Cela arrive trop vite. Un lien dans un mail. Une pièce jointe ouverte par inadvertance. Un système informatique bloqué avec une demande de rançon. Les cyber-attaques ont plusieurs visages et paralysent des administrations, des hôpitaux, des collectivités. Comme la mairie de Dasles, qui a subi au mois de juin une attaque « dont elle se remet à peine ». Florian Bouquet, président du conseil départemental, témoigne, aussi, à ce sujet. « Au conseil départemental, il y a dix tentatives d’intrusion par minute. Et en trois ans, nous avons subi deux attaques majeures.» Ce qui a poussé à créer un audit, à renforcer les études de sécurité des pare-feux, à trouver des solutions de sauvegarde sécurisée, à entreprendre des chantiers de câblages ou encore de sécurisation des prises réseaux. Ce témoignage, il l’effectue lors d’une journée de sensibilisation et de simulation sur le thème de la cybersécurité à destination des élus et des entreprises du Territoire de Belfort, lundi 17 octobre. Une journée organisée par Cédric Perrin, sénateur du Territoire de Belfort, où la gendarmerie a organisé un jeu avec les élus et les chefs entreprises présents, pour leur montrer la bonne marche à suivre lors d’une attaque. Un jeu mené par le lieutenant-colonel Jean-François Laloyer, commandant de gendarmerie, spécialisé dans le cyber-espace.
1. Ne surtout, pas répondre
C’est sûrement l’un des conseils les plus anodins mais aussi le plus important. Ne jamais répondre aux demandes de rançon. « Car cela ne changera rien à votre problème, de toutes les manières, les serveurs resteront bloqués », explique le lieutenant-colonel Jean-François Laloyer, du commandement de la gendarmerie dans le cyberespace. Le premier réflexe à avoir : prévenir les autorités, dès le départ. « Ils pourront lancer une enquête de suite. Lancer des actions grâce à un maillage qui leur permet de réagir plus vite. Aujourd’hui, seule une attaque sur 350 est déclarée. C’est trop peu. » Si les unités qui prennent en charge le dossier ne sont pas compétentes, elles pourront « au moins orienter.»
Aussi, il faut prévenir son directeur des services, s’il y en a un. « Pour faire un premier point technique.» Et vite, reprécise le lieutenant-colonel. « C’est une gestion de crise. Il faut agir rapidement.»
2. Externaliser
Le second réflexe : faire appel à un prestataire spécialisé dans les cyber-attaques pour réagir. « Pour ce type d’attaques, il faut des gens habitués. Qui savent, surtout, ce qu’il ne faut pas faire.» Un prestataire qui mènera des investigations externes et qui sera en mesure d’analyser et cartographier le système. Aussi, d’analyser les potentielles fuites de données. Pour isoler, ensuite, les serveurs piratés.
Il aura le rôle de faire un état des lieux des sauvegardes, et en vérifiera l’intégralité. « Il faudra aussi penser à faire changer tous les mots de passe de la boîte, c’est absolument indispensable », insiste le lieutenant-colonel.
3. Prévenir les équipes, les clients, les partenaires
« Rien ne sert de mentir. Par contre, il faut préparer des éléments de langage pour informer au mieux de la situation », explique le lieutenant-colonel Laloyer. Donner des conseils aux salariés. Puis, informer les clients et les adhérents qui peuvent aussi être contaminés par cette cyber-attaque.
« Il faut être rassurant, mais il faut le dire. Ceux qui ne le disent finissent par le payer. Peut-être que l’image sera erronée mais ce sera pire si cela s’apprend autrement », tance-t-il. Il voit aussi d’un bon oeil le fait de s’adresser aux journalistes dans un cas comme celui-là, pour permettre au plus grand nombre d’être informé, vigilant et leur permettre de vérifier leur système.
4. Nettoyer les serveurs et prévenir la Cnil et l’Ansi
Les tâches finales sont encore fastidieuses : il faut nettoyer tous les serveurs, pour s’assurer d’avoir éliminé la porte d’entrée du cyber-attaquant. Déposer plainte, appeler les assurances, évaluer les conséquences financières…. Mais aussi prévenir la commission nationale de l’information et des libertés que des données ont pu être volées. Et l’agence nationale de la sécurité informatique, de préférence.
Tout ça, ces quatre grandes familles d’action, doivent être effectuées en « 72 heures », précise le lieutenant-colonel. En clair, il faut s’y préparer en amont, et anticiper pour être le plus efficace possible. Cela peut passer, déjà, par la mise en place d’une assurance adaptée, de la formation pour déployer une politique de prévention et de sécurité. L’expert recommande aussi le déploiement d’un SOC, un centre opérationnel de sécurité chargé de superviser les systèmes d’information au sein d’une entreprise pour les protéger des cyberattaques. « Vu le coût d’une attaque, il vaut mieux mettre de l’argent en amont, et miser sur un budget sécurité important. Cela coûtera toujours moins cher que les dégâts causés par l’attaque en elle-même », fait relativiser le spécialiste.