Mi-janvier, Alliancy accueillait un groupe de directeurs des systèmes d’information et directeurs cybersécurité, venu se livrer à un exercice bien particulier, les plongeant dans un scénario d’attaque par ransomware, inspiré de faits réels, et les invitant à vivre les réactions de l’entreprise victime.

Mi-janvier, Alliancy accueillait au sein de la rédaction un groupe de 15 chief information officer et chief information security officer, pour un atelier organisé par la société Rubrik. L’occasion de les plonger dans un scénario d’attaque par ransomware, inspiré de faits réels, et de les inviter à vivre les réactions d’autres rôles que les leurs dans une entreprise.

C’est avec la musique reconnaissable d’une série policière que s’ouvre la session, donnant le ton de la soirée. En octobre 2021, lors du week-end qui sépare le Black Friday du Cyber Monday, pic d’activités pour le retail et la vente en ligne, l’entreprise « Keller Fashion », 1 milliard de dollars de chiffre d’affaires, découvre qu’elle a été frappée par un ransomware. Non seulement elle ne peut plus réaliser de vente sur son site web mondial, mais les caisses enregistreuses de ses 45 magasins sont également inopérantes. Commence alors une course contre la montre, où phases d’enquête et réunions de crise se succèdent et où la pression monte, en même temps que les centaines de milliers de dollars de perte de revenus, heure par heure.

A lire aussi : Workshop « Un atelier immersif pour muscler votre gestion de crise ransomware »

La gestion d’une crise ransomware concerne tout le monde

Si les noms ont été changé, le scénario lui, est bien réel et est le fruit des témoignages précis qu’a recueilli l’entreprise Rubrik, spécialiste de la gestion de données cloud et de la sécurité des données. Mis en scène, et rejoué en vidéo par des collaborateurs de la société spécialisée, cette histoire – au demeurant assez tragique et qui a conduit la PDG du retailer vers la sortie – est l’occasion de vivre de l’intérieur les nombreux soubresauts, hésitations, moments de confusion et conflits, provoqués par la cyber-attaque. Les directeurs informatiques et les directeurs cybersécurité des organisations françaises sont de plus en plus habitué à affronter le sujet du ransomware, mais la gestion d’une telle crise ne les concerne pas uniquement. A ce titre, il est extrêmement précieux qu’ils puissent se projeter sur les réactions des membres du Comex et d’autres postes de l’entreprise, y compris du côté des opérationnels.

Le temps d’une soirée conviviale, faite aussi de partage d’expériences, les 15 responsables réunis à l’occasion de cet atelier « Save The Data » organisé par Rubrik au sein de la rédaction d’Alliancy, ont ainsi pu voir les nombreuses erreurs et déconvenues qu’a pu connaître « Keller Fashion ». Ces CIO et CISO ont joué le jeu et fait preuve également d’une grande humilité, reconnaissant qu’il était toujours plus facile de discuter de ces éléments après coup de façon virtuelle plutôt que de les vivre directement.

Parmi les points clés abordés lors de l’analyse du scénario, le fait que les ransomwares ont fortement évolué ces dernières années, et qu’ils ciblent aujourd’hui dans 70% des cas les sauvegardes en priorité. Ils sont également régulièrement présents dans les systèmes informations depuis de longues semaines, voire des mois, et ils se sont ainsi la plupart du temps répliqués dans les sauvegardes dont disposent une entreprise. Cette différence avec les premiers ransomwares qu’ont dû affronter les organisations il y a quelques années, explique une partie des déconvenues rencontrées par « Keller Fashion » qui traite l’attaque cyber avec des réflexes et des processus classiques de plan de reprise ou de continuité d’activité (PRA/PCA).

Tester un scénario redouté de destruction totale

Or, une attaque par ransomware ne peut pas être comparée à un incident de disponibilité informatique.  « Le DSI veut montrer que son investissement en matière de PRA/PCA est à la hauteur, alors que ce n’est pas le sujet. L’entreprise s’efforce de restaurer son système avec des données qui sont déjà corrompues, sans avoir analysé l’origine de l’attaque et le fond du problème » a souligné un des participants à l’atelier. Un autre épingle : « Ils n’ont clairement pas testé en amont un scénario de « destruction totale » du SI, ce qui est pourtant ce qui arrive ou presque ». L’absence d’un véritable engagement de la part de la direction, incarnée par un « directeur de crise » est également mise en avant, autant d’ailleurs que le langage beaucoup trop technique employé par le CISO lors de ses prises de parole face au board de « Keller Fashion ».

L’expert cyber Michel Juvin, chroniqueur d’Alliancy, qui a participé à l’atelier, résume les quelques clés importantes pour les entreprises : « En premier lieu, la préparation : elle est nécessaire et vraiment bénéfique, elle permet d’anticiper et vérifier la capacité à réduire l’impact de l’attaque. Dans l’anticipation, il faut comprendre : la conception d’un système résilient, les tests et exercices de gestion de crise, mais aussi les audits des vulnérabilités et une bonne gestion du patch management ».

Il insiste aussi sur la façon dont l’architecture du système d’information a été pensée ; un point mis en avant par plusieurs autres participants : « Il est absolument nécessaire de concevoir son SI en prenant en compte la possibilité de le segmenter pour appliquer l’action de conteneurisation, qui est l’une des plus importante dans la gestion de crise. Il s’agit d’isoler le plus possible les différents SI pour éviter la propagation transversale. Cela doit être fait dès la conception, que ce soit au niveau des réseaux (multi-segmentation), que de l’architecture d’un datacenter. En effet, peu d’experts connaissent les bonnes pratiques pour concevoir un datacenter ; en l’occurrence on parle d’isoler certains machines pour permettre de les protéger mais aussi de pouvoir s’y connecter de manière indépendante de l’Active Directory (l’annuaire clé du SI qui est souvent la cible des cyberattaquants, NDLR) si nécessaire ».

Ransomware : le rendez-vous manqué du Comex

Par ailleurs, l’implication du comité de direction est un élément déterminant. Le manque de leadership du management d’une cellule de crise pose des problèmes d’anticipations majeurs sur des problèmes qui vont survenir progressivement après l’attaque. « La pratique d’un exercice de crise est très intéressante car en ayant connaissance des problèmes, de bonnes actions peuvent être mises en place afin d’éviter de prendre une mauvaise décision dans l’urgence » estime Michel Juvin, avant d’insister : « Il faut responsabiliser les membres de la direction en ajoutant avec l’aide de la direction générale un objectif annuel sur la protection du capital informationnel de l’entreprise. De cette manière, chaque manager va engager avec l’aide de son équipe des actions et sera en mesure de faire un feedback à ses pairs. »

Enfin, notre chroniqueur cybersécurité souligne également l’importance de la bonne gestion de la communication lors d’une telle crise. « Le coût en termes de réputation n’est pas facile à estimer, mais il est certain qu’une entreprise communicant objectivement et précautionneusement va limiter l’impact de la cyber-attaque sur son image. En la matière, la préparation est simple à faire et permet de tester le processus de production d’un communiqué interne et externe » conclut-il.