Africa-Press – Niger. Le spécialiste en cybersécurité Menny Barzilay, fondateur de Cytactic, explique comment réagir en cas d’attaque informatique.
Imaginez. Vous arrivez un matin au bureau et vos serveurs sont HS. Vous avez été cyberattaqué, vous vous sentez démuni. Un cauchemar, dont les occurrences se multiplient depuis le Covid et la guerre en Ukraine.
Mandiant, une filiale de Google, a accusé la semaine dernière un groupe de cyberattaquants, visiblement lié à l’État chinois, d’une vaste campagne d’espionnage informatique, visant notamment des agences gouvernementales de plusieurs pays représentant un intérêt stratégique pour Pékin. « Il s’agit de la plus large campagne de cyberespionnage connue menée par un acteur malveillant lié à la Chine depuis l’exploitation massive de Microsoft Exchange début 2021 », a ainsi affirmé Charles Carmakal, le directeur technique de ce spécialiste en cybersécurité.
Mardi, une simulation de « cybercrise » a été organisée aux universités du CRiP, afin d’apprendre aux participants à réagir en cas de cyberattaque. Le Point a interviewé Menny Barzilay, l’animateur de cette formation et le fondateur de Cytactic, une entreprise israélienne spécialisée dans la gestion de cybercrises.
Le risque de cyberattaque est-il très élevé ?
Menny Barzilay : Il faut partir du principe que votre entreprise sera cyberattaquée dans les cinq ans à venir et qu’il faut s’y préparer, car la numérisation entraîne une multitude de nouvelles failles. En cybersécurité, confiance veut dire menace, et les milliards de nouveaux appareils qui seront connectés à Internet dans les années qui viennent représentent autant d’opportunités pour les hackers, dont le travail devient de plus en plus facile.
Le monde criminel est très innovant, il crée sans cesse de nouveaux outils, de nouveaux marchés où vendre les données volées. Il forme même des sortes de start-up, qui vendent le crime comme un service. Face à cette menace, aucune entreprise ne sera jamais 100 % protégée. Il faut donc anticiper, car lorsque cela arrivera, il sera trop tard pour improviser.
Comment se préparer à une cyberattaque ?
La première erreur à éviter est de considérer la cybercrise comme un simple problème informatique : il s’agit aussi, et avant tout, d’un défi commercial. Il faut donc que le PDG, le conseil d’administration, les juristes et les communicants de l’entreprise soient formés et sachent réagir au mieux en cas de crise. La simulation en temps réel d’une cyberattaque que je propose peut en ce sens être utile : elle permet d’évaluer les erreurs à éviter et de commencer à préparer son processus de réaction en cas d’attaque. Une entreprise spécialisée peut également aider à établir les processus de gestion de crises et à les mettre en place lorsque celle-ci se produit.
Quel que soit le type de crise que vous affrontez, il faut vous entourer des bonnes personnes, disposer de bons moyens de communication, et savoir évaluer la situation. Il faut aussi s’assurer que tout le monde agisse de façon synchronisée, et que l’ensemble des messages émis par votre organisation sont cohérents.
Ensuite, il faut avoir un plan adapté à tous les scénarios possibles. On n’agit en effet pas de la même manière face à un rançongiciel que face à une menace interne, venue d’un employé, ou après une attaque chez un fournisseur, qui affecte la chaîne d’approvisionnement. Mais tous les scénarios doivent inclure l’ensemble de l’équipe.
Comment réagir lorsque la cyberattaque se produit ?
Si une cyberattaque survient, la première chose à faire est de se poser une seconde, et de se référer au processus de gestion de crise qui doit impérativement avoir été mis en place en amont. La majorité des erreurs sont commises dans la première heure de la crise, lorsque les gens sont sous pression.
Il faut ensuite réunir toute l’équipe : les spécialistes informatiques, bien sûr, mais aussi le conseiller juridique, le spécialiste des relations publiques, le directeur financier, le responsable des relations avec les investisseurs… Tous doivent concourir à la prise de décision, afin de s’assurer que celle-ci soit bonne à tous les niveaux.
Une cybercrise est par définition un problème multidisciplinaire, et une décision qui peut paraître très bonne en termes techniques peut se révéler désastreuse sur un autre plan, une option parfaite en termes juridiques peut ensuite poser de gros problèmes lors de la négociation… Il faut donc gérer tous les aspects en même temps.
Faut-il toujours refuser de payer la rançon ?
La plupart des gens pensent que l’attaque la plus courante est le rançongiciel, car ce sont celles qui font le plus de bruit : le réseau est en panne, le pirate réclame une rançon, il faut négocier et tout le monde est au courant. Mais dans la vraie vie, de nombreuses attaques ont lieu sans que personne ou presque n’en entende jamais parler, à part la direction et les autorités. Il ne faut donc pas limiter les cyberattaques aux rançongiciels, ils ne sont qu’une menace parmi d’autres.
Mais pour répondre à votre question, en termes éthiques, il est recommandé de ne pas payer la rançon afin de ne pas encourager et renforcer les groupes criminels. Dans les faits, il est souvent plus avisé de la payer, car cela limite la durée de la crise et donc les conséquences qu’elle peut avoir sur l’entreprise.
Avez-vous des exemples de situations gérées par votre entreprise ?
Je ne peux répondre à cette question que de façon extrêmement générale, car nous ne parlons pas de nos clients, et encore moins des choses qu’ils ont vécues. Un employé, par exemple, a vendu le code source de son entreprise à un concurrent, tandis qu’un autre s’était servi de l’entreprise pour acheter des bitcoins afin d’assouvir ses pulsions pédophiles… Je ne peux pas en dire plus, mais il y a en tout cas énormément de situations différentes, et nous en avons géré des complètement dingues, dignes de ce que l’on voit dans les films.
Pour plus d’informations et d’analyses sur la Niger, suivez Africa-Press
