Faire des cyberattaques une opportunité pour renforcer la résilience des systèmes d’information
L’Agence nationale pour la sécurité des systèmes d’information (Anssi) soumet pour avis des guides sur les bonnes pratiques pour remettre en route un système d’information victime d’une cyberattaque. Avec un message clé aux dirigeants : affectez les moyens nécessaires pour accroître durablement la résilience de votre organisation.
L'Anssi vient de soumettre à consultation publique une série de trois guides (stratégique, pilotage, technique) sur la remédiation aux cyberattaques. Une initiative qui sonne comme un aveu d’impuissance pour cette institution connue pour ses nombreux guides sur la prévention des risques cyber. Face à la multiplication du nombre de victimes, parmi lesquelles les collectivités territoriales sont surreprésentées – cf. la sinistralité observée coté grandes collectivités (notre article du 25 janvier 2023) comme pour les petites (notre article du 24 mars 2023) – et à des effectifs qui ne peuvent venir au secours de toutes les entités concernées, il était urgent de proposer des guides de référence sur la remédiation.
Les trois temps de la remédiation
L’un des enjeux de ces documents est de réussir à impliquer pleinement les dirigeants, objet d’un (très succinct) opus autour des "clés de la décision". Car "si la remédiation est bien pilotée, l’incident devient une opportunité d’amélioration significative de la résilience de l’organisme qui le subit", fait valoir l’agence. Une remédiation qui comprend trois phases : l’endiguement de l’attaque pour limiter sa propagation et donc les dégâts, l’éviction de la menace du cœur du système d’information et, enfin, l’éradication des "emprises résiduelles" pour éliminer les capacités de retour de l’attaquant par des portes dérobées laissées lors de l’intrusion. C’est sur ces deux dernières étapes que l’agence estime qu’il y a matière à rebâtir le système d’information pour en renforcer durablement la sécurité.
Trois options pour les dirigeants
Lors de la remédiation, les dirigeants doivent faire des choix avec des incidences financières que l’agence résume en trois scenarios. "Le redémarrage d’urgence des services vitaux est faiblement coûteux, mais les risques de résurgence sont élevés. D’autres remédiations ultérieures seront alors nécessaires, ce qui génère un coût total très élevé pour l’organisation", met en garde l’Anssi. Elle incite plutôt l’organisation à investir fortement en remettant le système d’information aux normes de cybersécurité en vigueur. "À terme, cet investissement aura été très rentable. L’organisation maîtrise durablement sa sécurité", assurent les experts. Le scenario intermédiaire, consistant à remettre le système d’information dans l’état où il était au moment de l’attaque, est lui aussi jugé risqué par l’agence. Elle estime qu’il nécessitera ultérieurement des investissements ponctuels, sans vraiment donner un coup d’arrêt aux incidents, et avec à la fin un coût élevé pour l’organisation.
Un chantier de plusieurs mois
Le guide sur le pilotage de la remédiation se veut pour sa part très opérationnel en proposant une méthodologie étape par étape, des "check-list" prêtes à l’emploi ou encore des clefs pour sélectionner les prestataires qui seront indispensables sur certains sujets. Parmi les recommandations, on notera l’importance de définir des objectifs stratégiques avec la direction et sa bonne information tout au long du processus de remédiation. Dans tous les cas, la remédiation prend du temps. "Les incidents se gèrent en semaines et en mois. Prenez le temps de comprendre, de vous faire expliciter les options pour choisir", alerte l’Anssi qui invite aussi les dirigeants à rester "flexibles", "réactifs" et focalisés sur "les enjeux de long terme". Sur cette question du temps, on soulignera que les cybers incidents de ces derniers mois donnent raison à l’agence sur la durée. Au dernier forum des Interconnectés, la métropole marseillaise évoquait un délai de trois mois pour restaurer 99% du système d’information, 1% étant "perdu". Dans la commune de Villers-Saint-Paul (6440 habitants), face à des données effacées, leur ressaisie a nécessité six mois, comme l’évoquait son maire devant les sénateurs (notre article).
L’appel à commentaires est ouvert jusqu’au 22 juin 2023. Si la thématique concerne directement les collectivités, on regrettera que leurs spécificités – telles que le bicéphalisme élus-DG, l’imbrication des systèmes d’information des territoires ou les enjeux autour des services régaliens – ne soient pas pris en compte.