terovesalainen - stock.adobe.com
7 questions clés pour les victimes de cyberattaque
Obtenir un traitement médiatique juste et équilibré en cas de cyberattaque nécessite des réponses sincères à certaines questions clés. Quelles sont-elles ?
Certaines organisations – et leurs services de communication – ont bien compris qu’il n’est pas souhaitable de laisser aux cybercriminels le monopole du narratif lorsqu’ils ont mené une cyberattaque, ni même de se laisser déborder par des observateurs extérieurs voire ses propres collaborateurs ou ses clients.
On peut ainsi prendre pour exemples Thales, face aux revendications de LockBit à l’automne 2022, BMW France face à celles de Play au printemps 2023, ou plus récemment Econocom face à Stormous et GhostSec, voire Ingenico face à Snatch.
Lilian Laugerat, ancien officier du GIGN et directeur de Solace, estime, dans les colonnes d’InCyber, qu’il est préférable, lorsque l’on est victime d’une cyberattaque, de communiquer en premier : « vous devez dire ce que vous savez, mais aussi ce que vous ne savez pas, s’il y a une rançon ou non, si vous allez peut-être la payer… Dans tous les cas, on ne vous reprochera jamais d’avoir dit la vérité ». Emmanuelle Hervé, directrice et fondatrice d’EH&A Consulting, cite quant à elle le cardinal de Retz : « l’honnêteté est l’habileté suprême ».
De mon point de vue, une « bonne » communication de crise en cas de cyberattaque est simplement une communication sincère, celle qui donne aux journalistes, au public, aux partenaires et à ses collaborateurs, le sentiment qu’on n’essaie pas de les mener en bateau. Une communication qui donnera envie à chacun d’adresser ses meilleurs vœux et ses encouragements à des équipes qui seront sur le pont pendant plusieurs semaines, et de les laisser travailler sereinement. Voire de leur apporter toute l’aide possible.
Pour autant, certaines organisations peinent encore à adopter une communication efficace, quand bien même elles revendiquent la transparence comme l’une de leurs vertus cardinales.
Obtenir un traitement juste et équilibré nécessite de répondre de manière sincère à quelques questions clés. Suggestions, inspirées par l’expérience ainsi que par certaines illustrations remarquables.
1- Quand a été détecté (ou découvert) l’incident ?
Il s’agit d’établir une chronologie des faits. Plus la communication survient tôt par rapport au moment où l’incident a été détecté, ou découvert, plus l’organisation victime donnera le sentiment de faire preuve de sincérité et de transparence.
Petite réserve toutefois : si l’incident a été détecté après l’intrusion initiale, voire même en phase de vol de données, le terme de détection peut se justifier. Mais une fois qu’un chiffrement est survenu, il est plus pertinent de parler de découverte du fait des indisponibilités de systèmes et de services engendrés.
2- Quelle est la nature des dégâts commis par l’attaquant (ou l’intrus) ?
Il s’agit simplement d’indiquer quels dégâts, de quelle nature, sont à déplorer. Lorsqu’une entreprise se déclare victime d’un incendie volontaire de ses locaux, elle n’a guère de mal à indiquer que des bâtiments et les équipements et stocks qu’ils abritaient ont été détruits au passage. Dire qu’il y a eu chiffrement à l’occasion d’une cyberattaque, ce n’est pas très différent.
3- Quelle est l’étendue du périmètre affecté ?
C’est probablement difficile à indiquer avec précision lorsque la cyberattaque vient d’être détectée (ou découverte, donc). De fait, en cas de détection précoce, déterminer précisément quels systèmes ont été affectés et compromis nécessite des investigations approfondies qui demandent du temps. En cas de découverte après chiffrement, c’est vrai également, mais il est déjà possible d’indiquer, approximativement, combien de postes de travail et de serveurs (physiques et/ou virtuels) ont été touchés.
En cas de segmentation robuste du système d’information, ou d’incident limité à un ou quelques hôtes très isolés, il est possible d’estimer le risque d’extension de la compromission à d’autres environnements du système d’information, de l’indiquer et de préciser les mesures prises pour éviter toute extension.
4- Quel est l’impact sur les activités ?
S’il n’y a pas eu chiffrement, l’impact peut-être relativement limité sur l’activité de l’organisation. Toutefois, une simple intrusion mérite bien souvent un effort d’investigation et de nettoyage approfondi susceptible d’entraîner des perturbations non négligeables. Ne serait-ce qu’en raison de la nécessité d’isoler tout ou partie du système d’information, afin d’empêcher l’intrus (voire même un second, qui serait passé inaperçu) de faire des dégâts – ou d’en faire plus.
Il n’est, dès lors, probablement pas très raisonnable d’assurer qu’un retour à la normale est attendu sous quelques jours, voire même une semaine.
5- Si l’emploi d’un rançongiciel a été constaté, à quelle famille/franchise connue se rapporte-t-il ?
Le nom de la famille/franchise impliquée peut être établi dans les premières 48h à partir de l’analyse du ransomware et/ou de la note laissée éventuellement par les attaquants.
Les pratiques habituelles des attaquants affidés à la franchise considérée peuvent amener à estimer si le risque de vol de données est élevé ou, au contraire, limité. L’Écossais Flagship Group s’était, à ce titre, montré très transparent début novembre 2020, indiquant d’emblée le nom du ransomware utilisé contre lui et précisant que les pratiques habituellement observées avec lui suggéraient un très fort risque de vol de données.
6- A-t-il été établi qu’un vol de données est à déplorer ? Si oui, a-t-il déjà été possible de l’évaluer au moins partiellement ?
Il peut être tentant de déclarer qu’aucune trace de vol de données n’a été détectée, ou que rien n’indique qu’il y ait eu vol de données, notamment lorsque l’incident vient tout juste d’être découvert. Voyageurs du Monde l’avait fait, au printemps 2023.
La grande majorité des victimes de cyberattaque ne dispose pas de la supervision permettant de suivre un éventuel assaillant et ses actions, voire même de les retracer. Établir s’il y a eu vol de données, lesquelles, et en quelle quantité, peut s’avérer difficile, voire nécessiter d’attendre le début des divulgations.
Lorsque l’incident vient de survenir, une déclaration telle que « à ce stade, il n’a pas encore été possible de déterminer si des données ont été volées et, le cas échéant, lesquelles » est raisonnablement prudente.
7- Une rançon a-t-elle été demandée ?
À cette dernière question, une réponse négative, telle que « nous n’avons pas reçu de demande de rançon », ne permet pas de conclure si la cyberattaque s’inscrit dans une démarche d’extorsion. Surtout, elle appelle une autre question : l’attaquant a-t-il laissé des instructions pour entrer en contact avec lui ?
De fait, certains cybercriminels font chanter leurs victimes sans en chiffrer les données, et souvent, en cas de rançongiciel, une note est déposée qui ne contient pas de demande de rançon explicite, mais des instructions sur la manière d’engager la conversation avec les attaquants. C’est la très mal nommée note de rançon.
Le plus important à retenir est peut-être que ce n’est pas tant la cyberattaque qui entame la confiance en la victime que son insincérité (avérée ou suggérée par ses propos), son silence, sa communication minimisant la gravité de la situation ou enjolivant cette dernière. L’incohérence entre communication interne, communication externe, déclarations publiques, et en prime, constatations extérieures contribue également à altérer la confiance dans les affirmations de la victime et, in fine, en cette dernière.