Disposer d’un processus de gestion de crise cyber est devenu un élément indispensable pour la résilience de toutes les organisations, publiques comme privées. Il s’agit de leur capacité à assurer leur fonctionner lors d’un incident informatique, et à revenir à l’état normal par la suite. Toute structure est aujourd’hui confrontée à un risque plus ou moins important de cyberattaque.
Pour rappel, l’ANSSI définit la cyberattaque comme une attaque consistant à « porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants »1.
Afin de garantir la continuité de ses services et préserver son image, il est indispensable de disposer des bons réflexes afin de limiter les impacts de la cyberattaque, de rétablir les services critiques dans un délai rapide, d’informer et rassurer l’ensemble des parties prenantes de la structure.
Le présent article a pour objectif de présenter ces bons réflexes à avoir en cas de cyberattaque, en décrivant les étapes clés de la gestion de crise.
1. Réunir une cellule de crise
Dès la détection d’une cyberattaque, la réunion d’une cellule de crise, conformément au dispositif mis en place dans la structure, est l’une des premières étapes cruciales à effectuer. Cette cellule a pour objectif d’assurer et d’organiser la gestion des impacts de la cyberattaque. Elle permet de piloter les actions des différents corps de métiers concernés (ressources humaines, juridique, finance, technique, marketing, etc.), tout en assurant une articulation efficace entre le pilotage de la crise – garanti par le métier – et la réponse à l’incident – prise en charge par les équipes techniques. La cellule de crise devra rédiger un plan de réaction et de défense, en fonction des impératifs techniques et métiers.
A l’issue de la première réunion de la cellule de crise, un contact permanent sera désigné au sein des équipes opérationnelles, décisionnelles et métiers.
2. Réaliser des investigations
Dans le cadre d’une crise cyber, il est indispensable d’identifier le périmètre de compromission, c’est-à-dire l’ensemble des actions de l’attaquant pour s’introduire et se propager dans le système d’information de l’organisation. Ces investigations, réalisées par les équipes techniques (cyber et IT), doivent permettre de déceler les failles de sécurité exploitées, en fonction des actions désignées comme étant prioritaires par les instances stratégiques au sein de la cellule de crise. Dans un souci d’efficacité et de rapidité, les investigations sont réalisées à partir de la cartographie du système d’information et de ses périphériques, préalablement réalisée par l’organisation, qui rend compte notamment de l’ensemble des applications, des services critiques et des interconnexions entre ceux-ci.
Les équipes techniques doivent faire preuve de vigilance en cas d’externalisation de tout ou partie des services numériques de l’entreprise. Dans ce cas, il est nécessaire de prendre rapidement attache avec les contacts des prestataires, afin d’analyser la source de la compromission.
Les investigations nécessitent, en outre, d’utiliser des outils numériques déconnectés, sans lien avec le périmètre de compromission.
3. Notifications et communications
Selon les obligations légales et règlementaires auxquelles l’organisation est soumise, il est nécessaire de notifier les autorités compétentes (ANSSI, CNIL, autorités judiciaires), lesquelles pourront dans certains cas, proposer un soutien technique et juridique à la structure victime de la cyberattaque.
En fonction du statut et de la taille de l’organisation – Entité Essentielle (EE) ou Entité Importante (EI) (anciennement les opérateurs de services essentiels en vertu de la directive NIS 1) – la directive NIS 22 impose des obligations particulières liées à la gestion d’une cyberattaque.
Les entités – publiques ou privées – essentielles et importantes doivent soumettre une alerte précoce, sans retard injustifié, à son CSIRT (centre de réponse aux incidents de sécurité informatique), ou selon le cas, à son autorité compétente, de tout incident ayant un impact important sur leur fourniture de services3. Les informations transmises devront ensuite être mises à jour dans un délai de 72 heures. Un rapport final présentant les détails de l’incident et les mesures d’atténuation appliquées et en cours devra également être adressé au CSIRT un mois après la notification.
Dans le cadre d’une cyberattaque d’ampleur internationale, il faudra procéder à une notification de l’incident aux autorités locales en fonction du droit applicable, ce qui nécessite un effort de coordination important, généralement instigué par les équipes juridiques et/ou les conseils de la structure.
4. Dépôt d’une plainte pénale
En étroite concertation avec le département juridique ou les conseils de l’organisation, il est important d’envisager le dépôt d’une plainte, lequel doit être réalisé dans un commissariat, une gendarmerie ou directement auprès du procureur de la République compétent (cette dernière option étant recommandé, afin d’assurer la rapidité de la procédure d’instruction de la plainte pénale).
Le dépôt d’une plainte – dans les 72 heures suivant la constatation de l’incident – est également une obligation légale pour faire valoir les garanties d’assurance et obtenir une prise en charge assurantielle, imposée par le Code des assurances4, en cas d’infraction à un Système de Traitement Automatisé de Données (ou « STAD »)5. La notion de STAD n’est pas définie par les textes juridiques, de telle sorte que son périmètre est intentionnellement très large et qu’il sera possible de mobiliser aisément un ou plusieurs chefs d’incrimination au titre du code pénal en cas de cyberattaque. En pratique, un STAD peut recouvrir s’agit l’ensemble des moyens physiques et logiciels employés pour le traitement des données ainsi que les réseaux assurant la communication entre les différents éléments d’un système d’information.
Parmi ces infractions, le fait d’accéder ou de se maintenir, frauduleusement, c’est-à-dire sans autorisation ni droit, dans tout partie d’un STAD est puni de trois ans d’emprisonnement et de 100 000 euros d’amende. Cette peine est aggravée lorsqu’il y a suppression ou modification des données ou bien altération du fonctionnement de ce système.
Par ailleurs, il est possible de faire un signalement de tout contenu illicite sur Internet via la plateforme Pharos (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements). De la même manière, le site cybermalveillance.gouv.fr propose un service d’assistance en ligne pour les victimes d’un acte de cyber malveillance.
5. Contacter le numéro vert de son assurance cyber
Afin de solliciter une prise en charge assurantielle des conséquences de la cyberattaque (lorsque l’organisme impacté dispose d’une telle assurance), il est nécessaire de rapidement prendre attache avec son assurance cyber. Les assurances cyber disposent en principe d’un numéro vert permettant de contacter un expert dans les meilleurs délais.
A ce titre, il est recommandé de recourir à un cabinet d’assurance situé dans l’Union européenne. De fait, la plupart des assureurs américains insère dans leur police d’assurance cyber des dispositions relatives au CLOUD Act, loi fédérale américaine adoptée en 20186. En vertu de ces dispositions, les agences américaines peuvent alors demander l’accès aux données, hébergées dans le cloud, d’individus et d’entreprises situées en dehors des Etats-Unis, lors des investigations.
Enfin, lorsque la structure est victime d’un rançongiciel (« ransomware » en anglais), il est absolument déconseillé de payer la demande de rançon aux cyberattaquants. D’une part, le paiement de la rançon ne garantit pas que le cyberattaquant communique les clés de déchiffrement des données et que la structure puisse ainsi récupérer ses données. D’autre part, le paiement par la victime de la rançon constitue souvent une clause d’exclusion de la prise en charge assurantielle, et ne sera ainsi pas remboursée.
6. Remédiation et sortie de crise
Afin de recréer un cœur de confiance au sein de l’organisation, il convient de mettre en place des actions de remédiation et d’engager une stratégie de reconstruction. Il faut s’assurer au préalable que le système attaqué a été corrigé de ses vulnérabilités et qu’aucune menace ne subsiste.
Les actions de remédiation sont déterminées en fonction des retours des investigations préalablement effectuées et répertoriées par la cellule de crise. Le plan de continuité d’activité (PCA) permet de détailler la stratégie et l’ensemble des mesures prévues pour garantir à l’organisation la reprise et la continuité de ses activités à la suite de l’incident cyber. Il doit permettre à l’organisation de répondre à ses obligations essentielles externes (législatives, règlementaires ou contractuelles) ou internes (organisation des services). En complément, le plan de reprise d’activité (PRA) assure la reconstruction de l’infrastructure numérique et la remise en état de fonctionnement des applications stratégiques de l’organisation.
7. Collecte de preuves
Les preuves de la compromission (des serveurs et des données) doivent être conservées en cas d’action en justice, ainsi que pour la prise en charge par l’assureur en cas d’activation de la police d’assurance dédiée.
S’il est un bon réflexe de déconnecter du réseau tous les ordinateurs infectés ainsi que les disques durs externes compromis afin de stopper la propagation, il ne faut surtout pas éteindre les terminaux. De fait, cela engendre un risque de suppression des preuves de la cyberattaque.
Les preuves récoltées peuvent être diverses (capture d’écrans, copie des disques durs des appareils infectés). En cas de procédure judiciaire, un huissier spécialisé est sollicité pour établir le constat, ce qui renforce la valeur probante de la preuve collectée.
8. Inscription au registre des violations de données
Si la cyberattaque a pour conséquence une violation de données personnelles entraînant un risque pour les droits et libertés des personnes concernées, le responsable de traitement de l’organisation victime de la cyberattaque doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h7. En cas de risque élevé pour ces mêmes droits et libertés, le responsable de traitement doit également informer les personnes concernées de la nature et des conséquences probables de cette violation, des mesures de remédiation entreprises et les coordonnées de la personne à contacter (en général, le délégué à la protection des données ou « DPO »).
Le responsable de traitement doit ainsi détailler précisément les faits concernant la violation de données, ses effets (nombre de personnes concernées per exemple) et les mesures prises pour y remédier. Dans tous les cas (y compris en l’absence de notification auprès de la CNIL et des personnes concernées), ces informations devront être répertoriées au sein du registre des violations de données tenu par l’organisation.
9. Mettre en place et maintenir une veille CTI (Cyber Threat Intelligence)
La Cyber Threat Intelligence (CTI) est un domaine critique de la cybersécurité qui renvoie à l’ensemble des activités de collecte, d’analyse et de transmission d’informations sur les menaces actuelles et potentielles en matière cyber, afin de mieux comprendre les comportements et les méthodes des cyberattaquants. La CTI suppose en principe un volet tactique (examen des techniques des cyberattaquants) et un volet stratégique (organisation des menaces cyber sur le plus long terme).
La CTI peut recourir à un outil d’intelligence artificielle afin de renforcer en amont la détection des cyberattaques.
Une veille CTI permet à la fois de détecter et de répondre à des attaques cyber.
10. Interdiction des cyber-ripostes
Aucune cyber-riposte (ou « hack-back » en anglais) n’est autorisée pour les acteurs privés. Cette interdiction est particulièrement claire en droit international : seuls les acteurs étatiques peuvent répondre aux cyberattaques attribuables aux Etats.
Sur le plan pénal, en droit interne, une organisation victime d’une cyberattaque qui décide de cyber-riposter encourt le risque de voir son action tomber sous le coup de l’atteinte à un STAD. Seule possibilité : celle de la légitime défense. L’organisation impactée devra ainsi faire preuve de vigilance et de proportionnalité lors de la mise en place de ses mesures de remédiation et de confinement.
Au regard de la recrudescence des attaques cyber et des conséquences potentiellement dévastatrices pour les systèmes d’information, il est donc nécessaire que les organisations se saisissent de ces sujets, quelle que soit leur taille ou leur nature juridique, au besoin accompagnés d’un conseil juridique spécialisé.
- CyberDico, Agence nationale de la sécurité des systèmes d’information (ANSSI), 15 juillet 2024. ↩︎
- Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE) ↩︎
- Article 23 NIS 2. ↩︎
- Article L.12-10-1 du Code des assurances ↩︎
- Articles 323-1 à 323-8 du Code pénal ↩︎
- Clarifying Lawful Overseas Use of Data Act ↩︎
- Article 33 et 34 du RGPD ↩︎
A lire aussi sur le sujet :
- tous nos articles sur le RGPD
