Tous concernés face aux attaques de cybersécurité

L’équipe de Strat&SI ne fait pas de magie. Face aux attaques de cybersécurité, même les entreprises bien préparées ne sont pas à l’abri de l’inventivité des hackers. A l’image de la Covid qui mute et s’adapte à son environnement, les différents virus informatiques sont eux aussi de plus en plus élaborés, puissants et résistants. Il est nécessaire de mettre en place des gestes barrières (ça vous rappelle quelque chose ?) et de sensibiliser les entreprises.

Mieux se préparer pour mieux réagir

En juillet dernier, un de nos clients a subi une attaque par Ransomware. Il s’agit d’un logiciel malveillant qui attaque le système informatique, déchiffre les données et les restitue en échange d’une rançon. Le virus est entré dans le système et a commencé à crypter les données sensibles de l’entreprise. Il a fallu être très réactif pour arrêter sa propagation. Le virus était probablement déjà introduit dans le système depuis quelque temps et il a été activé à la suite d’un événement survenu sur le système d’information. Nous avons donc arrêté la production et tous les serveurs.

L’importance de la sauvegarde de vos données

Grâce à une sauvegarde régulière que nous testons et supervisons, nous avons pu rapidement restaurer les serveurs arrêtés et relancer la production. Sauvegarder ses données est une étape essentielle pour garder une trace de vos informations sensibles et assurer la pérennité de l’entreprise. Elle doit aussi répondre aux besoins et enjeux des organisations. Les dirigeants doivent vraiment se poser la question du temps maximum admissible de coupure et aussi de perte de données. Savez-vous combien valent vos données et l’indisponibilité de celles-ci ?

Sans ces sauvegardes, l’activité de notre client n’aurait pas pu redémarrer rapidement, voir jamais.

Détecter la machine infectée

Pour redémarrer les systèmes dans les meilleures conditions, il est nécessaire de sécuriser les installations et d’effectuer des tests pour trouver la machine infectée et restaurer facilement. Une fois que nous commençons à restaurer, nous re-testons afin de vérifier que le virus n’est pas de nouveau en action.

Le redémarrage de l’activité

Le virus a été détecté à midi et l’activité a repris à 14h le lendemain. Le temps de redémarrage correspond en grande partie au temps d’attente pour la restauration des données grâces aux sauvegardes effectives.

L’infrastructure de 4 ou 5 téraoctets possédait des sauvegardes en interne, mais aussi, des sauvegardes en externe. Nous rappelons la règle 3.2.1 pour avoir une sauvegarde de votre SI efficace : 3 copies différentes, sur 2 supports différents et 1 lieu externe.

Beaucoup d’applications étaient en mode SaaS (donc ne dépendant pas de l’infrastructure interne) dont leur CRM ou leur appareil de téléphonie. Nous avons pu redémarrer quasi la totalité des applications rapidement. Une seule application, qui avait été développée indépendamment en interne, qui avait pris de l’ampleur dans l’entreprise et qui n’était pas sauvegardée de manière correcte et régulière. Nous avons donc été contraints par la suite d’adapter notre plan de sauvegarde.

Un nouveau plan d’action

Nous avons agi sur ce qui était urgent : la restauration, la sécurisation et la remise en route.

Une fois que le fonctionnement de l’entreprise est revenu à la normale, nous avons mis en place un plan d’action de manière à stabiliser les process en cas de nouvelle attaque.

Ce qui a permis ce redémarrage rapide était le fait que nous étions vraiment préparés. Pour avancer, nous avons dû refondre complètement les serveurs pour les remettre au propre. Nous avons également renforcé notre politique de mots de passe.

Sensibiliser et piloter

Aujourd’hui, on parle de cyber résilience. Car malgré la sensibilisation des utilisateurs et la maturité de nos clients vis-à-vis des questions de cyber sécurité, les attaques sont inévitables et sont de plus en plus nombreuses. En étant bien préparé, l’objectif n’est pas de contrer ou de contourner les attaques mais bien de redémarrer plus rapidement et de manière plus sécurisée. Les organisations doivent avoir cette capacité à redémarrer au plus vite.

Les cyber attaques peuvent arriver n’importe quand et à n’importe qui. Ce n’est pas une question de taille ou de secteur d’activité.

La question est : quand ça va m’arriver, serais-je prêt à redémarrer ?