Cyberattaques 032023

E-handbook
Cyberattaque : comment faire face ?

E-handbook
Dans ce guide Ce document est une sélection d’articles. Retrouvez le guide complet sur LeMagIT
Introduction.
Comment accompagner ses
collaborateurs en cas de
cyberattaque
L’adage est désormais bien connu : la question n’est pas de savoir si, mais
quand on sera victime d’une cyberattaque. On pense bien sûr à celles à
Ransomware : les premiers côté desquelles il est impossible de passer, celles qui impliquent le
enjeux de la reconstruction déclenchement d’un rançongiciel. Et à juste titre : si l’on en connaît
publiquement un peu plus de 160 en France, pour 2022, leur nombre réel
Comment mieux faire face aux
est probablement supérieur à 2 000.
incidents de cybersécurité
Surtout, ces cyberattaques ne se limitent pas à celle débouchant sur la

Comment constituer son équipe
détonation d’un ransomware ! Pour le Club des experts de la sécurité de
de réponse à incident
l’informatique et du numérique (Cesin), une cyberattaque est avérée à
compter du moment où une intrusion est décelée et nécessite « des
efforts significatifs » pour être contenue et traitée. Et ce, même s’il n’y a
pas eu de déploiement ni de déclenchement de rançongiciel, notamment.
Selon nos informations, c’est d’ailleurs ce qui s’est passé à Grenoble INP
début décembre 2022.
Dans ce contexte, et alors que probablement beaucoup de victimes en

devenir s’ignorent encore, le véritable enjeu est la résilience. Et celle-ci
Page 1 of 36
E-handbook
implique de se préparer à faire face à une éventuelle cyberattaque. Cette

Dans ce guide
préparation comporte de nombreux volets, qu’ils soient techniques,
organisationnels, ou juridiques.
cyberattaque C’est pourquoi nous avons réuni ici toute une série d’articles, allant de la
manière de réagir à une cyberattaque, à la gestion de la communication
Ransomware : les premiers de crise, en passant par les erreurs à éviter. Le tout assorti de témoignages
enjeux de la reconstruction
afin de vous permettre de commencer à prendre la mesure de ce
qu’implique la préparation à l’éventualité – somme toute hélas très
probable – d’une attaque informatique.

Page 2 of 36
E-handbook
Dans ce guide Comment accompagner ses collaborateurs en cas

de cyberattaque
collaborateurs en cas de À la suite d’une attaque ayant fortement affecté une organisation et son activité,
cyberattaque certains peuvent avoir peur de reprendre l’usage de l’outil informatique. Comment
l’expliquer et accompagner les personnes concernées ?
Ransomware : les premiers
Nathalie Granier, CybSec TIA
Une attaque cyber peut être vécue à des degrés divers comme une attaque, un
Comment mieux faire face aux attentat ou une prise d’otage dans la vie réelle. Un choc psychologique a lieu, et les
incidents de cybersécurité contre-mesures à mettre en place doivent être sensiblement les mêmes.

Les effets psychologiques d’une attaque
Les effets d’une cyberattaque sur les individus ont tendance à être ignorés. En effet, les
équipes de gestion de crise tendant à concentrer leurs actions sur l’organisation à
mettre en œuvre pour réparer une infrastructure IT, pour communiquer à la presse,
pour évaluer l’impact financier… Mais l’humain est quasi systématiquement sorti de
l’équation. Pourtant, souvent, il est aussi une victime. Et les effets d’une attaque,
d’un phishing, d’une ingénierie sociale peuvent être dévastateurs sur les individus qui
ont servi de vecteur ou qui ont cédé par peur de représailles.
En regardant de plus près les effets possibles, on arrive très souvent aux mêmes
conclusions que lorsqu’une personne est cambriolée : la sensation de violation de
Page 3 of 36
E-handbook
l’intimité revient de manière quasi systématique. Non seulement notre ordinateur ou

Dans ce guide notre téléphone ont été visités, souvent pillés, et parfois détruits, mais en plus ils vont
être confisqués dans le cadre de l’enquête. Et ce sentiment de violation se renforce
Comment accompagner ses d’un sentiment de vulnérabilité.
cyberattaque Dans le cadre de l’ingénierie sociale par exemple, l’attaquant a réussi à soutirer des
informations après une enquête, après avoir fouillé partout pour tout apprendre de
Ransomware : les premiers nous. Il a trouvé la faille, il nous a manipulés en utilisant toute une série de biais
enjeux de la reconstruction cognitifs.

Prendre en compte sans tarder
Certaines victimes vont ressentir de la honte, de la gêne, car elles ont été bernées, et
elles ont permis à des malfaiteurs de réaliser leur attaque. Certaines feront preuve de
colère même, avec l’envie de se faire justice elles-mêmes. Selon les personnalités, les
réactions peuvent être multiples. D’autres seront terrorisées, envahies du sentiment
d’avoir mal fait, d’avoir mal agi, d’avoir commis une faute grave avec peut-être une
sanction à la clé. Et évidemment, pour beaucoup, la peur d’être à nouveau victime est
omniprésente.
C’est un sujet qu’il est indispensable de traiter au plus vite. Une cyberattaque peut être
vécue comme un réel traumatisme selon les personnalités. Nous avons vu le ressenti
de chacun, mais il existe en parallèle toute une série de réactions différentes comme le
stress, les réminiscences, les cauchemars, les insomnies, l’irritabilité, la peur et
l’angoisse, la violence, la dépendance.
Page 4 of 36
E-handbook
Chez certaines personnes ces symptômes vont s’effacer avec le temps, pour d’autres
Dans ce guide c’est l’inverse, ils vont s’accentuer. Et au même titre qu’ont été créées des équipes
d’accompagnement à la communication, à la posture, etc. au sein des cellules de crise
Comment accompagner ses cyber, il faut créer des cellules d’accompagnement psychologiques pour les victimes au
sein des mêmes cellules de crise.
cyberattaque
Comment accompagner ?
enjeux de la reconstruction Il est difficile de produire une liste de conseils, du genre « to do list », mais voici
quelques pratiques qui me semblent importantes :
• limiter le nombre d’entretiens afin d’éviter le défilé d’intervieweurs qui
contraignent la victime à reparler de son traumatisme de nombreuses fois ;
Comment constituer son équipe • définir un point de contact unique qui sera l’interlocuteur de référence pour la
de réponse à incident victime et qui saura répondre à ses questions, sans que cette dernière n’ait à
recommencer à expliquer la situation plusieurs fois ;
• définir qui seront les intervieweurs et faire le nécessaire pour éviter que la
notion hiérarchique ne prenne le dessus et bloque la victime. Faire en sorte que
les personnes qui seront en lien direct avec la victime soient circonscrites à un
ou des représentants des ressources humaines, un collègue, une personne du
service médical…
• former les intervieweurs à ce genre de situation afin qu’ils sachent utiliser les
bonnes méthodes au plus vite. Ils devront adapter leur discours en fonction de
Page 5 of 36
E-handbook
la victime et il est important d’éviter tout stress supplémentaire. Les ressources

Dans ce guide humaines doivent savoir rassurer sur le fait que l’entreprise reste en soutien de
son collaborateur. Les enquêteurs vont devoir faire preuve de tact, de douceur
Comment accompagner ses et de compréhension. En aucun cas ils ne doivent juger. La patience est de
mise. Il faut être à l’écoute, répondre dans un langage clair à toutes les
cyberattaque
questions que se pose la victime. Il n’est pas question d’avoir là un langage trop
technique, jargon informatique ou juridique.
enjeux de la reconstruction • ne pas laisser dans le flou, être transparent et communiquer. Les victimes
doivent être rapidement conseillées et rassurées. Rassurées sur le fait qu’elles
Comment mieux faire face aux sont victimes et non accusées. Conseillées sur les démarches à suivre dans le
incidents de cybersécurité cas où une action en justice devrait être ordonnée.
• mettre en place un soutien et un suivi psychologique, juridique, financier, mais

de réponse à incident aussi technique. De nombreuses victimes ne savent pas ce qui s’est réellement
passé et veulent savoir, veulent comprendre comment ne plus tomber dans le
piège. Et puis parfois, il faut les aider à récupérer leurs données, et c’est très
souvent compliqué techniquement.
On le voit au travers de tous ces points, une cyberattaque engendre de plus en plus
souvent une sorte de choc post-traumatique qui peut être dévastateur sur les victimes.
Certaines auront énormément de mal à retourner travailler en sachant qu’à leur poste,
elles sont vulnérables. Il est, je pense, indispensable de prendre cette dimension en
Page 6 of 36
E-handbook
compte, et de la traiter avec la plus grande bienveillance. Plus rien n’est anodin dans
Dans ce guide notre monde.

cyberattaque



Page 7 of 36
E-handbook
Dans ce guide Ransomware : les premiers enjeux de la

reconstruction
collaborateurs en cas de Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de
cyberattaque crise provoquées par des infections de rançongiciel. Gérôme Billois partage son
expérience avec la rédaction.
Valéry Rieß-Marchive, Journaliste
L’industriel Norsk Hydro vient d’être victime d’un ransomware. Cela n’a pas été
Comment mieux faire face aux confirmé officiellement, mais selon toute vraisemblance, il s’agit de LockerGoga, un
incidents de cybersécurité maliciel suspecté d’avoir également été à l’œuvre chez Altran, plus tôt cette année. Ce
rançongiciel n’embarque pas de capacités de réplication comme peuvent en être dotés
Comment constituer son équipe les vers : son déploiement à grande échelle nécessite la compromission d’outils de
de réponse à incident distribution logicielle, comme par exemple l’annuaire Active Directory, ainsi que
le relevait très tôt Kevin Beaumont. Dans une telle situation, quels sont les premiers
enjeux du volet technique de la gestion de la crise ?
Des interdépendances contraignantes

Pour Gérôme Billois, directeur de la practice Cybersécurité de Wavestone, fort de
l’expérience acquise à l’occasion de plusieurs interventions, cela commence par
pouvoir accéder aux sauvegardes. Car il n’est manifestement pas si rare que « les
serveurs de sauvegarde aient été eux-mêmes chiffrés ». Là, « on a les cartouches de
sauvegarde, mais on n’a plus le lecteur et l’index – ou le catalogue – qui permet de
Page 8 of 36
E-handbook
savoir où sont les données sur les sauvegardes ». A ce stade, la question de savoir si
Dans ce guide l’on choisit de restaurer ou pas à partir d’elles, en fonction de l’ampleur supposée de la
compromission, ne se pose donc même pas. Et pour reconstruire l’index des
Comment accompagner ses sauvegardes, « souvent, c’est plusieurs jours » de travail avec les outils disponibles sur
site.
cyberattaque
Mais pour ne rien gâcher, « le serveur de sauvegarde est très souvent lui-même
Ransomware : les premiers dépendant de l’annuaire ». Alors pour Gérôme Billois, l’une des principales mesures à
enjeux de la reconstruction prendre avant un incident, consiste « à s’assurer que les procédures de restauration
peuvent être lancées même dans une situation où il n’y a plus les fonctions de support
Comment mieux faire face aux classiques ». La question étant : « imaginons un cas où il n’y a plus rien ; combien de
incidents de cybersécurité temps faut-il pour accéder à nouveau aux sauvegardes » ?
Comment constituer son équipe La part du doute

Mais dans un cas où l’on est amené à soupçonner une atteinte à l’intégrité de
l’annuaire, la restauration apparaît bien difficile. « Dans un cas pareil, on repart d’une
infrastructure de base, en réinstallant de zéro. Et on en profite pour appliquer les
bonnes règles d’architecture Active Directory qui, bien souvent, ne l’étaient pas
avant ». De là, il devient possible d’envisager de récupérer prudemment, en les
nettoyant soigneusement si nécessaire, les données d’applications qui n’étaient pas la
cible de l’attaque.
Page 9 of 36
E-handbook
Ce qui renvoie à la question, plus que délicate, de la finalité de l’attaque : « c’est

Dans ce guide l’action 0 ou presque lorsque l’on arrive sur un incident cyber ; enquêter pour
déterminer la finalité de l’attaque ». Car de celle-ci dépend la confiance que l’on
Comment accompagner ses pourra accorder au système d’information et aux sauvegardes.
cyberattaque Las, « il est très difficile d’avoir une certitude concernant la finalité de l’attaque ». Ce
qui force donc à accepter une part de doute. Par exemple, il s’agit de se dire que, « à
Ransomware : les premiers partir des éléments disponibles à date, à 70 %, c’est une attaque de tel type ». Car quoi
enjeux de la reconstruction qu’il en soit, « il faut bien que l’on avance, même en l’absence de certitude absolue ».

Des choix stratégiques pouvant aider
Dans un cas comme celui auquel a été confronté Norsk Hydro, avec potentiel
destructeur massif, « la finalité est plutôt crapuleuse, motivée par le gain financier ».
Là, « c’est plutôt l’infrastructure qui a été corrompue et les applications métiers ont
été emportées avec le reste, sans en être la finalité ».
L’approche présente évidemment des limites, « mais on ne peut pas attendre 3

semaines d’avoir les résultats d’une enquête complète en profondeur pour
commencer à travailler ».
Le groupe industriel norvégien a pu profiter de son recours à Office 365, antérieur à

l’attaque, pour continuer à communiquer. Et pour Gérôme Billois, il n’y a pas de doute,
« c’est vraiment un avantage » dans ce genre de situation. Et cela vaut aussi pour
Page 10 of 36
E-handbook
d’autres services cloud, dont ceux de stockage et de partage de fichiers : « c’est

Dans ce guide effectivement un véritable accélérateur de reprise ». Et ce n’est pas forcément le seul.
Comment accompagner ses Il faut aussi compter avec la virtualisation : « les applications et systèmes, dont on sait
collaborateurs en cas de qu’ils ne constituaient pas la finalité de l’attaque et pour lesquels des snapshots sont
cyberattaque disponibles, peuvent être remontés en quelques clics ». A condition, bien sûr, que
l’hyperviseur n’ait pas été touché – « c’est un point clé ».
enjeux de la reconstruction Un ajustement progressif
Ce genre d’incident plaide fortement en faveur de systèmes de surveillance du système
d’information. La visibilité, même seulement rétrospective, qu’ils peuvent apporter
peut constituer une aide précieuse : « dans les premiers jours d’une gestion crise, on
oscille souvent dans le flou entre deux ou trois scénarios ». Ce qui créée naturellement
de l’incertitude quant aux choix effectués pour la remédiation : « par moment, on
croise les doigts ».
D’où l’importance d’isoler rigoureusement les systèmes de surveillance du reste de

l’infrastructure afin d’en prévenir, autant que possible, la compromission, voire la
destruction, dans le cadre de l’attaque.
Ce qui toutefois ne doit pas se traduire par un excès de précaution, car la

multiplication des couches de protection introduit elle aussi ses complexités pouvant
nuire à la reprise d’activité. Face à cela, Gérôme Billois revient sur les perspectives des
Page 11 of 36
E-handbook
architectures dites sans confiance, ou zero trust. Las, « cela reste encore largement
Dans ce guide théorique ».

cyberattaque



Page 12 of 36
E-handbook
Dans ce guide Comment mieux faire face aux incidents de

cybersécurité
collaborateurs en cas de La réponse aux incidents de sécurité est une chose dont toute l’organisation doit se
cyberattaque préoccuper. Et pour une bonne raison : les attaquants sont probablement déjà en
train d’essayer d’infiltrer le réseau, et de nombreuses vulnérabilités sont
probablement là pour leur faciliter la tâche.
Kevin Beaver, Principle Logic, LLC
Comment mieux faire face aux Bien sûr, le temps est loin où les dirigeants étaient largement déconnectés de la
incidents de cybersécurité fonction sécurité de l’information. Désormais, la cybersécurité est en tête des
préoccupations de beaucoup, et à juste titre : il ne se passe probablement pas un jour
Comment constituer son équipe sans qu’une entreprise ne soit la cible d’une attaque ou à tout le moins exposée à des
de réponse à incident risques de sécurité liés à l’IT.
Les menaces de sécurité et les vulnérabilités, ainsi que les incidents et brèches
auxquels elles peuvent conduire, concernent les organisations de toutes natures.
Littéralement n’importe quelle entreprise – grande ou petite, et sur tout secteur
d’activité – est une cible pour les cyberdélinquants, et à la merci de collaborateurs
négligents. La question est : quoi faire ? C’est là qu’intervient la réponse à incident.
La réponse à incident est le processus consistant à détecter les événements de sécurité

qui affectent les ressources du réseau et les actifs informationnels, puis à prendre les
mesures qui s’imposent pour évaluer ce qui s’est produit et y remédier. La réponse aux
Page 13 of 36
E-handbook
incidents de cybersécurité est essentielle pour les entreprises, car il y a

Dans ce guide potentiellement là beaucoup à perdre. De l’infection par maliciel apparemment
bénigne au chiffrement de systèmes par ransomware, en passant par le vol
Comment accompagner ses d’identifiant et l’exposition de bases de données, les conséquences à court et long
terme de ces incidents peuvent pénaliser longuement l’entreprise.
cyberattaque
Pourquoi est-ce nécessaire ?
enjeux de la reconstruction Les brèches de sécurité peuvent nécessiter d’être notifiées. Avec à la clé, le risque de
perte de confiance des clients, et des amendes, en plus des coûts de remédiation. Et
tout cela en même temps, de sorte que même les entreprises aux reins les plus solides
incidents de cybersécurité peuvent se retrouver en difficulté.
Les réseaux, logiciels et utilisateurs finaux peuvent apporter un certain niveau de

résilience, mais il a ses limites. Les erreurs arrivent, les négligences aussi. Ce qui
compte est ce qui a été fait, par avance, pour minimiser l’impact d’un incident de
sécurité sur l’entreprise. On ne peut pas empêcher les pirates d’exister, mais il est
possible d’anticiper la réponse et de travailler la prévention.
C’est pourquoi disposer d’une équipe fonctionnelle, des technologies appropriées et

surtout d’un plan de réponse à incident bien documenté est essentiel pour être
capable de réagir à de tels événements, de manière rapide et professionnelle.
Dans ce contexte, il est tout d’abord important de faire la différence entre les menaces
et les vulnérabilités. Les premières sont des indications, comme un attaquant ou un
Page 14 of 36
E-handbook
employé malveillant cherchant à exploiter une vulnérabilité. Par vulnérabilité, on

Dans ce guide entend une faiblesse dans un système informatique ou un processus métier ou encore
dans les personnes elles-mêmes, qui peut être exploitée à des fins malicieuses.
collaborateurs en cas de Les menaces exploitent des vulnérabilités qui, en définitive, créent des risques métier.
cyberattaque Les conséquences potentielles sont l’accès illégitime à des actifs informationnels
sensibles, le vol de données, l’interruption de service, ou encore la violation
Ransomware : les premiers d’impératifs réglementaires ou de conformité interne. La terminologie est importante.
• Brèche : incident dans le cadre duquel des données sensibles, comme de la
propriété intellectuelle ou des enregistrements clients, sont exposées.
• Piratage, ou attaque : l’action d’un cyberdélinquant (ou d’un groupe), voire
d’un utilisateur malveillant, consistant à provoquer l’arrêt de systèmes, à
installer ou distribuer un maliciel, ou voler des actifs informationnels.
• Incident : une attaque réussie, conduisant à une interruption de service, à la
compromission d’une ressource du système d’information, ou à l’accès non
autorisé à des actifs informationnels.
• Événement : potentiel problème de sécurité qui n’a pas été confirmé et dont
tous les détails ne sont pas maîtrisés.
Les attaques ne conduisent pas systématiquement à des incidents, et ceux-ci ne

conduisent pas toujours à des brèches. Tous constituent des événements de sécurité.
Page 15 of 36
E-handbook
Mais beaucoup de ces événements s’avèrent souvent sans gravité. Tout dépend de ce
Dans ce guide qui s’est produit et de ce qui peut être déterminé à partir des faits observés.
Comment accompagner ses Quoiqu’il en soit, le but est bien de disposer des stratégies nécessaires, en impliquant
collaborateurs en cas de les directions métiers, pour faire face aux menaces et vulnérabilités modernes plus
cyberattaque efficacement, que l’on dispose déjà d’un programme de réponse à incident ou pas.

Construire une équipe de réponse à incident
Un bon programme de réponse à incident commence par la constitution d’une bonne
équipe. Sans les bonnes personnes, les politiques de sécurité, les processus et les outils
ne sont pas grand-chose. Une équipe de réponse à incident se construit à partir d’un
groupe de personnes interfonctionnelles issues de différentes parties de l’entreprise,
dont l’IT et la sécurité, la production, les relations publiques et le juridique. L’un de ces
rôles devrait relever directement de la direction de l’entreprise : cela doit permettre
une prise en compte permanente des intérêts supérieurs de l’entreprise, et d’assurer
de disposer du niveau de décision le plus élevé possible.
On parle souvent d’équipes de réponse aux incidents de sécurité informatique (CSIRT)

ou de réponse aux urgences informatiques (CERT). De nombreux professionnels de la
réponse à incident trouvent leur place dans des centres opérationnels de sécurité
(SOC), dont le périmètre va au-delà de la réponse à incidents. Le nom choisi importe
finalement assez peu : les objectifs sont les mêmes.
Page 16 of 36
E-handbook
De fait, quel que soit son nom, l’équipe de réponse à incident devrait travailler à
Dans ce guide supporter son rôle dans le plan de réponse à incident, qui lui-même, devrait compléter
les objectifs du programme de sécurité de l’information. Les objectifs de l’équipe de
Comment accompagner ses réponse à incident peuvent ainsi recouvrir des réunions régulières, la réalisation
d’exercices de simulation, et surtout de travailler à réduire les délais de réponse ainsi
cyberattaque
que minimiser l’impact d’éventuels incidents. Pour obtenir des résultats, ces objectifs
doivent être définis de manière très précise, en utilisant le présent et en détaillant les
Ransomware : les premiers étapes et la chronologie, afin d’aider à la responsabilisation.
Voici quelques exemples d’objectifs pouvant être développés par l’équipe elle-même
Comment mieux faire face aux ou un comité de supervision :
• Nous définissons des indicateurs pour analyser les initiatives du programme de
réponse à incident qui impliquent surveillance et production d’alertes,
de réponse à incident communication entre membres de l’équipe, et évaluations technologiques.
• Nous mettons à jour la documentation du plan de réponse à incident

régulièrement et avec rigueur.
• Nous créons et conduisons trois exercices de simulation distincts.
• Nous échangeons avec le comité de sécurité et la direction pour rapporter sur

les incidents de sécurité, les actions prises, et les améliorations requises.
L’équipe de réponse à incident – ou le manager du programme – peut détailler des

objectifs avec les étapes intermédiaires pour chacun d’entre eux, le tout assorti
Page 17 of 36
E-handbook
d’échéances permettant à tous les membres de l’équipe de savoir ce que l’on attend
Dans ce guide d’eux et vers quoi tendre.
Comment accompagner ses Les objectifs doivent être raisonnables et atteignables. Et leur réalisation doit être
collaborateurs en cas de suivie. Sinon, ils risquent de ne devenir qu’une arrière-pensée, avant d’être pénalisants
cyberattaque au lieu de constituer des avantages. Les choses s’avèrent particulièrement difficiles
lorsque survient effectivement un incident et que l’on découvre que les procédures
Ransomware : les premiers documentées sont inexistantes ou pas du tout suivies. A minima, il convient de
enjeux de la reconstruction souligner les différents rôles de chacun dans le plan de réponse à incident, et les
responsabilités afférentes.
incidents de cybersécurité Un jeu de compétences étendu
L’équipe de réponse à incident doit inclure :
de réponse à incident • Une équipe technique – avec des membres de l’équipe IT et SSI.
• Un dirigeant sponsor – un membre de la direction chargé de superviser la

sécurité de l’information.
• Un coordinateur de la réponse à incident – une personne responsable de la

gestion quotidienne de l’équipe et des incidents.
• Un coordinateur des relations publiques – ce sera le porte-parole de

l’entreprise auprès des médias si une brèche survient.
Page 18 of 36
E-handbook
• Un analyste légiste – il peut s’agir d’un expert interne à l’entreprise comme

Dans ce guide d’un consultant externe.
Comment accompagner ses • Un consultant externe – un tiers expert en SSI ou en réponse à incident.
cyberattaque • Un conseiller juridique – là encore, interne ou externe, mais chargé de
représenter l’organisation autant que nécessaire pour les incidents et les
brèches.
La réponse à incident requiert ainsi un éventail de compétences important. Le cœur de
l’équipe reste toutefois technique, avec les spécialistes de la réponse à incident et les
personnes qui défendent l’organisation contre les attaques informatiques. Celles-ci
sont compétentes en sécurité du système d’information et peuvent réaliser des tâches
telles que la surveillance du réseau à la recherche de vulnérabilités et de brèches, mais
également la mise en place des mesures de remédiation appropriées lorsqu’elles sont
nécessaires.
Les spécialistes de la réponse à incident utilisent les données disponibles pour

identifier les incidents, et surtout en déterminer l’étendue et la gravité. Ils peuvent
également faire des rapports sur les tendances observées, ainsi que contribuer à la
sensibilisation des utilisateurs et à la communication avec les autorités compétentes.
Mais bien sûr, les compétences techniques ne sont pas tout. Comme vu plus haut, une
équipe de réponse à incident robuste a besoin de profils transverses capables de
Page 19 of 36
E-handbook
réaliser des tâches non techniques, comme communiquer et traiter les questions
Dans ce guide juridiques.
Comment accompagner ses Il est essentiel d’identifier celles et ceux qui s’intéressent au sujet et ont envie
collaborateurs en cas de d’apporter leur valeur ajoutée à cet aspect critique de la sécurité.
cyberattaque
Méthodologie
Le plan de réponse à incident est le document de référence vers lequel se tourner
lorsque les choses tournent à l’aigre. Il décrit les qui, quoi, quand,
comment et pourquoi de la gestion des événements et incidents de sécurité, voire des
brèches lorsqu’elles sont confirmées. En fait, sans un plan dûment documenté, tout
n’est que réaction, avec ce que cela implique comme perte de capacité à raisonner
sereinement, à froid, en toute lucidité. Et d’augmenter alors le risque de prendre de
mauvaises décisions. Avec un plan de réponse bien avisé, à l’inverse, il est possible de
traiter l’incident avec clarté et rigueur, sans se laisser piloter par ses émotions.
Le plan de réponse à incident doit donc être développé en avance par l’équipe de
réponse à incident ou son coordinateur. Les composants détaillés dans le tableau ci-
dessous doivent y figurer.
Page 20 of 36
E-handbook
Dans ce guide

cyberattaque



Page 21 of 36
E-handbook
Eléments du plan de réponse à incident © TechTarget (Figure ci-dessus)

Dans ce guide
Chaque plan est différent, en fonction des besoins spécifiques. Toutefois, ce modèle
Comment accompagner ses recouvre les éléments essentiels, standard, et devant figurer dans le plan de réponse à
collaborateurs en cas de incident de toute organisation. Et les ressources et recommandations ne manquent pas
cyberattaque pour aller plus loin. Les frameworks sont d’ailleurs nombreux, entre ceux
du NIST américain, de l’ISACA, de l’ISO/IEC, ou encore de l’institut SANS, de l’IEEE, de
Ransomware : les premiers l’IETF et de l’Enisa. Celui du NIST, par exemple, adopte une approche de cycle de vie.
Le plan de réponse à incident ne devrait pas être combiné à des documents ou des
procédures et plans de sécurité de l’organisation autres, comme le plan de continuité
incidents de cybersécurité de l’activité (PCA) ou le plan de reprise de l’activité en cas de sinistre (PRA). Le plan de
réponse à incident fonctionne mieux seul, accessible à tous les membres de l’équipe
dédiée, sous forme imprimée et numérique.
Créer son plan de réponse à incident nécessite une expertise certaine et l’implication
de tous les membres de l’équipe concernée. Une bonne façon de commencer consiste
à répartir les différentes parties entre les membres de l’équipe. Une fois que chacun a
préparé sa partie, il est possible de réunir l’ensemble dans un document unique et de
commencer à travailler à la formalisation d’une version finale. Mais il convient de
conserver à l’esprit qu’un plan de réponse à incident est un travail vivant, qui doit être
révisé périodiquement et ajusté suivant les évolutions du système d’information, de la
menace, ou de l’activité.
Page 22 of 36
E-handbook
Quand, comment et pourquoi utiliser des outils de

Dans ce guide réponse à incident
Comment accompagner ses Si la sécurité de l’information
collaborateurs en cas de est souvent considérée comme
cyberattaque une fonction stratégique de
l’entreprise, la réponse à
Ransomware : les premiers incident est le composant
enjeux de la reconstruction tactique du programme de
sécurité. Ce n’est pas le seul
Comment mieux faire face aux parallèle avec le monde
incidents de cybersécurité militaire : la boucle OODA
– pour Observe, Orient, Decide,
Comment constituer son équipe Act – en vient également et
de réponse à incident s’applique la réponse à
incident. L’idée est d’utiliser la
connaissance de la situation
pour observer les incidents à
mesure qu’ils évoluent et de
Boucle OODA © TechTarget
répondre rapidement, suivant un processus d’amélioration continue, pour avancer vers

la maîtrise complète de la menace. Cela permet d’en réduire l’impact métier.
Page 23 of 36
E-handbook
La boucle OODA peut être utilisée comme approche globale de la réponse à incident et
Dans ce guide peut aider à définir quels outils de sécurité à utiliser tout au long du processus. Et ceux-
ci sont nombreux, qu’il s’agisse de prévention, détection ou réponse. Par exemple, la
Comment accompagner ses visibilité apportée par l’analyse de paquets réseau, l’examen de ressources système ou
la supervision de l’intégrité de fichiers correspondent à la phase d’observation de la
cyberattaque
boucle OODA. Les outils de gestion du renseignement sur les menaces peuvent en
alimenter la phase d’orientation.
enjeux de la reconstruction La réponse à incident est un processus, mais la technologie peut en automatiser
certaines fonctions pour aider à l’accélérer et à limiter les erreurs. Et là, de nombreux
Comment mieux faire face aux outils peuvent s’avérer utiles : ceux d’analyse des flux et du trafic réseau, de gestion
incidents de cybersécurité des vulnérabilités, les systèmes de gestion des informations et des événements de
sécurité (SIEM), les outils de détection et de réponse sur les hôtes du SI (EDR), le pare-
Comment constituer son équipe feu, les systèmes de détection/prévention d’intrusion (IDS/IPS), etc.
De nombreux outils sont commerciaux, mais les alternatives open source existent
également pour la plupart de ces domaines. Il s’agit juste d’évaluer ses besoins et
l’investissement nécessaire – en numéraire comme en ressources humaines –, tout en
tenant compte de la pérennité des offres.
Résoudre des problèmes

La résolution de problèmes est un élément clé de réponse à incident. La boucle OODA
se concentre sur la prise de décision. Mais il est important de ne pas se laisser prendre
Page 24 of 36
E-handbook
au piège de ce processus ou de toute autre méthodologie. Car il est facile de se laisser

Dans ce guide distraire et de perdre de vue ce qui est important.
Comment accompagner ses C’est ce que l’on appelle la hiérarchisation : quels que soient les incidents – et plus ils
collaborateurs en cas de sont nombreux –, il est important de déterminer ceux qui doivent être traités en
cyberattaque priorité. Ce qui revient à déterminer ceux qui sont urgents, ceux qui sont importants et
comment il faudra réagir aux différents scénarios. Là, il convient de considérer les
Ransomware : les premiers événements, les incidents et les brèches confirmées en fonction des éléments
enjeux de la reconstruction suivants :

1. Qu’est-ce qui est urgent, mais pas important ?
2. Qu’est-ce qui est important, mais pas urgent ?
Comment constituer son équipe 3. Qu’est-ce qui est à la fois urgent et important ?
Un exemple de problème urgent, mais non important serait une infection par un
logiciel malveillant sur un poste de travail de vente d’une succursale qui ne se connecte
au réseau du bureau ou à l’internet que via le Wi-Fi invité. Un exemple de problème
important, mais non urgent, peut être celui d’un nouvel ordinateur portable
récemment imagé qui est perdu, mais qui ne contient pas encore d’informations
métier. Une attaque en déni de service distribué (DDoS) contre un site web de
commerce électronique, une infection par un logiciel malveillant affectant les serveurs
de production et des tentatives de phishing contre des cadres ou des administrateurs
Page 25 of 36
E-handbook
sont autant d’exemples de situations urgentes et importantes. C’est là qu’il faut

Dans ce guide intervenir sans perdre de temps.
Comment accompagner ses De nombreux problèmes de sécurité observés relèvent des deux premières catégories.
collaborateurs en cas de Ils doivent être traités d’une manière ou d’une autre, mais ils ne doivent pas distraire
cyberattaque de l’essentiel : la troisième catégorie, celle où l’on doit concentrer la majorité de ses
ressources de réponse à incident. L’important est de prendre en compte la situation
Ransomware : les premiers dans son ensemble, pour accorder la plus haute priorité aux événements de sécurité
enjeux de la reconstruction ayant le plus d’impact sur les ressources et les actifs informationnels critiques.

Dans le monde technologique actuel, où les décisions sont souvent prises pour nous, il
incidents de cybersécurité devient de plus en plus difficile de trouver du personnel informatique et de sécurité
capable de résoudre les problèmes, surtout sous pression d’un événement de sécurité.
Mais en ce qui concerne la réponse à incident, il n’est pas question de faire l’impasse
de réponse à incident dessus. Il faut donc s’assurer que la résolution de problèmes y implique les domaines
appropriés : définition du problème, détermination de toutes les solutions possibles,
choix de la meilleure solution et ensuite prise de mesures ciblées.
La prévention est clé

Le programme de réponse aux incidents est là pour y faire face lorsqu’ils surviennent.
Mais, la première ligne de défense consiste à assurer la sécurité de son système
d’information, et à veiller à ce que ses utilisateurs soient responsabilisés et sensibilisés
à la sécurité. Les incidents de sécurité qui peuvent créer le plus de dégâts sont ceux qui
exploitent la crédulité des utilisateurs – des maliciels – et les défauts de configuration
Page 26 of 36
E-handbook
pouvant être exploités pour une énumération et une intrusion plus poussées. Les
Dans ce guide entreprises de toutes tailles présentent d’innombrables vulnérabilités qui n’ont pas
encore été identifiées, et encore moins traitées. Mais compte tenu des outils à
Comment accompagner ses disposition aujourd’hui, il n’y a tout simplement aucune raison d’offrir des avenues aux
pirates. Des mots de passe faibles, des correctifs non appliqués et des informations
cyberattaque
non sécurisées peuvent facilement conduire à un incident ou à une brèche. Et cela ne
se produit hélas que trop souvent.
enjeux de la reconstruction Plutôt que des politiques, des processus et des contrôles techniques, ce qui est
nécessaire, c’est une hygiène, une discipline, pour reconnaître les menaces et les
Comment mieux faire face aux vulnérabilités, y compris pour son programme de sécurité de l’information, jusque
incidents de cybersécurité dans la réponse aux incidents.
La réponse à incident n’est pas seulement une question informatique supervisée et

de réponse à incident exécutée par des professionnels techniques. Il s’agit plutôt d’une fonction essentielle
de l’entreprise, sans doute aussi importante que tout ce qui touche aux aspects
juridiques, financiers ou opérationnels de l’entreprise – et doit ainsi être soutenue au
plus haut niveau.
Page 27 of 36
E-handbook
Dans ce guide Comment constituer son équipe de réponse à

incident
collaborateurs en cas de Il faut du temps pour organiser et entraîner une équipe de réponse à incident, si l’on
cyberattaque veut qu’elle soit prête lorsque survient effectivement un incident. Voici quelques
étapes pratiques pour cela.
Ed Moyle, SecurityCurve
La réaction ou réponse à incident (en anglais « incident response ») est une chose
Comment mieux faire face aux essentielle, mais potentiellement délicate. Il est important de planifier, d’établir les
incidents de cybersécurité rôles et les responsabilités de chacun, de décider comment et quand la communication
de crise doit être enclenchée, et de réfléchir à l’opportunité de faire appel à des
Comment constituer son équipe personnes extérieures – conseillers juridiques, autorités locales, et spécialistes de
de réponse à incident l’investigation numérique.
Quelques mesures pratiques peuvent être prises pour s’assurer de disposer d’une
équipe adéquate et d’un plan d’intervention qui prévoit l’implication des bonnes
parties prenantes – y compris externes. Compte tenu de tous les éléments auxquels il
faut prêter attention, la constitution de l’équipe est l’une des premières choses à
traiter : les personnes nécessaires, celles à disposition, et la meilleure façon de les
responsabiliser.
Page 28 of 36
E-handbook
Dans ce guide Pourquoi une équipe est nécessaire
Comment accompagner ses Toute réponse à incident nécessite une équipe aux compétences multiples : aucun
collaborateurs en cas de individu ou domaine fonctionnel ne peut porter cela seul. Il y a deux raisons à cela.
cyberattaque Tout d’abord, l’équipe doit être habilitée à prendre des mesures – déposer une plainte,
informer partenaires et médias, interrompre des services techniques, mais également
Ransomware : les premiers engager des dépenses exceptionnelles pour des spécialistes externes, par exemple.
enjeux de la reconstruction Pour cela, il faut faire appel aux parties prenantes qui contribuent à ces décisions et
aux décideurs qui les influenceront. Il est important de faire participer ces personnes
Comment mieux faire face aux dès le début ou de pouvoir les mobiliser rapidement.
Vient ensuite la question de la diversité des compétences.
Chaque incident est différent et les détails n’en sont pas connus avant qu’il ne se
produise. Il est ainsi impossible de savoir avec précision quelles seront les
compétences nécessaires durant l’incident. Il est donc prudent d’avoir une base de
compétences diversifiée au départ – et d’être en mesure de faire venir rapidement des
personnes ayant les connaissances complémentaires qui pourraient s’avérer
nécessaires.
Page 29 of 36
E-handbook
Création d’une équipe transverse

Dans ce guide
Partant de ces principes, il est clair qu’il y a un besoin de disposer d’un personnel et de
Comment accompagner ses compétences variées lors d’un incident. Mais comment les organiser ? Comment
collaborateurs en cas de préparer à l’avance la manière de les joindre ?
cyberattaque
En pratique, il est presque toujours bon de commencer par un petit groupe agile
comme équipe de base. Ce groupe représente les personnes directement responsables
enjeux de la reconstruction de la gestion de l’incident au fur et à mesure qu’il se développe. Une petite équipe
peut être plus agile et réagir plus promptement qu’un grand comité encombrant : elle
peut prendre des décisions et communiquer des mises à jour rapidement, tandis qu’un
incidents de cybersécurité groupe plus important met plus de temps à rassembler les ressources et à mettre tout
le monde au diapason. Il peut donc s’avérer judicieux de maintenir une petite équipe
agile au centre et d’établir des liens externes avec d’autres groupes pour les moments
de réponse à incident où des compétences, des intervenants et des décideurs supplémentaires sont
nécessaires.
Il n’y a pas de règles strictes concernant les personnes à impliquer. Le métier, la culture
d’entreprise et la structure interne peuvent fortement influencer le choix. Mais de
manière générale, il est recommandé d’impliquer la direction, l’informatique, la
sécurité de l’information physique comme juridique, les ressources humaines, et
encore les relations publiques.
Page 30 of 36
E-handbook
Rôles et responsabilités
Dans ce guide
La question suivante touche à l’organisation interne de l’équipe elle-même. Une
Comment accompagner ses stratégie efficace consiste à créer une matrice d’attribution des responsabilités
collaborateurs en cas de identifiées. Le faire de manière formelle, collective, collaborative et par écrit peut
cyberattaque constituer un avantage considérable. Puisqu’un certain temps peut s’écouler entre la
préparation du plan de réponse et la survenue de l’incident, disposer d’une base écrite
Ransomware : les premiers formelle permet de rappeler aux participants leurs responsabilités.


Construire son équipe de réponse à incident © TechTarget
Page 31 of 36
E-handbook
Lors de l’établissement de cette matrice, il convient de décider qui dirige le groupe. Les
Dans ce guide frictions au sein de l’équipe n’ont pas leur place lors d’un incident. Et ce rôle de chef
d’équipe offre un point de contact sans ambiguïté aux cadres, permettant une prise de
Comment accompagner ses décision rapide et un arbitrage clair des différends.
cyberattaque De même, il est important de disposer de personnes possédant les compétences
nécessaires pour comprendre la technologie, les applications et les environnements de
Ransomware : les premiers l’organisation, ainsi que de personnes capables de faire des recherches sur les
enjeux de la reconstruction indicateurs de compromission. Toutefois, il faut être en mesure de faire appel
rapidement à des consultants ou à des spécialistes externes.
incidents de cybersécurité Des facteurs aidant
Il faut ensuite réfléchir à la manière de permettre à l’équipe de travailler le plus
efficacement possible. Pour cela, il faut considérer le modèle d’opération : l’équipe
sera-t-elle convoquée seulement lorsqu’un incident est officiellement déclaré, ou
existera-t-elle sous une forme permanente, avec plus ou moins de personnel à temps
complet ?
Certaines organisations pourraient choisir de maintenir des ressources au sein d’un

centre opérationnel de sécurité (SOC), tandis que d’autres préfèrent une équipe
d’intervention en cas d’urgence informatique (CERT) ou une équipe d’intervention en
cas d’incident de sécurité informatique (CSIRT).
Page 32 of 36
E-handbook
Dans ce guide

cyberattaque



Responsabilités d'un SOC © TechTarget
Page 33 of 36
E-handbook
Quelle est la différence ? Les missions du SOC peuvent recouvrir la réponse aux
Dans ce guide incidents, mais incluent généralement d’autres aspects des opérations de sécurité, par
exemple, comme la gestion des événements de sécurité ou des vulnérabilités.
collaborateurs en cas de Les CSIRT et CERT se concentrent spécifiquement sur la réponse aux incidents.
cyberattaque Ils peuvent fonctionner dans le cadre du SOC, s’il y en a un, ou exister
indépendamment de celui-ci. Ils peuvent également être permanents ou éphémères,
Ransomware : les premiers mobilisés uniquement lors de certains événements. Le choix de l’approche dépend
enjeux de la reconstruction notamment de la taille de l’organisation et de son contexte opérationnel. Mais de ce
choix pourront en retour dépendre – au moins partiellement – la manière dont le
Comment mieux faire face aux groupe fonctionnera et les outils auxquels il aura accès.
Il faut donc déterminer le modèle d’organisation et les méthodes de communication
les plus judicieuses compte tenu du nombre de personnes impliquées, du contexte et
de réponse à incident du budget disponibles, des besoins de l’organisation, du paysage des menaces, etc.
En réfléchissant à l’avance à toutes ces questions, il est possible de gagner un temps

précieux lorsque survient l’incident, tout en limitant les risques de frustration et de
précipitation.
Page 34 of 36
E-handbook
Ce document est une sélection d’articles. Retrouvez le guide complet sur LeMagIT
Dans ce guide

Accéder à plus de contenu exclusif PRO+
cyberattaque
Vous avez accès à cet e-Handbook en tant que membre via notre offre PRO+ : une
collection de publications gratuites et offres spéciales rassemblées pour vous par nos
Ransomware : les premiers partenaires et sur tout notre réseau de sites internet.
L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet
Comment mieux faire face aux TechTarget.
Comment constituer son équipe Profitez de tous les avantages liés à votre abonnement sur :
de réponse à incident https://www.lemagit.fr/eproducts
Images : Adobe Stock (Fotolia)
©2023 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de quelque
manière que ce soit sans autorisation écrite de la part de l’éditeur.
Page 35 of 36
E-handbook
Dans ce guide

cyberattaque

Le document consulté provient du site https://www.lemagit.fr/
David Castaneira | Editeur

TechTarget
incidents de cybersécurité 29 rue du Colisée, 75008 Paris
TechTarget.com
©2023 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la forme sans l'autorisation écrite de l'éditeur.
Comment constituer son équipe Les réimpressions de TechTarget sont disponibles à travers The YGS Group.
de réponse à incident TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent un accès rapide à un stock important
d'informations, de conseils, d'analyses concernant les technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les
problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur.
Page 36 of 36

Cyberattaques 032023

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cyberattaques 032023

Transféré par

Droits d'auteur :

Formats disponibles

E-handbook

Cyberattaque : comment faire face ?

Surtout, ces cyberattaques ne se limitent pas à celle débouchant sur la

Dans ce contexte, et alors que probablement beaucoup de victimes en

implique de se préparer à faire face à une éventuelle cyberattaque. Cette

Comment constituer son équipe

Dans ce guide Comment accompagner ses collaborateurs en cas

Comment constituer son équipe

l’intimité revient de manière quasi systématique. Non seulement notre ordinateur ou

Comment mieux faire face aux

la victime et il est important d’éviter tout stress supplémentaire. Les ressources

• mettre en place un soutien et un suivi psychologique, juridique, financier, mais

Comment accompagner ses

Ransomware : les premiers

Comment mieux faire face aux

Comment constituer son équipe

Dans ce guide Ransomware : les premiers enjeux de la

Des interdépendances contraignantes

Comment constituer son équipe La part du doute

Ce qui renvoie à la question, plus que délicate, de la finalité de l’attaque : « c’est

Comment mieux faire face aux

L’approche présente évidemment des limites, « mais on ne peut pas attendre 3

Le groupe industriel norvégien a pu profiter de son recours à Office 365, antérieur à

d’autres services cloud, dont ceux de stockage et de partage de fichiers : « c’est

D’où l’importance d’isoler rigoureusement les systèmes de surveillance du reste de

Ce qui toutefois ne doit pas se traduire par un excès de précaution, car la

Comment accompagner ses

Ransomware : les premiers

Comment mieux faire face aux

Comment constituer son équipe

Dans ce guide Comment mieux faire face aux incidents de

La réponse à incident est le processus consistant à détecter les événements de sécurité

incidents de cybersécurité est essentielle pour les entreprises, car il y a

Les réseaux, logiciels et utilisateurs finaux peuvent apporter un certain niveau de

C’est pourquoi disposer d’une équipe fonctionnelle, des technologies appropriées et

employé malveillant cherchant à exploiter une vulnérabilité. Par vulnérabilité, on

Les attaques ne conduisent pas systématiquement à des incidents, et ceux-ci ne

Ransomware : les premiers

On parle souvent d’équipes de réponse aux incidents de sécurité informatique (CSIRT)

• Nous mettons à jour la documentation du plan de réponse à incident

• Nous créons et conduisons trois exercices de simulation distincts.

• Nous échangeons avec le comité de sécurité et la direction pour rapporter sur

L’équipe de réponse à incident – ou le manager du programme – peut détailler des

• Un dirigeant sponsor – un membre de la direction chargé de superviser la

• Un coordinateur de la réponse à incident – une personne responsable de la

• Un coordinateur des relations publiques – ce sera le porte-parole de

• Un analyste légiste – il peut s’agir d’un expert interne à l’entreprise comme

Les spécialistes de la réponse à incident utilisent les données disponibles pour

Comment accompagner ses

Ransomware : les premiers

Comment mieux faire face aux

Comment constituer son équipe

Eléments du plan de réponse à incident © TechTarget (Figure ci-dessus)

Quand, comment et pourquoi utiliser des outils de

répondre rapidement, suivant un processus d’amélioration continue, pour avancer vers

Résoudre des problèmes

au piège de ce processus ou de toute autre méthodologie. Car il est facile de se laisser

Comment mieux faire face aux

sont autant d’exemples de situations urgentes et importantes. C’est là qu’il faut

Comment mieux faire face aux

La prévention est clé

La réponse à incident n’est pas seulement une question informatique supervisée et

Dans ce guide Comment constituer son équipe de réponse à