Retour sur 3 crises de cybersécurité

Podcast avec Joël Olivier

‍

Joël Olivier, membre de la Communauté Infortive, partage avec nous ses expériences dans le domaine des crises cyber.

Écoutez cet épisode et les conseils et tips de Jpël afin de mettre à jour vos connaissances sur l’écosystème des attaquants, du hacker du dimanche au hacking d'état, et mieux comprendre le rôle clé d’un DSI de Transition au cœur des crises et urgences liées à la cybersécurité.

‍Bonne écoute !

‍

Quelles sont les bonnes pratiques d’un DSI de Transition confronté à une crise de sécurité ?

Avant la crise cyber : bien anticiper la crise

• ‍Pour pouvoir communiquer pendant la crise : créer un canal de communication alternatif via un réseau séparé de l'active directory et du système d'information (ex. boucle Signal, Wired, Telegram, Whatsapp…).
• ‍Externaliser des documents clés pour gérer la crise : externaliser une partie des documents de gestion de crise sur un cloud non connecté au système d'information, y compris l'annuaire des contacts.
• ‍Préparer son carnet d’adresse d’experts : repérer les bons experts en gestion de crise pour se constituer un carnet d'adresses.  Il est important d'avoir une équipe prête, composée d'une bonne dizaine d'experts avec qui on a déjà travaillé. ‍
• Faire des “Pen tests” régulièrement : lancer des tests de pénétration chaque année en variant les prestataires. La fourchette de coûts recommandée est de 20 à 250 K€.  L'expérience de Joël Olivier revient sur le fait qu’une relation de confiance préalable entre les principaux intervenants est fondamentale pour faire face à une crise.

Pendant la Crise

• ‍Le responsable prend le stress : “Une règle de base, le responsable prend le stress. Plus tu prends le stress, moins tes équipes le prennent, mieux elles vont travailler. C'est notre rôle de prendre la pression en tant que manager”. Les équipes sont en effet exposées à des tensions et à une fatigue hors norme. Inutile d’ajouter de la tension.‍
• Gérer la crise en binôme : “Dans la mesure du possible, intervenir de préférence à deux. Cela permet de prendre du recul, on a besoin d’échanger !”‍
• Payer les rançons parfois : sans en faire la promotion, il peut être nécessaire de payer une rançon dans certaines situations. Enfin, “Ne pas forcément chercher à tout nettoyer/réparer” : il peut être plus efficace de reconstruire plutôt que de tout nettoyer et réparer. Cette opération nécessite de passer au moins trois antivirus différents.

Après la Crise

• ‍Du repos : Il est important de gérer le repos d’après-crise. Les équipes peuvent être épuisées après une période de forte montée d'adrénaline. Il est donc conseillé de leur donner le temps de se reposer. Il est également important de préparer le retour à un état d'esprit normal "hors crise".‍
• Revenir à la vie normale : “En crise, tu changes d’état d'esprit, presque tout est permis il va falloir retrouver un fonctionnement normal, des réunions de suivis, des plannings, des comités…etc. Il s’avère que plus la crise a été intense plus le retour à l’état esprit n’est pas simple, c’est la chute d’adrénaline.” La transition peut être difficile après une crise intense.

Pour conclure, Joël Olivier reprend la célèbre citation attribuée à Winston Churchill : "Il ne faut jamais gaspiller une bonne crise". Il nous conseille de profiter de la courte onde de choc générée par la crise pour engager les lignes de crédit qui sont ouvertes pendant une durée limitée.