Alain Bouillé est le Directeur Cybersécurité d’un grand groupe français. Il préside depuis juillet 2012 le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) regroupant plus de 400 RSSI de grandes entreprises francophones.
Les cyber-attaques destructrices du printemps 2017 ont frappé durement nombre d’organisations dont certaines ont eu de la peine à s’en remettre. Le chiffre de 2 milliards de perte est évoqué pour l’ensemble des entreprises touchées. Pourquoi en est-on arrivé là ? Pourquoi les plans de reprise n’ont pas fonctionné ? Cette crise a mis en lumière l’inefficacité de ces plans de secours informatique traditionnels.
Plus les espaces de stockage sont devenus bon marché, couplés à des capacités réseaux sans cesse plus performantes, et plus les grandes entreprises se sont rapprochées du concept de Perte de Données Maximale Admissible (la fameuse PDMA !) proche de zéro. Pour cela, elles se sont appuyées sur des systèmes de réplications synchrones. Si bien qu’en cas de corruption de données du système de production, si des dispositifs complémentaires ne sont pas en place, ces réplications instantanées entrainent la corruption des données du système répliqué. Du coup, seule une sauvegarde « saine » effectuée indépendamment de ces dispositifs de réplication et avec un décalage temporel peut permettre une reprise à froid des données. Avec à la clé, la reconstitution délicate des données endommagées, en partant de la dernière sauvegarde et en s’aidant des journaux de transaction que l’on rejoue, et ce pour s’arrêter juste avant le moment fatidique de la corruption.
Par contre, lorsqu’on est face à des attaques ciblées où les attaquants ont pris la main sur le système d’information depuis parfois plusieurs mois sans que cela ne perturbe en apparence le fonctionnement du SI, le concept de sauvegarde saine peut être inopérant car les sauvegardes sont peut-être toutes infectées. Il est probable que la dernière sauvegarde saine ait été écrasée du fait des rotations du dispositif de backup.
Les cyber-attaques comme NotPetya n’ont pas seulement endommagé les données de production ainsi que leur sauvegarde, elles ont aussi rendu inutilisables les postes informatiques avec des cryptolocker destructifs (ceux qui ne demandent même pas de rançon pour obtenir la clé de déchiffrement !). Du coup lorsque le dernier recours consiste à reformater les postes informatiques (ce qui peut prendre plusieurs heures) et qu’il y en a plusieurs milliers concernés dans l’entreprise, celle-ci peut en effet rester avec des écrans noirs pendant longtemps !
Alors que faut-il faire ?
La notion de résilience est très ancienne et s’appliquait surtout à la capacité des matériaux à résister à toute sortes de chocs. En y adjoignant le préfixe cyber, on peut parler « de capacité à se préparer et s’adapter à des conditions en perpétuelle évolution ainsi qu’à récupérer rapidement ses capacités suite à des attaques délibérées, des accidents, … dans le cadre de l’utilisation de moyens informatiques. ».
Du coup, outre des bonnes pratiques comme des dispositifs de sauvegardes indépendants des dispositifs de réplication à chaud ; des dispositifs de vérification de la qualité des sauvegardes ; un site de repli équipé d’ordinateurs prêts à l’emploi en cas d’indisponibilité du site nominal déconnecté de ce dernier par temps calme ; un dispositif de gestion de crise adapté à la crise cyber …
… la cyber résilience consiste à :
- Avoir un SI le plus résistant possible aux attaques, à travers des moyens de prévention et de protection ;
- De se doter d’une surveillance efficace afin de détecter et analyser au plus tôt les attaques ;
- De construire des dispositifs de réaction immédiate aux attaques, par exemple des mécanismes d’isolation et autres boutons rouges pour contenir l’impact de ces attaques ;
- De prévoir des systèmes totalement parallèles et indépendants des systèmes de production pour pouvoir continuer son activité métier, en partant du principe que le système de production nominal risque d’être indisponible de façon prolongée.
Note : ce sujet est la thématique du Congrès du CESIN, à Reims les 4 et 5 décembre 2018.
