Qui a bien pu détecter cette attaque ?

Il s’agit de l’équipe SOC, qui gère les activités de surveillance et de détection, et peut monitorer le trafic sur le site internet.

L’équipe CERT va gérer plutôt la partie réponse à incident, tandis que l’analyste de la menace en saura plus sur les attaquants qui peuvent cibler l’entreprise, et leurs modes opératoires.

Un SIEM a été fort utile dans la détection de l’attaque DDoS qui frappe Cabcy. Mais au fait, qu’est-ce qu’un SIEM ?

Un SIEM (Security Information & Event Management) est un outil qui permet de centraliser et d’analyser les traces collectées sur le système d’information.

C’est le SOC qui est l’équipe de détection des incidents de sécurité, et qui utilise le SIEM comme outil.

Les impacts de l’incident sont importants, il a donc été décidé de mettre en place une organisation de gestion de crise. Quels seront les objectifs principaux de cette organisation spécifique ?

Le premier objectif de la gestion de crise est de limiter les impacts pour l’entreprise. 

Mettre en place une organisation de gestion de crise permet aussi de coordonner plus efficacement les parties prenantes, et ainsi de résoudre la crise le plus rapidement possible.

Enfin, la mise en place d'une organisation de gestion de crise est une étape qui ne regarde que les parties prenantes internes, mais dont les parties prenantes externes (clients, fournisseurs) bénéficieront,

Quelles sont les cellules de crise qui devraient être mises en place, à votre avis ?

• Une cellule de crise stratégique, une cellule de crise technique et une cellule de crise métier sont tout à fait adaptées : la première va prendre les décisions concernant l’interne comme l’externe, la deuxième va mener les investigations techniques sur l’attaque et travailler à refaire fonctionner le site internet, et la troisième va trouver des solutions pour réaliser les activités de l’entreprise sans les outils habituels de travail.

• Les clients et les fournisseurs ne font pas partie de cellules de crise spécifiques, en revanche ils seront destinataires des communications préparées par l’entreprise sur l’incident en cours.

Lors d’une crise, à votre avis que doivent faire les équipes de communication ?

Lors d’une crise, la transparence est recommandée… dans une certaine mesure ! Bien maîtrisée, elle permet d’éviter la propagation de rumeurs ou la panique sur les réseaux sociaux. Mais elle doit aussi veiller à ne pas donner trop d’informations à un attaquant !

Trouver un juste milieu, adapté à chaque type de destinataire, est donc primordial. Lors de crises, une seule personne est habilitée à communiquer, même si plusieurs personnes de l’équipe Communication peuvent travailler sur le sujet.

À quoi servent les équipes CERT dans tout ça ?

Le CERT est la cellule de réponse à incident : cette équipe s’occupe, après une attaque, de collecter les traces laissées par l’attaquant et de les analyser. Cela permet de bien comprendre ce qui s’est passé (et donc comment éviter une attaque similaire dans le futur).

Malgré les efforts des équipes informatiques, le site internet de l’entreprise est finalement resté indisponible pendant 3 jours, à un moment stratégique de l’année… À votre avis, combien de temps peut prendre l’entreprise Cabcy pour se remettre de cette cyberattaque ?

Les impacts financiers, contractuels et d’image pour l’entreprise sont très importants : le chiffre d’affaires a souffert de la crise, et de nombreux clients mécontents ont décidé d’aller voir ailleurs… Il est probable que l’entreprise mette plusieurs mois à se remettre de cette crise : d’une part pour remettre à plat ses processus internes et éviter qu’une nouvelle crise similaire survienne, d’autre part pour regagner la confiance de ses clients.

L’entreprise a bien compris qu’il était désormais essentiel de travailler à améliorer la résilience de son système d’information. Mais au fait, qu’appelle-t-on “résilience du système d’information” ?

• La résilience du système d’information est sa capacité à fonctionner en cas d’incident ou de crise, et à retrouver son fonctionnement normal le plus rapidement et le plus efficacement possible.