’ensemble de vos opérations, où qu’elles soient dans le monde, et elles nécessitent une expertise particulière.

Il n’y a pas de solution miracle que vous pouvez installer pour vos protéger. Mais si vous n’êtes pas prêt, ce sera très difficile pour vous de réagir à une cybercrise.

«Développez les capacités techniques et opérationnelles qui vont vous permettre de réduire à la fois la probabilité d’occurrence d’une crise et l’intensité des impacts que pourrait avoir une menace sur votre entreprise», de dire M. Mangematin, qui a offert 10 conseils pour prévenir et gérer efficacement une cybercrise.

1. Bien connaître votre organisation, ses forces, ses faibles et les menaces qui peuvent l’affecter. «Cela va vous permettre de connaître les priorités de votre organisation, les risques auxquels elle est exposée, de définir les menaces face auxquelles elle souhaite se préparer. Cela permet aussi de connaître les ressources et les capacités dont elle dispose pour réagir.»

2. Améliorer votre posture de sécurité de l’information. «Cela va vous permettre de réduire la probabilité et les répercussions d’une cyberattaque sur vos systèmes. En moyenne, les entreprises dépensent entre cinq et 10 pour cent de leur budget informatique en sécurité. L’important, c’est d’avoir une approche structurée pour pouvoir couvrir l’ensemble des champs de la sécurité. Investissez tous les ans et améliorez progressivement votre posture de sécurité. Cela vous évitera d’être le plus faible et donc, celui qui est attaqué.»

3. Mettre en place des solutions technologiques pour surveiller, détecter et gérer les incidents. «Ça peut être la mise en place d’anti-virus et d’outils de détection des intrusions, ou encore la configuration de cas de surveillance dans votre SIEM (Security Information and Event Management) pour détecter des comportements anormaux sur vos systèmes. Assurez-vous d’avoir une équipe formée et capable de le faire, que ce soit à l’interne ou à l’externe si vous ne pouvez pas avoir une équipe TI. Vous pouvez externaliser ou mutualiser des ressources. Assurez-vous de bien préciser et communiquer ce qui doit être fait et de documenter les procédures.»

4. Adapter votre dispositif de gestion de crise pour qu’il puisse prendre en compte les incidents de type cyber. «En cas de crise, il y aura des enjeux opérationnels et de communication avec vos partenaires qui vont devoir être gérés par votre cellule de crise corporative, mais assurez-vous que vous avez aussi en parallèle une cellule de crise cyber qui va vraiment s’attaquer à la solution technique.»

5. Se préparer à la continuité des affaires. «Lorsque vous faites face à un scénario d’indisponibilité de vos ressources (humaines, immobilières ou TI), vous devez quand même pouvoir continuer à livrer les services qui sont la raison d’être de votre entreprise. Prévoyez toutes les manières de fonctionner et de quoi vous aurez besoin. Par exemple, si vos commandes ne peuvent plus entrer par votre site web, devrez-vous prendre les commandes à la main, par appel? Si vous avez déjà prévu et avez déjà des mesures prêtes, vous allez gagner un temps fou.»

6. Avoir un plan de secours après sinistre TI (disaster recovery plan). «Imaginons que vos systèmes d’information soient complètement détruits; il faut faire un plan pour les reconstruire. Un bon conseil : ayez des sauvegardes saines. Les attaquants peuvent être plusieurs mois dans votre système d’information, alors même vos sauvegardes pourraient être corrompues et il vous faudrait remonter à plusieurs mois pour retrouver une sauvegarde saine. Faites régulièrement des sauvegardes et externalisez-les de votre réseau sinon elles risquent d’être corrompues également.»

7. Préparer un plan de communication de crise. «Assurez-vous de pouvoir communiquer, même si vos systèmes d’information ne sont plus disponibles. Vous devez être en mesure de transmettre des informations à vos partenaires d’affaires et vous devez être en mesure de vulgariser les informations.»

8. Organiser des exercices de gestion de crise. «Un plan qui est prévu, mais qui n’a jamais été testé, c’est comme si vous n’aviez pas de plan. Organisez des exercices de gestion de crises pour vous entraîner à réagir à des situations. Des gens qui ont travaillé ensemble pendant des exercices auront moins d’appréhension à travailler ensemble dans la vraie vie par la suite.»

9. Penser aux cyberassurances. « Demandez-vous si d’avoir une cyberassurance entre dans votre logique de gestion des risques d’entreprise. Les risques, on peut soit les éviter, les réduire, les accepter ou les transférer. Prendre une assurance, c’est transférer son risque. Les cyberassurances permettent l’intervention d’une équipe de partenaires techniques pour aider à comprendre ce qui vous arrive et à établir un plan d’action.»

10. Analyser les répercussions immédiates et potentielles d’une cybercrise. «Si une crise arrive, assurez bien la traçabilité de l’événement et de sa gestion. Conservez les preuves, advenant qu’il y ait une enquête et pour vous-même, et prenez le temps de tirer les enseignements de ce qui vous est arrivé pour ne pas refaire les mêmes erreurs.»