Podcast NoLimitSecu : Gestion crise rançongiciel
L'épisode n°350 du podcast NoLimitSecu de Johanne Ulloa a paru en janvier 2022 et porte sur la gestion de crise suite à une infection du système d'information par un rançongiciel.
Dans ce podcast, différents intervenants nous partagent leurs expériences en gestion de crise suite à l'infection d'entreprises par un rançongiciel. Ces retex sont très intéressants et permettent de se faire une idée des difficultés de l'intervention et de la méthodologie de "résolution" d'une telle crise. Il est d'ailleurs rappelé dans ce podcast la différence entre incident et crise :
La crise c'est quand ce n'est pas écrit dans les bouquins [...] il n'y a pas de plan, on doit improviser. [...] Alors que l'incident est quelque chose pour lequel on a un playbook, on sait quoi faire.
L'intervenant Jérôme Saiz met notamment en avant qu'aujourd'hui, "la compromission par un ransomware n'est plus une maladie honteuse". Ce fait facilite la communication et l'appel à des intervenants en gestion de crise ainsi que l'anticipation d'une telle crise.
Jérôme SAIZ est consultant en protection des entreprises et fondateur de la société OPFOR Intelligence, où il accompagne les entreprises dans la gestion des crises cyber. Il intervient également en tant que Crisis Manager & Incident Handler CERT-Intrinsec.
Jusqu'à présent, pour 90% des victimes de ransomware, c'est 8-10j de blackout pour l'entreprise
Ce podcast permet de mettre la lumière sur les conditions, les difficultés et l'ambiance générale d'une crise dans une entreprise victime d'une attaque par ransomware. On y apprend également quelques éléments importants sur la communication qui doit être faite sur la crise en elle-même. D'après les intervenants du podcast, la priorité en termes de communication est la communication interne, celle envers les salariés qui peuvent se poser des questions sur la survie de l'entreprise et les répercussions sur leur emploi. Vient ensuite la communication envers les partenaires, notamment ceux qui ont des interconnexions avec le SI infecté. Dans les premiers instants de la gestion de crise, la communication vers le grand public est, elle, secondaire.
En écoutant ces différents retours d'expérience, plusieurs points clés sont à retenir et permettent d'avoir une meilleure idée de comment agir et réagir si vous devez être confronté à une telle crise. Parmi les autres sujets abordés dans ce podcast :
- la composition de la cellule en charge de la résolution de la crise;
- l'importance de corréler les attentes pour éviter les tensions et justifier les décisions urgentes;
- les différents niveaux de temporalité et les jalons de la résolution d'une crise;
- le paiement des rançons est-il fréquent ?
- lorsque paiement il y a, quels sont les résultats ?
- l'action et l'intérêt des cyberassurances;
- l'intérêt de la décorrélation entre l'AD/le SI bureautique et les systèmes d'administration et de sauvegarde;
- les conditions posées par les partenaires interconnectés au SI pour redémarrer une collaboration et une interconnexion avec le système compromis.
Les intervenants proposent notamment 3 points pouvant être anticipés et préparés en amont d'une telle crise :
- Cartographier les principaux processus métier et les traduire en cartographie système. Par exemple : quels systèmes interviennent dans le processus de paiement des salariés ?
- S'entrainer à la gestion de crise.
- Se poser la question suivante en amont d'une crise : "il n'y a plus de système d'information, qu'est ce que l'on fait ?" et ne pas considérer cette question comme très improbable, voire fantaisiste.
Voici le lien vers le podcast de NoLimitSecu : rançongiciels - gestion de crise
Pour aller plus loin, je vous recommande également la lecture des guides de l'ANSSI suivants :