Rawpixel.com - Fotolia

Cet article fait partie de notre guide: Cyberattaque : comment faire face ?

Cyberattaques : quelques clés pour mieux maîtriser sa communication de crise

Que dire ou ne pas dire, lorsque l’on est confronté à une cyberattaque par ransomware ? Comment éviter les fuites ? Nos conseils bienveillants à l’intention de ceux qui auront la malchance d’en passer par là.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 20 - Ransomware : dans les pas des attaquants

La menace des cyberattaques à coup de ransomware n’est pas une vue de l’esprit. Des organisations en font les frais dans le monde entier, jour après jour. Face à une menace d’une telle ampleur, la prévention est indispensable. C’est pour cela qu’avec l’aide d’experts, nous avons multiplié les conseils techniques sur la protection et la détection.

Si la première faillit, la seconde peut faire toute la différence, comme Lactalis en a fait la démonstration début 2021. Mais lorsque l’on n’a pas la même chance – pour reprendre le terme utilisé humblement par le RSSI de Lactalis lui-même –, il faut être prêt à faire face, et notamment à maîtriser sa communication de crise. Autrement dit : comment éviter de se retrouver en Une du MagIT en faisant piètre figure. Il y a quelques clés pour cela. 

Miser sur la transparence

La première consiste à ne pas chercher à cacher l’incident, mais à jouer dès le départ la transparence sur sa réalité. Coallia peut ainsi faire figure d’exemple. Mais l’association n’est pas isolée en la matière : on peut citer l'exemple tout récent du monégasque Namebay. Le point commun de ces cas : reconnaître publiquement l’attaque très vite ; admettre qu’il s’agit d’un ransomware ; dire s’il y a eu ou non vol de données, voire en indiquant la famille de rançongiciel impliqué.

Pourquoi ces trois démarches sont-elles essentielles ? Parce qu’il n’y a rien de tel que jouer le déni ou minimiser l’ampleur d’un incident pour attirer l’attention des journalistes. Mais une fois que les questions évoquées plus haut ont trouvé leurs réponses, il n’y a plus d’ambiguïté ni de suspicion de tentative de cacher quelque chose au public, et en particulier que des données ont été dérobées et que leur confidentialité est menacée. Le reste – à savoir si la rançon a été payée et son montant – ne concerne finalement que les actionnaires et les investisseurs. Et encore, à compter qu’un éventuel paiement ait un impact sur la santé financière de l’entreprise. Mais oui, se refuser à évoquer ouvertement la question de la rançon lorsque l’on est une entreprise cotée en bourse, cela amène des interrogations. 

Le contrôle de la communication de crise passe donc d’abord et avant tout par une communication initiale sincère – qui, au passage, permet de tourner la page, au moins temporairement, sur ce volet de la gestion de crise, pour se concentrer sur le reste, en limitant les pressions extérieures. Mais ce contrôle de la communication de crise ne s’arrête pas là. Car les cyberdélinquants aux commandes des ransomwares ne se préoccupent qu’assez peu de l’image de leurs victimes et de la confidentialité de leurs échanges.

Éviter de laisser fuiter les indices

Pour pallier cela, les opérateurs du rançongiciel Babuk ont quelques conseils dont certains s’avèrent pertinents. Le premier d’entre eux consiste à ne pas téléverser d’échantillon du ransomware qui a infecté l’entreprise sur un entrepôt bien connu tel que VirusTotal. Ce n’est pas idiot.

Il serait surprenant que le prestataire qui vous accompagne dans la gestion de la crise ne dispose pas d’outils – et en particulier de règles Yara – pour identifier la famille de ransomware impliquée… De quoi savoir qui, dans la communauté de la cybersécurité, appeler à la rescousse dans le cas où, par chance, des failles connues, mais gardées secrètes, permettraient de déchiffrer les données compromises.

Téléverser un échantillon en début de crise, sur un entrepôt public, présente un risque : que des tiers récupèrent la demande de rançon et suivent la négociation pour y trouver de quoi identifier la victime.

Une fois la crise terminée, partager un échantillon – voire un outil de déchiffrement si une rançon a été versée – peut s’avérer précieux pour le bien collectif : des analystes ne manqueront pas de se pencher dessus, jusqu’à parfois, découvrir des failles susceptibles d’aider d’autres victimes futures, voire même présentes.

Mais même avec ces précautions, il est prudent de partir du postulat que des analystes ou des journalistes – voire des concurrents des attaquants, ou de vous-mêmes, la victime, – suivent les négociations. Des personnes étant intervenues dans des négociations ont ainsi déjà retrouvé leur marque dans certain échanges anonymisés et publiés par le projet ransomch.at.

En outre, n'hésitez pas à demander aux assaillants à poursuivre l'échange dans un autre salon de conversation que celui mentionné dans la note de rançon. Et cela même dès le début des échanges. 

Contrôler ses traces

Durant toute la phase d’échange, il est donc plus que recommandé de récupérer au plus vite tout élément probant fourni en clair par les cyberdélinquants dans l’espace de négociation – et de demander la suppression des messages correspondants immédiatement.

Les cyberdélinquants ont fréquemment recours au service d’hébergement de fichiers en ligne Mega.nz. Ils y déposent une archive contenant les données volées et fournissent un lien vers celle-ci, ainsi que, souvent, un identifiant de compte et le mot de passe associé pour accéder aux données.

Récupérez ces informations dans l’instant où elles vous sont fournies et demandez la suppression immédiate des messages correspondants : vos données ont été volées, mais vous vous devez de vous assurer qu’elles ne tomberont pas entre les mains de tiers potentiellement mal intentionnés et, dans le cas d’autres cyberdélinquants, susceptibles de vous faire chanter à leur tour.

Enfin, si une rançon a été versée, demandez l’effacement complet des négociations et vérifiez que celui-ci a bien eu lieu : ainsi, personne ne pourra, à partir des seuls échantillons du maliciel, remonter le fil des échanges.

Trop souvent, les victimes s’imaginent dans un espace privé et sûr d’échange avec leurs attaquants et y laissent traîner des informations potentiellement sensibles des semaines durant, sinon plus, lorsque la négociation s’éternise. C’est prendre un gros risque d’ajouter une crise ultérieure à la première.

Tribune publiée initialement le 24 mars 2021, mise à jour le 25 septembre 2024.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)