Pour une entreprise de n’importe quel secteur d’activité qui fait face à une cybermenace, c’est important d’arriver planifié! La plupart des cyberattaques requièrent qu’on agisse vite pour éviter les dommages importants. Pour ce genre de menace, il faut agir rapidement et efficacement, c’est pourquoi toutes les entreprises devraient avoir un plan d’intervention. Un plan d’intervention, kosséça? On a posé la question - et plein d’autres - à David Bilodeau, programmeur chez Eckinox et toqué de cybersécurité.
En fait, il devrait être une marche à suivre pour passer au travers de cette crise. Il devrait commencer à la détection de la menace. Par exemple beaucoup de rançongiciels vont avertir l’utilisateur quelques semaines avant l’arrêt complet du système: exemple, quelqu’un reçoit la notification que le système sera crypté dans deux semaines jusqu’à la toute dernière étape, soit le rétablissement des opérations à 100%. Il devrait être clair et concis.
C’est important de ne pas détailler toutes les procédures pour ne pas encombrer le processus. Principalement, il va signaler qui devrait être appelé, quel sera le rôle de chacun et les endroits où on pourrait trouver les informations pour régler certains problèmes (en cas de documentation antérieure existante). Les détails seront notés par le comité d’urgence qui devra être formé.
Un peu comme le comité sécurité incendie: s’il y a un feu dans un bâtiment important, on ne va pas commencer à lire le Guide d’utilisation de l’extincteur ou un livre sur comment éteindre un feu. La meilleure solution est d’assurer une communication constante entre les membres d’une équipe dédiée à la réponse de cet incident. On veut garder la communication active pour agir le plus rapidement et efficacement possible.
C’est vraiment important de définir un canal de communication tout au long de l’incident. Si c’est un problème majeur qui va affecter toute votre clientèle, il faut déterminer une personne qui fera le pont entre les clients et l’entreprise. Il faut aussi décider de ce qui sera communiqué et qu’est-ce qui ne devrait pas être dit. Souvent, il faut éviter d’aggraver le problème dans notre communication au client. Par exemple, il ne faut pas dire: “Un virus malicieux a réussi à déjouer nos systèmes”. Une phrase allant dans ce sens laisse croire que le problème est plus rusé que les gens à l’interne.
Il faut aussi éviter de mentir dans nos communications. Il ne faudrait pas dire: “Nous allons régler le problème rapidement”. Parce qu’il est impossible de savoir si le problème peut être réglé rapidement ! C’est également important d’avoir le bon moment pour communiquer l’information. Savoir qu’un problème est survenu trop tôt peut provoquer une foulée de questions de la part des clients et causer bien des tracas inutiles. Également, communiquer l’information trop tard peut aggraver la situation parce que les clients vont perdre confiance pour manque de transparence.
La plupart du temps, le plus complexe après une attaque est de reprendre les opérations, ce qui entraîne les victimes d’un incident à perdre beaucoup d’argent parce que toute l’équipe est prise au dépourvu. Même si toute l’entreprise a perdu son accès au système et qu’aucun employé ne peut travailler, c’est souvent seulement une équipe qui pourra régler le problème.
Pendant ce temps, l’idéal serait que le reste de l’équipe puisse continuer leur travail sans trop se soucier de ce qui se passe en arrière-plan. Pour ce faire, c’est important d’avoir une procédure de continuité des opérations. Celle-ci devrait être un guide sommaire pour que le reste de l’équipe qui n’est pas en gestion de crise puisse poursuivre et éviter bien des problèmes.
Voici quelques idées de ce que cette procédure devrait contenir :
Qu’on ait perdu l’intégralité de nos systèmes ou seulement un poste, c’est important d’avoir un plan pour reconstruire. Il faut savoir exactement par où passer pour rétablir nos opérations à 100%.
De la même façon qu’une entreprise devrait toujours avoir des gens qui ont une formation de secouriste pour aider en cas d’accident, on devrait toujours avoir des gens formés à réagir en cas de cyberincident. Aussi, c’est super important de sensibiliser nos employés. Le terme “hygiène digitale” est relativement nouveau, mais devrait être connu de tous pour éviter bien des bobos.
Aussi, même si on est plus en mode réaction pendant l’attaque, c’est important de ne pas oublier de tout documenter ! Comme ça, si le problème survient à nouveau, on réduit considérablement le “down time”. Ça aide aussi au remplacement de l’équipe d’intervention. Si quelqu’un de l’équipe originale n’est pas disponible la prochaine fois, les autres pourront lire la documentation pour régler le problème rapidement.
