Académique Documents
Professionnel Documents
Culture Documents
Dans ce guide Ce document est une sélection d’articles. Retrouvez le guide complet sur LeMagIT
Introduction.
Comment accompagner ses
collaborateurs en cas de
cyberattaque
L’adage est désormais bien connu : la question n’est pas de savoir si, mais
quand on sera victime d’une cyberattaque. On pense bien sûr à celles à
Ransomware : les premiers côté desquelles il est impossible de passer, celles qui impliquent le
enjeux de la reconstruction déclenchement d’un rançongiciel. Et à juste titre : si l’on en connaît
publiquement un peu plus de 160 en France, pour 2022, leur nombre réel
Comment mieux faire face aux
est probablement supérieur à 2 000.
incidents de cybersécurité
Page 1 of 36
E-handbook
Page 2 of 36
E-handbook
En regardant de plus près les effets possibles, on arrive très souvent aux mêmes
conclusions que lorsqu’une personne est cambriolée : la sensation de violation de
Page 3 of 36
E-handbook
C’est un sujet qu’il est indispensable de traiter au plus vite. Une cyberattaque peut être
vécue comme un réel traumatisme selon les personnalités. Nous avons vu le ressenti
de chacun, mais il existe en parallèle toute une série de réactions différentes comme le
stress, les réminiscences, les cauchemars, les insomnies, l’irritabilité, la peur et
l’angoisse, la violence, la dépendance.
Page 4 of 36
E-handbook
Chez certaines personnes ces symptômes vont s’effacer avec le temps, pour d’autres
Dans ce guide c’est l’inverse, ils vont s’accentuer. Et au même titre qu’ont été créées des équipes
d’accompagnement à la communication, à la posture, etc. au sein des cellules de crise
Comment accompagner ses cyber, il faut créer des cellules d’accompagnement psychologiques pour les victimes au
collaborateurs en cas de
sein des mêmes cellules de crise.
cyberattaque
Comment accompagner ?
Ransomware : les premiers
enjeux de la reconstruction Il est difficile de produire une liste de conseils, du genre « to do list », mais voici
quelques pratiques qui me semblent importantes :
Comment mieux faire face aux
• limiter le nombre d’entretiens afin d’éviter le défilé d’intervieweurs qui
incidents de cybersécurité
contraignent la victime à reparler de son traumatisme de nombreuses fois ;
Comment constituer son équipe • définir un point de contact unique qui sera l’interlocuteur de référence pour la
de réponse à incident victime et qui saura répondre à ses questions, sans que cette dernière n’ait à
recommencer à expliquer la situation plusieurs fois ;
• définir qui seront les intervieweurs et faire le nécessaire pour éviter que la
notion hiérarchique ne prenne le dessus et bloque la victime. Faire en sorte que
les personnes qui seront en lien direct avec la victime soient circonscrites à un
ou des représentants des ressources humaines, un collègue, une personne du
service médical…
• former les intervieweurs à ce genre de situation afin qu’ils sachent utiliser les
bonnes méthodes au plus vite. Ils devront adapter leur discours en fonction de
Page 5 of 36
E-handbook
On le voit au travers de tous ces points, une cyberattaque engendre de plus en plus
souvent une sorte de choc post-traumatique qui peut être dévastateur sur les victimes.
Certaines auront énormément de mal à retourner travailler en sachant qu’à leur poste,
elles sont vulnérables. Il est, je pense, indispensable de prendre cette dimension en
Page 6 of 36
E-handbook
compte, et de la traiter avec la plus grande bienveillance. Plus rien n’est anodin dans
Dans ce guide notre monde.
Page 7 of 36
E-handbook
Page 8 of 36
E-handbook
savoir où sont les données sur les sauvegardes ». A ce stade, la question de savoir si
Dans ce guide l’on choisit de restaurer ou pas à partir d’elles, en fonction de l’ampleur supposée de la
compromission, ne se pose donc même pas. Et pour reconstruire l’index des
Comment accompagner ses sauvegardes, « souvent, c’est plusieurs jours » de travail avec les outils disponibles sur
collaborateurs en cas de
site.
cyberattaque
Mais pour ne rien gâcher, « le serveur de sauvegarde est très souvent lui-même
Ransomware : les premiers dépendant de l’annuaire ». Alors pour Gérôme Billois, l’une des principales mesures à
enjeux de la reconstruction prendre avant un incident, consiste « à s’assurer que les procédures de restauration
peuvent être lancées même dans une situation où il n’y a plus les fonctions de support
Comment mieux faire face aux classiques ». La question étant : « imaginons un cas où il n’y a plus rien ; combien de
incidents de cybersécurité temps faut-il pour accéder à nouveau aux sauvegardes » ?
Mais dans un cas où l’on est amené à soupçonner une atteinte à l’intégrité de
l’annuaire, la restauration apparaît bien difficile. « Dans un cas pareil, on repart d’une
infrastructure de base, en réinstallant de zéro. Et on en profite pour appliquer les
bonnes règles d’architecture Active Directory qui, bien souvent, ne l’étaient pas
avant ». De là, il devient possible d’envisager de récupérer prudemment, en les
nettoyant soigneusement si nécessaire, les données d’applications qui n’étaient pas la
cible de l’attaque.
Page 9 of 36
E-handbook
Page 10 of 36
E-handbook
Comment accompagner ses Il faut aussi compter avec la virtualisation : « les applications et systèmes, dont on sait
collaborateurs en cas de qu’ils ne constituaient pas la finalité de l’attaque et pour lesquels des snapshots sont
cyberattaque disponibles, peuvent être remontés en quelques clics ». A condition, bien sûr, que
l’hyperviseur n’ait pas été touché – « c’est un point clé ».
Ransomware : les premiers
enjeux de la reconstruction Un ajustement progressif
Ce genre d’incident plaide fortement en faveur de systèmes de surveillance du système
Comment mieux faire face aux
d’information. La visibilité, même seulement rétrospective, qu’ils peuvent apporter
incidents de cybersécurité
peut constituer une aide précieuse : « dans les premiers jours d’une gestion crise, on
oscille souvent dans le flou entre deux ou trois scénarios ». Ce qui créée naturellement
Comment constituer son équipe
de l’incertitude quant aux choix effectués pour la remédiation : « par moment, on
de réponse à incident
croise les doigts ».
Page 11 of 36
E-handbook
architectures dites sans confiance, ou zero trust. Las, « cela reste encore largement
Dans ce guide théorique ».
Page 12 of 36
E-handbook
Comment mieux faire face aux Bien sûr, le temps est loin où les dirigeants étaient largement déconnectés de la
incidents de cybersécurité fonction sécurité de l’information. Désormais, la cybersécurité est en tête des
préoccupations de beaucoup, et à juste titre : il ne se passe probablement pas un jour
Comment constituer son équipe sans qu’une entreprise ne soit la cible d’une attaque ou à tout le moins exposée à des
de réponse à incident risques de sécurité liés à l’IT.
Les menaces de sécurité et les vulnérabilités, ainsi que les incidents et brèches
auxquels elles peuvent conduire, concernent les organisations de toutes natures.
Littéralement n’importe quelle entreprise – grande ou petite, et sur tout secteur
d’activité – est une cible pour les cyberdélinquants, et à la merci de collaborateurs
négligents. La question est : quoi faire ? C’est là qu’intervient la réponse à incident.
Page 13 of 36
E-handbook
Dans ce contexte, il est tout d’abord important de faire la différence entre les menaces
et les vulnérabilités. Les premières sont des indications, comme un attaquant ou un
Page 14 of 36
E-handbook
• Événement : potentiel problème de sécurité qui n’a pas été confirmé et dont
tous les détails ne sont pas maîtrisés.
Page 15 of 36
E-handbook
Mais beaucoup de ces événements s’avèrent souvent sans gravité. Tout dépend de ce
Dans ce guide qui s’est produit et de ce qui peut être déterminé à partir des faits observés.
Comment accompagner ses Quoiqu’il en soit, le but est bien de disposer des stratégies nécessaires, en impliquant
collaborateurs en cas de les directions métiers, pour faire face aux menaces et vulnérabilités modernes plus
cyberattaque efficacement, que l’on dispose déjà d’un programme de réponse à incident ou pas.
Page 16 of 36
E-handbook
De fait, quel que soit son nom, l’équipe de réponse à incident devrait travailler à
Dans ce guide supporter son rôle dans le plan de réponse à incident, qui lui-même, devrait compléter
les objectifs du programme de sécurité de l’information. Les objectifs de l’équipe de
Comment accompagner ses réponse à incident peuvent ainsi recouvrir des réunions régulières, la réalisation
collaborateurs en cas de
d’exercices de simulation, et surtout de travailler à réduire les délais de réponse ainsi
cyberattaque
que minimiser l’impact d’éventuels incidents. Pour obtenir des résultats, ces objectifs
doivent être définis de manière très précise, en utilisant le présent et en détaillant les
Ransomware : les premiers étapes et la chronologie, afin d’aider à la responsabilisation.
enjeux de la reconstruction
Voici quelques exemples d’objectifs pouvant être développés par l’équipe elle-même
Comment mieux faire face aux ou un comité de supervision :
incidents de cybersécurité
• Nous définissons des indicateurs pour analyser les initiatives du programme de
réponse à incident qui impliquent surveillance et production d’alertes,
Comment constituer son équipe
de réponse à incident communication entre membres de l’équipe, et évaluations technologiques.
Page 17 of 36
E-handbook
d’échéances permettant à tous les membres de l’équipe de savoir ce que l’on attend
Dans ce guide d’eux et vers quoi tendre.
Comment accompagner ses Les objectifs doivent être raisonnables et atteignables. Et leur réalisation doit être
collaborateurs en cas de suivie. Sinon, ils risquent de ne devenir qu’une arrière-pensée, avant d’être pénalisants
cyberattaque au lieu de constituer des avantages. Les choses s’avèrent particulièrement difficiles
lorsque survient effectivement un incident et que l’on découvre que les procédures
Ransomware : les premiers documentées sont inexistantes ou pas du tout suivies. A minima, il convient de
enjeux de la reconstruction souligner les différents rôles de chacun dans le plan de réponse à incident, et les
responsabilités afférentes.
Comment mieux faire face aux
incidents de cybersécurité Un jeu de compétences étendu
L’équipe de réponse à incident doit inclure :
Comment constituer son équipe
de réponse à incident • Une équipe technique – avec des membres de l’équipe IT et SSI.
Page 18 of 36
E-handbook
Comment accompagner ses • Un consultant externe – un tiers expert en SSI ou en réponse à incident.
collaborateurs en cas de
cyberattaque • Un conseiller juridique – là encore, interne ou externe, mais chargé de
représenter l’organisation autant que nécessaire pour les incidents et les
Ransomware : les premiers
brèches.
enjeux de la reconstruction
La réponse à incident requiert ainsi un éventail de compétences important. Le cœur de
l’équipe reste toutefois technique, avec les spécialistes de la réponse à incident et les
Comment mieux faire face aux
personnes qui défendent l’organisation contre les attaques informatiques. Celles-ci
incidents de cybersécurité
sont compétentes en sécurité du système d’information et peuvent réaliser des tâches
telles que la surveillance du réseau à la recherche de vulnérabilités et de brèches, mais
Comment constituer son équipe
également la mise en place des mesures de remédiation appropriées lorsqu’elles sont
de réponse à incident
nécessaires.
Mais bien sûr, les compétences techniques ne sont pas tout. Comme vu plus haut, une
équipe de réponse à incident robuste a besoin de profils transverses capables de
Page 19 of 36
E-handbook
réaliser des tâches non techniques, comme communiquer et traiter les questions
Dans ce guide juridiques.
Comment accompagner ses Il est essentiel d’identifier celles et ceux qui s’intéressent au sujet et ont envie
collaborateurs en cas de d’apporter leur valeur ajoutée à cet aspect critique de la sécurité.
cyberattaque
Méthodologie
Ransomware : les premiers
Le plan de réponse à incident est le document de référence vers lequel se tourner
enjeux de la reconstruction
lorsque les choses tournent à l’aigre. Il décrit les qui, quoi, quand,
comment et pourquoi de la gestion des événements et incidents de sécurité, voire des
Comment mieux faire face aux
brèches lorsqu’elles sont confirmées. En fait, sans un plan dûment documenté, tout
incidents de cybersécurité
n’est que réaction, avec ce que cela implique comme perte de capacité à raisonner
sereinement, à froid, en toute lucidité. Et d’augmenter alors le risque de prendre de
Comment constituer son équipe
mauvaises décisions. Avec un plan de réponse bien avisé, à l’inverse, il est possible de
de réponse à incident
traiter l’incident avec clarté et rigueur, sans se laisser piloter par ses émotions.
Le plan de réponse à incident doit donc être développé en avance par l’équipe de
réponse à incident ou son coordinateur. Les composants détaillés dans le tableau ci-
dessous doivent y figurer.
Page 20 of 36
E-handbook
Dans ce guide
Page 21 of 36
E-handbook
Page 22 of 36
E-handbook
Page 23 of 36
E-handbook
La boucle OODA peut être utilisée comme approche globale de la réponse à incident et
Dans ce guide peut aider à définir quels outils de sécurité à utiliser tout au long du processus. Et ceux-
ci sont nombreux, qu’il s’agisse de prévention, détection ou réponse. Par exemple, la
Comment accompagner ses visibilité apportée par l’analyse de paquets réseau, l’examen de ressources système ou
collaborateurs en cas de
la supervision de l’intégrité de fichiers correspondent à la phase d’observation de la
cyberattaque
boucle OODA. Les outils de gestion du renseignement sur les menaces peuvent en
alimenter la phase d’orientation.
Ransomware : les premiers
enjeux de la reconstruction La réponse à incident est un processus, mais la technologie peut en automatiser
certaines fonctions pour aider à l’accélérer et à limiter les erreurs. Et là, de nombreux
Comment mieux faire face aux outils peuvent s’avérer utiles : ceux d’analyse des flux et du trafic réseau, de gestion
incidents de cybersécurité des vulnérabilités, les systèmes de gestion des informations et des événements de
sécurité (SIEM), les outils de détection et de réponse sur les hôtes du SI (EDR), le pare-
Comment constituer son équipe feu, les systèmes de détection/prévention d’intrusion (IDS/IPS), etc.
de réponse à incident
De nombreux outils sont commerciaux, mais les alternatives open source existent
également pour la plupart de ces domaines. Il s’agit juste d’évaluer ses besoins et
l’investissement nécessaire – en numéraire comme en ressources humaines –, tout en
tenant compte de la pérennité des offres.
Page 24 of 36
E-handbook
Comment accompagner ses C’est ce que l’on appelle la hiérarchisation : quels que soient les incidents – et plus ils
collaborateurs en cas de sont nombreux –, il est important de déterminer ceux qui doivent être traités en
cyberattaque priorité. Ce qui revient à déterminer ceux qui sont urgents, ceux qui sont importants et
comment il faudra réagir aux différents scénarios. Là, il convient de considérer les
Ransomware : les premiers événements, les incidents et les brèches confirmées en fonction des éléments
enjeux de la reconstruction suivants :
Comment constituer son équipe 3. Qu’est-ce qui est à la fois urgent et important ?
de réponse à incident
Un exemple de problème urgent, mais non important serait une infection par un
logiciel malveillant sur un poste de travail de vente d’une succursale qui ne se connecte
au réseau du bureau ou à l’internet que via le Wi-Fi invité. Un exemple de problème
important, mais non urgent, peut être celui d’un nouvel ordinateur portable
récemment imagé qui est perdu, mais qui ne contient pas encore d’informations
métier. Une attaque en déni de service distribué (DDoS) contre un site web de
commerce électronique, une infection par un logiciel malveillant affectant les serveurs
de production et des tentatives de phishing contre des cadres ou des administrateurs
Page 25 of 36
E-handbook
Comment accompagner ses De nombreux problèmes de sécurité observés relèvent des deux premières catégories.
collaborateurs en cas de Ils doivent être traités d’une manière ou d’une autre, mais ils ne doivent pas distraire
cyberattaque de l’essentiel : la troisième catégorie, celle où l’on doit concentrer la majorité de ses
ressources de réponse à incident. L’important est de prendre en compte la situation
Ransomware : les premiers dans son ensemble, pour accorder la plus haute priorité aux événements de sécurité
enjeux de la reconstruction ayant le plus d’impact sur les ressources et les actifs informationnels critiques.
Page 26 of 36
E-handbook
pouvant être exploités pour une énumération et une intrusion plus poussées. Les
Dans ce guide entreprises de toutes tailles présentent d’innombrables vulnérabilités qui n’ont pas
encore été identifiées, et encore moins traitées. Mais compte tenu des outils à
Comment accompagner ses disposition aujourd’hui, il n’y a tout simplement aucune raison d’offrir des avenues aux
collaborateurs en cas de
pirates. Des mots de passe faibles, des correctifs non appliqués et des informations
cyberattaque
non sécurisées peuvent facilement conduire à un incident ou à une brèche. Et cela ne
se produit hélas que trop souvent.
Ransomware : les premiers
enjeux de la reconstruction Plutôt que des politiques, des processus et des contrôles techniques, ce qui est
nécessaire, c’est une hygiène, une discipline, pour reconnaître les menaces et les
Comment mieux faire face aux vulnérabilités, y compris pour son programme de sécurité de l’information, jusque
incidents de cybersécurité dans la réponse aux incidents.
Page 27 of 36
E-handbook
Quelques mesures pratiques peuvent être prises pour s’assurer de disposer d’une
équipe adéquate et d’un plan d’intervention qui prévoit l’implication des bonnes
parties prenantes – y compris externes. Compte tenu de tous les éléments auxquels il
faut prêter attention, la constitution de l’équipe est l’une des premières choses à
traiter : les personnes nécessaires, celles à disposition, et la meilleure façon de les
responsabiliser.
Page 28 of 36
E-handbook
Comment accompagner ses Toute réponse à incident nécessite une équipe aux compétences multiples : aucun
collaborateurs en cas de individu ou domaine fonctionnel ne peut porter cela seul. Il y a deux raisons à cela.
cyberattaque Tout d’abord, l’équipe doit être habilitée à prendre des mesures – déposer une plainte,
informer partenaires et médias, interrompre des services techniques, mais également
Ransomware : les premiers engager des dépenses exceptionnelles pour des spécialistes externes, par exemple.
enjeux de la reconstruction Pour cela, il faut faire appel aux parties prenantes qui contribuent à ces décisions et
aux décideurs qui les influenceront. Il est important de faire participer ces personnes
Comment mieux faire face aux dès le début ou de pouvoir les mobiliser rapidement.
incidents de cybersécurité
Vient ensuite la question de la diversité des compétences.
Comment constituer son équipe
Chaque incident est différent et les détails n’en sont pas connus avant qu’il ne se
de réponse à incident
produise. Il est ainsi impossible de savoir avec précision quelles seront les
compétences nécessaires durant l’incident. Il est donc prudent d’avoir une base de
compétences diversifiée au départ – et d’être en mesure de faire venir rapidement des
personnes ayant les connaissances complémentaires qui pourraient s’avérer
nécessaires.
Page 29 of 36
E-handbook
Il n’y a pas de règles strictes concernant les personnes à impliquer. Le métier, la culture
d’entreprise et la structure interne peuvent fortement influencer le choix. Mais de
manière générale, il est recommandé d’impliquer la direction, l’informatique, la
sécurité de l’information physique comme juridique, les ressources humaines, et
encore les relations publiques.
Page 30 of 36
E-handbook
Rôles et responsabilités
Dans ce guide
La question suivante touche à l’organisation interne de l’équipe elle-même. Une
Comment accompagner ses stratégie efficace consiste à créer une matrice d’attribution des responsabilités
collaborateurs en cas de identifiées. Le faire de manière formelle, collective, collaborative et par écrit peut
cyberattaque constituer un avantage considérable. Puisqu’un certain temps peut s’écouler entre la
préparation du plan de réponse et la survenue de l’incident, disposer d’une base écrite
Ransomware : les premiers formelle permet de rappeler aux participants leurs responsabilités.
enjeux de la reconstruction
Page 31 of 36
E-handbook
Lors de l’établissement de cette matrice, il convient de décider qui dirige le groupe. Les
Dans ce guide frictions au sein de l’équipe n’ont pas leur place lors d’un incident. Et ce rôle de chef
d’équipe offre un point de contact sans ambiguïté aux cadres, permettant une prise de
Comment accompagner ses décision rapide et un arbitrage clair des différends.
collaborateurs en cas de
cyberattaque De même, il est important de disposer de personnes possédant les compétences
nécessaires pour comprendre la technologie, les applications et les environnements de
Ransomware : les premiers l’organisation, ainsi que de personnes capables de faire des recherches sur les
enjeux de la reconstruction indicateurs de compromission. Toutefois, il faut être en mesure de faire appel
rapidement à des consultants ou à des spécialistes externes.
Comment mieux faire face aux
incidents de cybersécurité Des facteurs aidant
Il faut ensuite réfléchir à la manière de permettre à l’équipe de travailler le plus
Comment constituer son équipe
efficacement possible. Pour cela, il faut considérer le modèle d’opération : l’équipe
de réponse à incident
sera-t-elle convoquée seulement lorsqu’un incident est officiellement déclaré, ou
existera-t-elle sous une forme permanente, avec plus ou moins de personnel à temps
complet ?
Page 32 of 36
E-handbook
Dans ce guide
Page 33 of 36
E-handbook
Quelle est la différence ? Les missions du SOC peuvent recouvrir la réponse aux
Dans ce guide incidents, mais incluent généralement d’autres aspects des opérations de sécurité, par
exemple, comme la gestion des événements de sécurité ou des vulnérabilités.
Comment accompagner ses
collaborateurs en cas de Les CSIRT et CERT se concentrent spécifiquement sur la réponse aux incidents.
cyberattaque Ils peuvent fonctionner dans le cadre du SOC, s’il y en a un, ou exister
indépendamment de celui-ci. Ils peuvent également être permanents ou éphémères,
Ransomware : les premiers mobilisés uniquement lors de certains événements. Le choix de l’approche dépend
enjeux de la reconstruction notamment de la taille de l’organisation et de son contexte opérationnel. Mais de ce
choix pourront en retour dépendre – au moins partiellement – la manière dont le
Comment mieux faire face aux groupe fonctionnera et les outils auxquels il aura accès.
incidents de cybersécurité
Il faut donc déterminer le modèle d’organisation et les méthodes de communication
les plus judicieuses compte tenu du nombre de personnes impliquées, du contexte et
Comment constituer son équipe
de réponse à incident du budget disponibles, des besoins de l’organisation, du paysage des menaces, etc.
Page 34 of 36
E-handbook
Ce document est une sélection d’articles. Retrouvez le guide complet sur LeMagIT
Dans ce guide
Comment constituer son équipe Profitez de tous les avantages liés à votre abonnement sur :
de réponse à incident https://www.lemagit.fr/eproducts
Images : Adobe Stock (Fotolia)
©2023 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de quelque
manière que ce soit sans autorisation écrite de la part de l’éditeur.
Page 35 of 36
E-handbook
Dans ce guide
©2023 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la forme sans l'autorisation écrite de l'éditeur.
Comment constituer son équipe Les réimpressions de TechTarget sont disponibles à travers The YGS Group.
de réponse à incident TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent un accès rapide à un stock important
d'informations, de conseils, d'analyses concernant les technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les
problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur.
Page 36 of 36