Entreprise, Freelance

Le défi de survivre à une cyber-attaque

Written by Christian De Boeck

10 minutes of reading

Pour survivre à une cyber-attaque, rien ne peut être laissé à l’improvisation. La réponse doit être soigneusement préparée, à l’avance pour être prêt le jour où le pire se produira. Comme l’a dit Benjamin Franklin : « Ne pas planifier, c’est planifier son échec ».

Dans la perspective de la cybersécurité, les activités d’un redémarrage IT sont clairement incluses dans le framework de cybersécurité NIST.

4 phases cybersécurité

Alors que les 4 premières sections concernent la détection et la protection, le 5ème élément, bien que souvent laissé de côté par les spécialistes de la sécurité, vise précisément à permettre la reprise des activités commerciales grâce à un redémarrage selon une procédure planifiée (par restauration ou reconstruction) des capacités informatiques. Et c’est justement de cela qu’il est question dans cet article !

Disaster Recovery Planning

Les métiers associés au redémarrage des services informatiques après des (cyber-)catastrophes sont le Disaster Recovery Planning (DRP, ou Plan de reprise d’activité – PRA – en bon français), ou plus largement la gestion de la continuité des services informatiques (IT-SCM : IT-Service Continuity Management ), comme décrit également dans ITIL. L’élaboration de stratégies de continuité et de DRP efficaces répond également à plusieurs exigences de la norme ISO-27001 (Systèmes de management de la sécurité de l’information).

Une cyber-attaque « réussie » visant vos systèmes informatiques est, dans la plupart des cas, une véritable catastrophe « logique » (à comparer, par exemple, à une inondation, un incendie ou un avion s’écrasant sur votre centre de données) et peut être si perturbante que les processus de gestion d’incident « standard » ne peuvent pas la gérer correctement. En outre, les solutions de haute disponibilité typiques (même lorsqu’elles sont étendues à plusieurs bâtiments, campus ou régions) ne peuvent pas aider, dans la plupart des cas, à récupérer d’une corruption logique des données (résultant par exemple d’une cyber-attaques).

Des dispositions spéciales sont donc nécessaires pour aider les organisations à faire face à de telles catastrophes. La performance et l’efficacité des solutions de reprise après sinistre sont principalement évaluées et mesurées à l’aide de deux indicateurs clés. Ces indicateurs sont également utilisés lors de la définition des stratégies visant à mettre en place des dispositifs efficaces de reprise après sinistre (et plus tard, pour confirmer leur efficacité, mesurée lors d’exercices de simulation).

Recovery Time Objective

Le premier KPI est le Recovery Time Objective (RTO). Il s’agit du temps nécessaire pour reprendre une activité commerciale normale (point 5 sur le schéma ci-dessous) après un incident majeur (point 0).

reprendre activité après cyber-attaque

Ceci démontre clairement que le temps alloué au redémarrage de l’activité informatique (c’est-à-dire le temps d’exécution de l’IT-DRP) ne représente qu’une fraction de la période totale de l’interruption (telle que perçue par les utilisateurs finaux).

S’efforcer d’optimiser chaque étape permettra :

  • 1) de minimiser le temps d’indisponibilité total ou, éventuellement
  • 2) de donner plus de temps aux équipes informatiques pour exécuter les procédures de récupération.

Cette optimisation peut être obtenue qu’en mettant en œuvre des outils, des processus et une documentation appropriés, mais il est tout aussi important que les équipes concernées soient formées et familiarisées avec l’ensemble du scénario de reprise. C’est également la raison pour laquelle des exercices réguliers sont si importants pour le succès des plans DRP en cas de vraie catastrophe.

Recovery Point Objective

Le deuxième KPI est le Recovery Point Objective (RPO). Il s’agit de la quantité de données perdues, depuis le moment du sinistre jusqu’à la dernière copie valide des données disponibles.

données perdues cyber-attaque

Il est évident qu’on préfèrerait ne perdre aucune donnée, ce qui est aujourd’hui possible grâce aux techniques de réplication synchrone. Malheureusement, les virus, les ransomwares, … sont instantanément répliqués avec vos précieuses données, rendant ces copies inutiles contre des cyber-menaces qui corrompraient les données.

Solutions et mises en garde

Les réponses à la mode contre le type de menaces qui nous intéressent ici se basent sur des solutions de stockage et de sauvegarde inaltérables qui sont censées permettre la restauration (du système et) des données jusqu’à un point cohérent prédéterminé dans le temps.

Bien que ces solutions soient théoriquement appropriées, on peut s’interroger sur leur efficacité réelle lorsqu’une grande partie du paysage informatique est affectée par un virus, un ransomware ou équivalent. En fait, il existe de multiples pré-requis qui doivent être fonctionnels avant de pouvoir entreprendre une restauration efficace des données.

Quelques exemples (non exhaustifs) :

  • Système d’accès aux bâtiments / salles informatiques (ou système d’accès à distance comprenant par exemple internet, VPN, …),
  • Disponibilité d’une infrastructure physique sécurisée et libre de la menace (virus, ransomware, …) qui puisse être utilisée pour héberger les données restaurées,
  • Possibilité d’accès et d’utilisation du serveur et de l’outil de sauvegarde inaltérable (espérons qu’il n’ait pas été affecté par la menace, ou ? …), à moins de se connecter directement / physiquement au serveur de sauvegarde avec un compte local.
  • Capacité de la solution de sauvegarde de se connecter aux serveurs à restaurer (nécessitant différents services de type Active Directory, DNS / serveurs de noms de domaine et/ou équivalent, …).

Conclusion

Votre mission, si vous l’acceptez, sera de faire en sorte que tout cela soit exécuté dans les délais impartis (et dans la limite des pertes de données autorisées). Bonne chance !

À moins que votre organisation ne dispose déjà d’un DRP robuste et testé régulièrement, avec des rapports de test prouvant que les délais et les résultats de récupération / reconstruction sont conformes aux attentes, votre première action après avoir lu ceci devrait être de rapporter un risque majeur auprès de votre CISO / responsable de la sécurité et du gestionnaire des risques de l’entreprise.

 


 

Christian De Boeck est un professionnel qui offre depuis plus de 20 ans à ses clients une approche holistique pour améliorer la continuité et la résilience des entreprises. Christian est membre du Business Continuity Institute et a obtenu un doctorat en sciences à l’Université de Bruxelles (ULB); il est également lead auditeur certifié pour la norme ISO-22301 (Systèmes de management de la continuité d’activité). Synergit, la société de Christian, est le fruit de son parcours professionnel en tant que chercheur, consultant et coach.

Similar posts