Elles sont de plus en plus fréquentes et pour ainsi dire inévitables. Les attaques de rançongiciels font partie du paysage, et l’adoption récente de la Loi 64 somme maintenant les entreprises de documenter ces incidents. Il est également impératif de s’y préparer et de mettre en place un plan précis pour y réagir. Voici quelques conseils.
« Les acteurs malveillants derrière les rançongiciels représentent des menaces très sérieuses, explique Roger Ouellet, directeur de la pratique sécurité chez NOVIPRO. Quand ils ont trouvé une brèche dans votre système et ont pu y entrer, ils deviennent tellement documentés à votre sujet qu’ils pourraient souvent expliquer mieux que vous ne le feriez comment votre réseau fonctionne. »
Le premier conseil de ce spécialiste en sécurité est de « cesser de jouer à l’autruche! » En 2022, la question n’est plus de savoir si vous serez attaqué, mais bien quand vous le serez. Les entreprises doivent donc être prêtes à cette éventualité.
Roger Ouellet suggère d’adopter la méthodologie suivie par les entreprises en Amérique du Nord, soit celui du National Institute of Standards and Technology. La méthodologie suit cinq étapes : de la préparation au bilan post-événement, en passant par la détection et l’analyse, le confinement et l’éradication-récupération.
Votre plan de gestion d’incidents devra aussi tenir compte des dispositions légales, y compris le projet de loi no 64 adopté il y a peu, concernant la consignation des incidents dans un registre d’incidents et leur déclaration à la Commission d’accès à l’information du Québec à compter de septembre 2022.
1. Bien se préparer
La prévention est le nerf de la guerre. L’étape de préparation implique, certes, de définir une méthodologie ainsi que des rôles, des responsabilités et des obligations légales pour réagir aux attaques. Mais elle demande aussi de prévoir des mesures dans le quotidien de l’entreprise, entre autres un cadre d’utilisation mesuré des équipements du bureau.
« Il faut par exemple avoir défini une utilisation raisonnable du portable par chaque employé, un cadre d’utilisation des données de l’entreprise, un cadre de communication des données sur les réseaux sociaux ou même dans les messages privés, un cadre pour l’utilisation des clés USB », détaille Roger Ouellet. Pensez aussi à documenter votre architecture logicielle : ce sera essentiel pour rebâtir le tout après une attaque.
C’est aussi à cette étape qu’on s’assure de répondre aux obligations légales de divulgation des dommages et de fournir à l’assureur toutes les informations dont il a besoin pour le dossier.
2. Détecter et analyser
Votre système été attaqué? La première chose à faire est peut-être la partie la plus difficile : détecter et reconnaître les incidents, penser à vérifier chaque vecteur d’attaque. « L’attaque vient-elle de la plateforme de messagerie? du site Web de l’entreprise? Il faut s’assurer d’avoir les outils pour détecter et analyser. »
3. Contenir les dommages
« C’est l’étape où l’on élabore une stratégie pour remédier aux problèmes causés par l’attaque, explique Roger Ouellet. On détermine quels ont été les dommages, quelle est leur ampleur. On essaie d’isoler la partie qui a été attaquée (par exemple en débranchant le réseau) pour empêcher que ça se répande. »
4. Éradiquer et récupérer
Après l’attaque, plusieurs semaines seront nécessaires pour récupérer un environnement de production au moins minimalement efficace. « Il faut nettoyer chaque serveur, puis réinstaurer un environnement sécuritaire. Il est possible que des parties de cet environnement soient impossibles à restaurer, que des éléments soient introuvables. Il faut parfois rebâtir à neuf », avertit Roger Ouellet.
5. Dresser le bilan postévénement
Pour réaliser cette étape, il faudra avoir bien documenté les étapes de confinement et d’éradication. N’oubliez pas que l’assureur demandera aussi ces informations et documents afin d’analyser les demandes de remboursement et d’indemnisation.
« On analyse cette documentation et on tente de tirer des conclusions, professe Roger Ouellet. Est-ce qu’on avait une faille précise dans notre système à laquelle il faut être sensible? Est-ce qu’on a eu du mal à détecter un vecteur d’attaque précis? Il faut aussi à cette étape établir les logiciels et les outils qui nous ont manqués pour répondre à l’attaque. » Cela permet d’améliorer sa posture de sécurité pour être prêt et minimiser les impacts.