Cyberattaque : comment assurer la continuité de ses activités ?

Le PCA/PCI : assurer la disponibilité du Système d’Information

Le Plan de Continuité des Activités - dit PCA - est une stratégie documentée qui décrit les procédures et actions à entreprendre, par ordre de priorité, afin de garantir la disponibilité de la totalité des services - qu’ils soient financiers, ressources humaines, matériels physiques ou informatiques. Le Plan de Continuité Informatique (PCI), quant à lui, est le volet dédié à la continuité du Système d’Information (SI), notamment après une cyberattaque, ou à la perte de communication avec un service cloud par exemple. La définition d’une stratégie de continuité des services permet notamment d’assurer un fonctionnement minimum du SI lors d’une cyberattaque. La définition d’une telle stratégie passe par plusieurs phases d’études, ainsi que de mise en place de solution de « secours » qui permettront au SI de rester fonctionnelle - via un processus de relai des services par un système secondaire plus résilient et adapté à la situation de crise, comme l’utilisation d’une messagerie restreinte dédiée, la sécurisation de l’Active Directory (AD) par le Tiering ou une stratégie de sauvegarde renforcée.

La PCA déterminera également les acteurs clés de la continuité, la gestion de l’incident et la stratégie de communication de l’organisme. Aussi, les stratégies de communication interne et externe de l’entreprise doivent être soigneusement étudiées, afin de ne pas faire ralentir le processus de remédiation, ni l'analyse de l’incident en cours. Identifier les acteurs d’une cellule de crise, les experts cyber qui veilleront à conseiller les équipes opérationnelles et les utilisateurs sur la bonne démarche à suivre, est également un point crucial à définir, afin de maintenir les activités à un rythme non dommageable pour l’entreprise. Pour cela, établir un Recovery Time Objective (RTO) et un Recovery Point Objective (RPO) en amont, selon les capacités de résilience du SI, est primordial.

Le plan de reprise d’activité (PRA) : guide de survie après une cyberattaque

Si le PCA définit la stratégie de continuité d'activité de votre entreprise, le PRA se charge du plan de reprise de celle-ci. Le PRA se concentre, lui, sur le volet de la remédiation après la perte partielle ou totale d’opérabilité, et de disponibilité des services. Notamment sur l’application des stratégies de sauvegarde et de recouvrement des données.

En effet, si la continuité permet de garder les activités opérationnelles à leur minimum, la PRA/PRI permet de relancer la machine à son plein potentiel, en suivant des procédures définies en amont pour plus d’efficacité. Le PRA se concentre, tout d’abord, sur une phase d’analyse de l’incident ainsi que de l’état des services à postériori. Après avoir estimé l’ampleur des dégâts, en isolant les services les plus compromis, pour ne pas propager l’infection plus loin. Il est donc conseillé de choisir son plan d’action pour une remise à niveau efficace : segmentation en zone par niveau de dégradation, puis reprise des services avec durcissement pour les moins touchés, et restauration complète via des sauvegardes isolés pour les plus touchés, par exemple.

Les enjeux des sauvegardes du SI

Afin de mieux maîtriser le risque cyber et avoir un plan de restauration solide face aux différentes menaces qui planent sur un SI, avoir une stratégie relative à ses sauvegardes semblent une évidence que certaines PME négligent à leur détriment. Chaque entreprise se doit d’avoir un plan de sauvegarde, ainsi que de restauration de celle-ci en cas de perte de données, dû à une cyberattaque ou autre désastre.

Il est important de différencier les sauvegardes de production et les sauvegardes de secours - qui n’auront pas le même usage. L’une sera utile pour se prémunir d’un incident courant et non bloquant pour la production, tandis que l’autre devra être utilisée en cas de blocage de la production - et reposera sur une reprise d’activité à l’aide d’une sauvegarde non compromise et isolée de la production.

Il faut également différencier les sauvegardes logiques et physiques : les sauvegardes physiques permettent la restauration d'un disque, après un incident d’exploitation. Le stockage et la sécurité physique de ces sauvegardes doivent être particulièrement étudiés. Les sauvegardes logiques, quant à elles, servent à reconstruire des services ou un SI sur une configuration de secours. La restauration d’une sauvegarde logique est plus coûteuse en temps, mais permet de synchroniser les données plus rapidement qu’une restauration physique.

Lorsque la méthode et le type de sauvegarde sont choisis, vous devrez sélectionner les techniques adéquates pour la réplication et la restauration de celle-ci - afin que les attaquants puissent difficilement les altérer. Appliquer une stratégie 3-2-1 (3 emplacements différents de sauvegarde, 2 types de disques différents, 1 hors site), rendre ses sauvegardes immuables et déconnectées du réseau ou l’utilisation de compte de services dédiés au sauvegarde et restauration sont des actions grandement recommandées.

Une stratégie de continuité, ainsi qu’une stratégie de remédiation, semblent, au premier abord, un exercice fastidieux et laborieux, mais il sera salvateur et payant, lorsque vous ferez face à des cyberattaques. Dans cette phase de préparation, de mise en place d'outils de sécurisation et de sauvegarde, les cabinets de conseil dédiés aux problématiques cyber peuvent vous accompagner grâce à leur vision à 360° de la cybersécurité. Cette anticipation des cyberattaques vous permettra de limiter les dégâts et atteintes portés à votre activité le moment venu. En un mot : prévoyez !