Victime d’une cyberattaque? Comment réagir?

Tout comme les entreprises effectuent régulièrement des exercices d’incendie, elles devraient également mettre en place un plan au cas où elles seraient confrontées à une cyberattaque. ‘Ce n’est pas l’incident qui détermine la perception que nous avons d’une entreprise, mais la manière dont elle l’a géré.’

Si l’on examine le paysage actuel de la cybersécurité, nous arrivons à une double conclusion. D’une part, il est bon de constater que jamais autant d’attention n’a été accordée à la cybersécurité. D’autre part, de nombreuses entreprises tombent encore des nues, lorsqu’elles sont victimes d’une cyberattaque ou lorsqu’elles réalisent qu’elles y sont moins bien préparées qu’elles ne le pensaient initialement. ‘Il est important de disposer d’un ensemble d’actions prédéterminées, afin de pouvoir gérer efficacement une cyberattaque et atténuer son impact’, déclare Jan De Bondt, Head of Cybersecurity Advisory Services chez Orange Cyberdefense, lors de l’événement annuel Orange Cyberdefense Live.

‘La pratique montre que les entreprises doivent d’abord être face au mur, avant de libérer du budget et du personnel’

‘Les entreprises se sentent souvent trop en sécurité’, confirme Tom De Laet, responsable de l’équipe EMEA de réaction aux incidents chez Check Point Technologies. ‘Elles ont l’impression de disposer de suffisamment de solutions de sécurité. Mais cela implique souvent différentes solutions qui ne sont pas intégrées les unes aux autres, n’échangent pas de données ou ne sont pas configurées correctement.’ Il ne suffit donc pas de satisfaire à la liste des exigences logicielles et système. ‘Dans de nombreuses entreprises, on constate que les collaborateurs sont très sensibilisés’, poursuit De Laet, ‘mais aussi que dans la pratique, le budget ou le support sont insuffisants, par exemple parce que la direction considère encore trop la cybersécurité comme un problème secondaire. La pratique montre que les entreprises doivent d’abord être face au mur avant de libérer du budget et du personnel.’

Communication claire

Si elles sont face au mur, la communication est importante. Si une entreprise est paralysée, par exemple à cause d’une attaque au ransomware, il est important de communiquer sur ce qui se passe et comment la situation évolue. ‘Il est préférable de confier cette tâche à des personnes expérimentées dans les relations publiques ou la communication médiatique’, explique Jan De Bondt. Le manager lui-même est trop impliqué émotionnellement à ce moment-là.

La communication interne est encore plus importante pour réussir à surmonter une cyber-crise. Jan De Bondt: ‘Une communication ouverte et loyale veille à ce que les employés sachent ce qui se passe et ce qu’ils doivent faire, afin de commettre moins d’erreurs.’ C’est non seulement propice à la continuité sur le moment lui-même, mais cela aidera également par la suite. Les employés qui sont au courant de ce qui se passe, sont susceptibles de partager plus rapidement leurs préoccupations et leurs questions, soulevant ainsi des éléments qui n’étaient pas encore sur le radar. Et De Bondt de citer l’exemple de l’Université de Maastricht, qui communiqua de manière très ouverte et informative en 2019 après une attaque au ransomware.

‘Dans notre pays, les entreprises ont souvent honte d’annoncer qu’elles ont été victimes d’une attaque au ransomware’

Il voit ici une nette différence culturelle entre la Belgique et les Pays-Bas. ‘Dans notre pays, les entreprises ont souvent honte d’annoncer qu’elles ont été victimes d’une attaque au ransomware et qu’elles ont ou non versé une rançon. Il est important de garder à l’esprit qu’en tant qu’entreprise, vous n’êtes pas jugé sur le fait que vous êtes touché, mais sur la manière dont vous gérez la cyberattaque.’ C’est précisément pourquoi la communication externe est un instrument aussi important. Mais: au moment opportun. En cas de cybermenace identifiée précocement et n’ayant causé aucun dommage, la communication est déconseillée. Jan De Bondt: ‘Après tout, une aide de l’intérieur peut toujours être impliquée. L’arrêt de tous les systèmes est alors la première priorité.’

Priorité à la continuité des activités

Lors de l’événement Orange Cyberdefense, Ivo Jacobs, directeur général de l’Heilig Hartziekenhuis à Mol, revient sur l’attaque au ransomware dont l’hôpital a été victime début 2021. Jacobs est médecin, pas informaticien: ‘Pendant la crise, la tension entre les professionnels de santé et les spécialistes IT est devenue forte. Les spécialistes ont proposé de désactiver au plus vite tous les systèmes et de les rendre inaccessibles, mais les médecins et infirmiers ont naturellement préféré poursuivre leurs soins, et l’accès aux données médicales est dans ce cas indispensable.’

‘Si vous ne pouvez plus faire confiance aux systèmes IT, vous devez adopter une autre approche, dans notre cas le stylo et le papier.’

L’Heilig Hartziekenhuis a décidé que les prestataires de soins bénéficieraient d’une heure supplémentaire d’accès aux systèmes pour télécharger toutes les données dont ils avaient besoin pour garantir les soins les deux jours suivants. ‘Ce faisant, nous pouvions entre-temps continuer à soigner tous les patients.’ L’hôpital a utilisé à cette fin une approche impliquant deux cellules de crise: l’une composée d’experts IT, en plus d’une cellule de crise médicale s’occupant de la continuité des soins. ‘Si vous ne pouvez plus faire confiance aux systèmes IT, vous devez adopter une approche différente. Dans notre cas, cela consista, entre autres, à enregistrer les visiteurs et le personnel au moyen d’un stylo et du papier.’

La cause de l’attaque au ransomware s’est avérée être un contrôleur de domaine piraté via un ancien compte qui n’avait pas été désactivé. Au total, l’impact a été plutôt limité puisque seuls 50 des 800 systèmes ont été touchés. Il n’y avait pas de possibilité de négocier le montant de la rançon. Mais comme l’hôpital lui-même a rapidement découvert l’impact limité, il a finalement payé moins que ce que les cybercriminels avaient initialement exigé. Six jours plus tard, l’hôpital était à nouveau pleinement opérationnel.

Assurance cybersécurité

Les coûts directs de la cyberattaque contre l’Heilig Hartziekenhuis ont oscillé entre 700.000 et un million d’euros. L’hôpital en a pu récupérer une grande partie grâce à son assurance cybersécurité. ‘Il en est résulté que nous ne pouvions plus souscrire une nouvelle assurance, sauf moyennant une prime beaucoup plus élevée et à des conditions plus strictes’, explique Ivo Jacobs. ‘L’incident a également donné lieu à une discussion sur l’externalisation de l’IT. Depuis lors, nos systèmes IT sont surveillés de l’extérieur. Jacobs est clair sur la question de savoir s’il est approprié pour les entreprises de souscrire une telle assurance. Il la recommande fortement: ‘Car que serait-il arrivé, si les dommages avaient été bien plus importants?’

Pour mieux se protéger contre les cyber-incidents, l’Heilig Hartziekenhuis a investi dans un security operations center (SOC). Aujourd’hui, dans de nombreux cas, il s’agit d’ailleurs là d’une condition pour pouvoir être pris en considération pour une éventuelle assurance. ‘Désormais, nous appliquons également une approche ‘zero trust’, tant physiquement qu’en ligne. Sans données d’accès, on ne peut accéder nulle part, et nous demandons toujours une vérification explicite via une authentification à deux facteurs.’

L’assurance cybersécurité s’est à coup sûr avérée utile dans le cas de l’hôpital de Mol. Mais elle présente également un danger: les entreprises se cachent derrière elle et n’adoptent pas une attitude proactive. Tom De Laet: ‘Chaque situation est différente. L’utilité de l’assurance correspond toujours à un arbitrage entre les coûts directs et indirects, liés ou non à la souscription de l’assurance. Il est important que les entreprises comprennent que l’assurance ne doit être qu’un aspect mineur de l’ensemble de leurs efforts en matière de cybersécurité.’

Question éthique

Mieux vaut prévenir que guérir. Mais que se passe-t-il si vous êtes quand même touché? En cas d’attaque au ransomware se pose inévitablement la question suivante: allez-vous payer la rançon demandée? Soit vous payez et vous gardez ainsi opérationnel le modèle économique des criminels, soit vous ne payez pas et vous amplifiez éventuellement encore vos dommages. ‘C’est une question éthique’, affirme Tom De Laet. ‘Du point de vue de la continuité des activités, on en parle souvent moins, car les enjeux sont importants.’ Le paiement de la rançon peut représenter la solution la moins chère et la plus rapide. ‘Nous constatons également que les cybercriminels tiennent parole, sinon leur modèle économique s’effondrerait.’

Il est conseillé aux entreprises d’essayer de négocier le montant de la rançon, comme l’a fait l’Heilig Hartziekenhuis. Tom De Laet: ‘La marge de manœuvre dont vous disposez, dépend du groupe qui vous a attaqué et des données qu’il a dérobées. S’il a effectué une recherche efficace, il connaît la solidité financière de l’entreprise touchée. Il est donc préférable de s’en remettre à des professionnels pour mener les négociations, car ils ne sont pas impliqués émotionnellement.’