Disposez-vous d’une solution de “communication de survie” en cas de cyberattaque ?
Le 13/11/2023
Article proposé par APITECH
Il y a encore quelques années, dans l’inconscient collectif, la cybercriminalité était souvent cantonnée aux séries télé. Ainsi, dans Homeland, des usines à trolls tentent d’influencer l’opinion publique américaine. Dans Le bureau des légendes, des plateformes de hackers russes sont dans le viseur de notre Direction Générale de la Sécurité Extérieure. La réalité a désormais pris le dessus : le sujet « cyber » s’invite même en couverture du mensuel Capital qui titre « Plus personne n’est à l’abri ! » en couverture de son numéro d’avril 2023¹. Les impacts sont multiples : aux États-Unis, les services municipaux de la ville de Baltimore ont été paralysés pendant trois semaines en mai 2019, un « ransomware » qui aurait coûté 18 millions de dollars. Plus près de nous, le Centre Hospitalier Sud-Francilien (CHSF) de Corbeil-Essonnes a été victime d’une attaque informatique en août 2022. Les hackers demandaient 10 millions de dollars. Si la plupart des grandes organisations sont capables de mettre en œuvre un Plan de Reprise d’Activité (PRA), il existe une phase critique de préparation au déploiement. Comment faire en sorte que les experts sécurité puissent dérouler sereinement leur PRA ? Zoom sur ce sujet sensible avec l’équipe APITECH.
Les impacts désastreux d’une cyberattaque
À Baltimore, des pratiques IT défaillantes ont été pointées du doigt, de même que des budgets insuffisants pour les assurances. Les conséquences pratiques ont été innombrables : les citoyens ne pouvaient pas contacter la mairie, car les fonctionnaires ne pouvaient plus accéder à leurs boîtes mail, toutes les ventes de biens immobiliers ont été interrompues. Impossible pour les services municipaux d’encaisser les amendes de stationnement, d’infractions routières, des taxes foncières, etc. En France, les messageries du personnel hospitalier ont aussi été bloquées. Il a fallu créer de nombreux comptes Gmail qui ont été bloqués par Google ! Dans les deux cas, le recours aux dossiers papier et aux stylos a été nécessaire.
Comment éviter une paralysie des systèmes de communication (mail, web) ?
Pour les DSI (Directeurs des Systèmes d’Information) et les RSSI (Responsables de la Sécurité des Systèmes d’Information), la question n’est pas de savoir QUI va être attaqué, mais QUAND, car aujourd’hui, tout le monde est vulnérable comme le titre justement Capital. Dans ce contexte, APITECH fournit une plateforme de « survie du SI » pour permettre aux organisations de toutes sortes d’avoir accès à des moyens de communication et de collaboration.
Selon un ingénieur APITECH : « Pour employer une image pratico-pratique, nous apportons une voiture de remplacement adaptée à votre usage comme ce que peut proposer un garagiste en mode secours pendant une période compliquée ».
Une offre opérationnelle en moins de 2 heures
« Nous sommes notamment capables de créer toutes les boîtes aux lettres des utilisateurs d’un client. Cela signifie qu’au préalable, nous connaissions les utilisateurs ayant besoin d’une boîte mail en priorité. Il n’y a aucun échange direct, car l’attaque pourrait potentiellement se propager à la plateforme opérationnelle de survie. En moins de 2 heures, nous déployons les boîtes aux lettres, une solution de partage de fichiers préconfigurée avec certains partages pour la direction, pour le CRM, pour la comptabilité, pour les différentes populations. Ainsi, le partage de documents contiendra les documents permettant une transition la plus sereine possible grâce à une solution opérationnelle offrant des services essentiels ».
Une communication interne et externe prête à l’emploi
Élément crucial d’une stratégie efficace de retour au mode opérationnel, deux sites internet de communication dédiés sont conçus en prévision de potentielles coupures de service :
- Un à destination des collaborateurs, qui trouveront toutes les instructions à suivre pendant cette période perturbée.
- Une communication grand public, notamment en direction d’usagers. Ces derniers, à défaut de pouvoir provisoirement accéder à leurs services habituels, seront tenusinformés des diverses démarches à suivre.
Le but : à l’ère du tout digital, éviter d’en revenir au papier comme ce fut le cas à Baltimore et dans l’Essonne !
Un flux continu de l’information
Une reprise d’activité suite à une cyberattaque demande un certain temps – plusieurs jours, voire plusieurs semaines – et la solution proposée par APITECH est complémentaire au PRA (Plan de Reprise d’Activité). Elle réalise l’intégration en continu des moyens informatiques via des systèmes de communication, des connecteurs qui permettent un flux des données, notamment pour les utilisateurs finaux. De cette manière, la plateforme opérationnelle de survie se met à jour régulièrement pour être disponible le jour où l’organisation en aura besoin.
Un redémarrage dans de bonnes conditions de sécurité
Nécessité fait force de loi : la période Covid a permis de mettre en place en quelques jours des solutions impossibles à envisager quelques années auparavant. Or, il y a pu y avoir des concessions sur des éléments de sécurité. Pour gérer les choses plus sereinement, APITECH propose une plateforme complètement indépendante du SI du client, tout simplement pour éviter que la plateforme opérationnelle de survie ne soit impacté par la même cyberattaque. Selon l’expert APITECH : « On pourrait se dire qu’il suffit de faire un Google Drive, d’y déposer les documents dont on aura besoin, de créer des boîtes Gmail et, le jour où il y a un problème, disposer de l’opérationnel. Or, les serveurs APITECH sont hébergés en France, chez un ou des hébergeurs français !
La souveraineté est donc garantie pour l’organisation. Les mécanismes de synchronisation en continu des fichiers, des annuaires et tout ce qui sert pour préparer le système au redémarrage le jour où il devra être opérationnel se fait dans une architecture complètement étanche vis-à-vis du SI de l’organisation. C’est donc notre plateforme qui va interroger et récupérer des informations. Notre système est le seul à connaître l’existence des éléments critiques sur le SI de l’organisation. Elle est conçue pour être très isolée et très sécurisée et pour pallier toute propagation possible d’une cyberattaque ».
Faciliter le démarrage du PRA
La dimension politique et l’impact en termes d’image sont colossaux. Dans l’Essonne, des actes chirurgicaux ont dû être repoussés, des dossiers médicaux ont été perdus, sans parler de données personnelles. Les services municipaux de Baltimore ont pu redevenir opérationnels en trois semaines. Mais dans quelles conditions et que restait-il encore à finaliser après le redémarrage en mode dégradé ? Le retour à la normale s’est étalé sur plusieurs mois, après un fonctionnement en mode dégradé.
« APITECH offre un confort permettant à l’organisation de ne pas se précipiter. Nous avons créé des relations de confiance avec des organisations, dans des cadres réglementaires stricts et nous sommes à même d’éviter des pertes de temps et d’argent. Du moins, nous pouvons contribuer à réduire l’impact de telles pertes et faire en sorte que l’organisation puisse se concentrer sur ses applications métiers ».
Cas pratique : comment fonctionne le « SI de survie » prêt à l’emploi proposé par APITECH ?
Pour votre organisation, le déroulé comporte trois grandes étapes :
- Mise en place de la synchronisation périodique des données: APITECH récupère un export de votre annuaire ainsi que certains fichiers sur un espace FTP neutre en dehors de tout SI. Les utilisateurs sont intégrés dans l’annuaire de la plateforme opérationnelle de survie. Chaque utilisateur aura une manipulation à faire avec son téléphone pour changer son mot de passe. Il y aura une confirmation par SMS avec une double authentification.
- Mise à disposition de l’interface web d’administration: Vos acteurs concernés peuvent démarrer les services de secours et les alimenter en données. Ces services essentiels vous sont spécifiques et auront été prédéfinis en amont. À chaque arrêt du service, vous avez accès à une nouvelle version qui contient les dernières données à jour.
- Déclenchement de la plateforme opérationnelle de survie: Il peut se faire directement depuis l’interface d’administration. Un SMS contenant toutes les instructions pour valider les comptes d’accès est envoyé à chaque utilisateur concerné. Le site de communication interne contient les liens vers les différents services essentiels et les instructions à destination des utilisateurs de la plateforme opérationnelle de survie. Pour chaque service, vous pourrez utiliser la version taguée « production » pour démarrer.
Vous voilà prêts à opérer en mode « Communication de survie » !
[1] No. 379, 04.2023
