Le média des entreprises qui construisent la société de demain

Surmonter la première cyberattaque, un défi de taille pour les entreprises

La première cyberattaque, obstacle insurmontable ?
© RyanJLane via iStock

Une première cyberattaque bien gérée dope la résilience de l'entreprise. Mais ce stress test se révèle fatal pour nombre de petites structures.

La première fois ne laisse pas toujours un bon souvenir. Rares sont les RSSI à évoquer avec nostalgie la première cyberattaque à laquelle ils ont été confrontés. Et pour cause : un rapport du Sénat, publié en 2021, rappelait que 60% des petites entreprises américaines victimes d’une cyberattaque déposaient le bilan dans les 6 mois qui suivaient… En France, le dernier baromètre annuel du Cesin, paru en début d’année, évoque plus pudiquement le fait que « dans 60% des cas, les attaques affectent fortement le business des entreprises, avec pour effet de perturber significativement la production pour 24% des sondés ».

La première confrontation de l’entreprise avec des pirates est donc déterminante pour sa survie. Et ce n’est pas toujours celle que l’on croit. « Il s’agit de la première cyberattaque que les responsables cybersécurité voient. Mais pas forcément de la première attaque, qui peut être suffisamment discrète pour ne pas avoir été détectée », souligne Laurent Besset, directeur du pôle Cyberdéfense d’I-Tracing.

Dépasser la « sidération » initiale

La différence ? Être pour la première fois confronté à une menace tangible provoque « un état de sidération tel que ça met en jeu la compréhension de l’incident », souligne Guillaume Tissier, directeur du forum InCyber. Lors de cette attaque, l’entreprise manque de recul autant que de maîtrise. Ce qui la conduit à « décider dans le flou ».

Même les entreprises qui ont réalisé des exercices de gestion de crise peuvent être surprises. Ainsi Laurent Besset observe que « ce n’est pas si facile que ça de se préparer à une situation par essence très chaotique, de stress et de pression intenses ». « Ce n’est pas la même chose de jouer à la guerre et de la mener avec de vrais enjeux. »

Garder le cap

Une fois surmontée la première onde de choc, la priorité va naturellement se porter sur la remise en service des machines paralysées. Or ce réflexe éloigne les responsables cybersécurité et les dirigeants d’un objectif crucial : trouver la faille. « L’entreprise sait ce que l’attaquant a fait. Mais par où est-il entré ? Seule l’analyse de l’incident le dira », dissèque Laurent Besset. Bien que cet objectif semble « instinctif » à suivre, « beaucoup de clients n’y pensent pas toujours », trop préoccupés à remettre en route leur activité.

Mobiliser toutes les strates de l’entreprise

Gérer au mieux cette première cyberattaque demande une certaine organisation pour éviter le chaos. Et une bonne gouvernance de cette crise inédite. Rien d’intuitif dans de nombreuses entreprises où la centralisation des décisions prévaut. « C’est difficile pour un grand patron qui a l’habitude de tout maîtriser de se rendre compte qu’il ne maîtrise et parfois ne comprend pas la situation« , remarque Guillaume Tissier. À ses collaborateurs de « lui faire comprendre qu’il n’a pas la main » et qu’il ne pourra faire face seul.

Exit le héros, place à un « jeu collectif » qui « doit se mettre en place assez rapidement ». Et où chacun doit trouver sa place. Guillaume Tissier met ainsi en garde les directions qui se piqueraient de « micro-manager » leurs équipes techniques. « Un ComEx qui met la pression au RSSI crée une forme de perturbation au niveau opérationnel. »

Pour se sortir de cette ornière, une attention toute particulière doit être portée à la communication interne. « Expliquer la situation aux collaborateurs peut être un bon moyen de (re)mobiliser les équipes. D’autant que restaurer des sauvegardes ou nettoyer toutes les machines afin de redémarrer l’activité va exiger beaucoup de bras disponibles. »

Travailler sa résilience

La gestion de crise se prolonge en général au-delà de la résolution technique de l’incident. Et il faut alors avoir en tête que celui-ci peut se reproduire. « Une des erreurs les plus préjudiciables pour l’entreprise consiste à créer des faiblesses qui ne devraient pas exister« , alerte Laurent Besset. En pensant mettre en place une solution, elles font ainsi « sauter un mécanisme de résilience ». L’exemple le plus courant ? « Mettre en place des sauvegardes… accessibles via l’active directory susceptible de chiffrer les serveurs de l’entreprise. »

Cette première cyberattaque doit donc servir « d’électrochoc » pour revoir toutes les bases de cybersécurité de l’entreprise. Et débloquer des budgets pour déployer des outils ou recruter de nouvelles ressources. Autant d’améliorations qui permettent à l’entreprise de doper sa résilience. Et sa résistance à de nouvelles attaques. « À impact équivalent, la 2e cyberattaque se passe mieux que la 1ère parce que l’entreprise peut réutiliser les connaissances acquises lors de la 1ère », constate Laurent Besset. Mais encore faut-il que les entreprises passent ce stress test grandeur nature.

Rejoignez la discussion !

Votre adresse e-mail ne sera pas publiée.

S’abonner
Notification pour
0 Commentaires
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires