On a beau faire les mises à jour dès leurs publications, de respecter les bonnes pratiques en sécurité que l’on peut avoir son SI victime d’un accident de sécurité. Il est souvent dit que la question est : Va-t-on se faire attaquer ? est une mauvaise question. La bonne question est : Quand va-t-on se faire attaquer ?

Souscrire à une assurance spécifique

La première action est de souscrire à un contrat d’assurance pour couvrir les risques cyber. Il faut bien vérifier que le contrat souscrit l’intervention d’une entreprise spécialisée pour aider à analyser puis rétablir le SI.

Une assurance couvrant les risques financiers dont la perte d’exploitation le temps que l’activité de l’entreprise reparte n’est qu’une partie de son action. L’accompagnement technique est indispensable. L’aide de l’ANSSI existe, mais l’organisme n’a pas les ressources suffisantes pour toutes les entreprises.

En plus de l’aide technique, l’assurance va dicter ses clauses de prises en charge. Il faudra bien les lire avec un décryptage du service juridique ou le cas échéant d’un juriste.

Rédaction des procédures de gestion de crise

Le jour où les problèmes arrivent, il est bon d’avoir préparé des procédures testées pour contrer les effets de la panique, du stress, de la pression du reste de l’entreprise qui va s’exercer sur tout le service informatique.

Le responsable du service informatique (aux multiples dénominations : DSI, RSI,DSIO, DOSI, DSN, CDO, CIO, etc) va devoir gérer la crise avec ses équipes. D’où l’importance de procédurier les actions techniques comme humaine. Et dans un monde idéal, de les tester en condition réelle, ce qui induira un arrêt des activités de l’entreprise.

Ses procédures devront décrire :

• que doit faire le primo-intervenant • mis en sécurité de l’infrastructure de backup • isoler l’infrastructure de l’extérieur sans rien éteindre • escalade • qui fait quoi • la chaine de commandement • mise en place d’une cellule de crise

Mise en place d’un support offline

Il est important d’avoir un support sécurisé ofline comme une clef USB regroupant les différents éléments qui serviront pour agir. Comme le SI est compromis, on ne peut plus lui faire confiance. Ce support devra comprendre : • les procédures précédemment rédigées • la base de mot de passe • les numéros de téléphone professionnels et/ou personnels • la base documentaire du SI • les programmes utiles (Windows/Linux/Mac) pour intervenir de n’importe quel lieu

Ses supports sont à distribuer à toute personne devant intervenir, du technicien à la direction. Ne pas négliger les mises à jour des données de manière régulière. Soit par l’utilisateur ou par une personne dédiée à cette tâche.

Pour le support, j’ai travaillé avec les clefs USB IronKey de Kingston. Une clef de 16Go est suffisante pour un grand nombre d’entreprises. • IronKey D300S : moins onéreuse, mais offre une sécurité de chiffrement forte • IronKey S1000 : offre une sécurité physique acrue

Points techniques importants

Il ne faut éteindre aucun des serveurs ou des équipements pour permettre la collecte des différents éléments nécessaires pour le diagnostic et le dépôt de plainte.

On ne travaille jamais sur les fichiers originaux, on travaille sur des copies pour ne pas les compromettre.

Collecte des éléments nécessaires

Logs

L’idéal est d’avoir un serveur où sont centralisés tous les logs

Dump de la mémoire vive

Le but est de capturer toute la mémoire, processus pouvant être long et demandant de l’espace disque nécessaire. Ces dumps seront utiles pour la société spécialisée dans la sécurité informatique diligentée par votre assureur.

Certifier les logs et dump mémoires

Dès que l’on a récupéré tous les éléments, il faut les faire certifier au plus vite par un organisme reconnu. Par exemple on peut s’orienter sur Certigna : https://horodatage.certigna.com/