Réponse aux incidents cybernétiques

Au beau milieu du confinement, des cybercriminels ont attaqué un conglomérat industriel allemand. La faille de sécurité n'a été détectée qu'au bout de deux semaines, et entre temps, la totalité de leur réseau avait été infiltré.

décembre 13, 2021

Ils disposaient de plans bien rodés de réponse aux incidents cybernétiques et les ont mis en œuvre, analysant la situation, puis travaillant à sécuriser le périmètre, à contenir l’attaque et à évaluer les dégâts. Toutefois, leur RSSI était frustré : quoiqu’ils faisaient, les assaillants avaient toujours une longueur d’avance.

Pourquoi cela prenait-il si longtemps ? Ce n’était pas parce que leur équipe traînait des pieds. Il s’avéra que les assaillants avaient infiltré leurs outils de productivité, y compris l’application de collaboration bien connue que l’équipe de réponse aux incidents utilisait pour coordonner ses efforts. Les assaillants pouvaient écouter les appels et lire les messages. Quoi que l’équipe de réponse tentait, les pirates informatiques y étaient préparés.

Problèmes n° 2 et n° 3

Le RSSI reçut l’autorisation de couper tous les accès à l’environnement de productivité et de collaboration afin d’empêcher les assaillants de l’infiltrer. Toutefois, cela priva également les employés de la possibilité de communiquer et cela empêcha le PDG d’informer tout le monde de ce qui se passait. L’organisation était devenue extrêmement dépendante de ses outils de collaboration et de communication numériques des suites de sa transformation numérique accélérée pendant la pandémie. Les activités essentielles se sont arrêtées, entraînant des pertes financières et une atteinte à la réputation de l’entreprise auprès de ses clients et de ses partenaires du secteur.

Cette mesure audacieuse permit de contenir l’attaque, et les équipes informatiques purent enfin se concentrer sur le fait de sécuriser le réseau et de commencerà restaurer les systèmes principaux et

les données. Ce processus allait durer plusieurs semaines – l’avenir semblait sombre, mais ses partenaires du secteur et les autres tiers se sont ralliés à l’entreprise sinistrée en lui offrant une aide et un soutien pratiques. Ils ne lui demandèrent pas de compensation financière, mais de leur faire une promesse : aidez-nous quand ce sera notre tour.

Continuité des activités

Pendant cette période d’interruption, l’entreprise a acheté plusieurs licences pour un autre outil de collaboration afin d’essayer de relancer les communications et de commencer à reprendre les activités essentielles. Cela n’eut toutefois qu’un succès limité, car ils avaient des dizaines de milliers de réunions de collaboration prévues chaque jour, ainsi qu’un autre réseau complexe d’informations contenues dans leur outil de collaboration principal.

Au total, il fallut environ six semaines entre la détection de la faille et la remise en service des systèmes principaux.

Une tendance inquiétante

Même si j’ai trouvé leur histoire extraordinaire, il est clair que cette entreprise allemande n’est pas la seule à avoir été victime d’une cyberattaque. Il est inquiétant de constater que ces dernières sont de plus en plus fréquentes et sophistiquées, ce qui accroît leur impact sur les victimes. C’est particulièrement vrai en ce qui concerne les attaques par rançongiciel, lesquelles ont augmenté de 148 % en 2020, et le record de la rançon payée la plus élevée a récemment été établi par un assureur américain avec une rançon unique de 40 millions d’USD.

Les entreprises résilientes réagissent à cette menace en constante évolution en revoyant leur position en matière de cybersécurité afin de prédire et d’empêcher les cyberattaques, tout en améliorant leurs plans de réponse aux incidents cybernétiques de sorte à être prêtes si le pire se produit.

Un travail d’équipe

Il est clair à mes yeux que répondre efficacement à un incident cybernétique est un travail d’équipe. Je prends grand plaisir à aider les clients, tels que l’entreprise allemande ci-dessus, en leur proposant une solution à ajouter à leur boîte à outils afin de leur permettre d’exceller pendant les moments les plus stressants. Cet outil s’appelle StarLeaf Standby.

À la base, Standby est un service de basculement de la collaboration et des communications numériques qui peut être activé pour répliquer instantanément votre environnement principal, puis prévenir vos collègues de l’interruption par e-mail et par SMS, leur permettant ainsi de rester productifs et permettant à votre entreprise d’atteindre ses objectifs de temps de reprise pour les activités essentielles. Cette fonctionnalité de base est complétée par une suite d’outils qui aide les équipes de gestion de crise et de réponse aux cyberincidents pendant l’attaque, moment auquel il est crucial de collaborer efficacement à chaque étape.

Je vais vous expliquer comment Standby aurait pu aider lors de l’attaque évoquée ci-dessus.

Confidentiel, sécurisé et robuste

Tout au long du cycle de vie du cyberincident, Standby fournit un environnement confidentiel, sécurisé et robuste qui permet aux intervenants de collaborer. Étant donné qu’il est isolé de votre plateforme principale, il vous protège des fouineurs potentiels, et en tant que service de nuage autonome, il peut même être installé sur des appareils personnels afin d’en renforcer la sécurité.

La réponse aux cyberincidents est un travail d’équipe, et c’est pourquoi Standby prend en charge la collaboration interorganisationnelle. Cela permet à votre équipe d’intervention de travailler avec des tiers, tels que votre fournisseur de solution de sauvegarde et de reprise d’activité après sinistre, afin de vous assurer que votre réponse est à la fois efficace et rapide.

Agir de manière décisive

En fournissant une solution de basculement de la collaboration, Standby permet aux équipes de réponse aux cyberincidents d’agir de manière décisive pour contenir une attaque, même si cela signifie de couper l’accès des employés à leur plateforme principale de productivité et de collaboration. Elles peuvent prendre cette mesure drastique en sachant que l’impact sur les activités essentiels est atténué. StarLeaf travaille également avec des professionnels de la continuité des activités dans un but unique – protéger les activités essentielles qui dépendent des outils de communication et de collaboration numériques – les cyberincidents sont l’une des nombreuses menaces auxquelles ces activités sont confrontées.

Des temps de reprise réalistes

Les activités essentielles pouvant se poursuivre grâce à Standby, les opérations de reprise peuvent se dérouler dans des délais réalistes. Cela peut même permettre de ne pas payer de rançon et de restaurer à partir d’une sauvegarde, dans le cas ou le temps nécessaire à la reprise aurait causé des dommages supérieurs à la valeur de la rançon.

Prêt à protéger votre entreprise grâce à StarLeaf Standby ? Apprenez-en davantage ou réservez une démo.

Réserver une démo

Steve Raffe, vice-président de la stratégie et de l'alliance mondiale, StarLeaf
Steve Raffe, vice-président de la stratégie et de l'alliance mondiale, StarLeaf