Cyberattaques : AFNOR organise la parade

Les chiffres sont effrayants : d’après le baromètre CESIN 2022, plus d’une entreprise française sur deux a vécu au moins une cyberattaque au cours de l’année 2021. Et chacune de ces attaques occasionne un manque-à-gagner de 27 % sur le chiffre d’affaires ! Aucun acteur économique, grand ou petit, public ou privé, n’est à l’abri, ni ne doit fermer les yeux sur ce qu’il faut mettre en place pour prévenir les attaques. A l’heure où nous écrivons cet article, l’hôpital de Versailles est durement touché ! La présence d’un ransomware signe bien souvent déjà la fin d’une attaque”, prévient Lionel Mourer, consultant-formateur pour AFNOR Compétences, qui dispense une formation sur la gestion d’une cyberattaque.

AFNOR Spec 2208 : un condensé de bonnes pratiques

Plus grave est la forme de déni que manifestent les dirigeants d’entreprise à l’égard du risque de cyberattaque. En effet, selon le baromètre Eurogroup Consulting et malgré la médiatisation de nombreuses attaques fin 2022, le risque cyber arrive avant-dernier dans le hit-parade de la perception des risques, avec 15,7 % seulement des dirigeants interrogés qui le citent. « Près d’un tiers des grandes entreprises le placent dans le top 3 des risques pour 2023, contre une minorité d’ETI et PME. Ce déclassement s’explique à la fois par un manque de moyens et une sous-évaluation du risque », commente Eurogroup Consulting. Or, ces entreprises plus petites constituent la cible numéro un des pirates : « La menace cybercriminelle, et plus spécifiquement celle liée aux rançongiciels, se maintient avec un regain d’activités fin 2022. Elle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %) », relate l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans son dernier Panorama de la cybermenace

Pour savoir comment s’organiser, AFNOR publie le guide « Cyber-résilience, reconstruction du SI et continuité d’activité métiers en cas de cyberattaque paralysante ». Disponible gratuitement dans la collection AFNOR Editions sous le libellé AFNOR Spec 2208, il centralise les recommandations et bonnes pratiques d’une quarantaine d’acteurs dont beaucoup ont vécu des cyberattaques : PME, ETI, start-up, grands groupe, hôpitaux, etc. « Nous avions besoin de recommandations pour savoir comment s’organiser avant et pendant : comment évaluer le risque, quels critères sélectionner pour prendre des décisions, que prioriser pour maintenir une continuité de service, comme par exemple la lumière dans les chambres et les couloirs », apprécie Béatrice Bérard, pour la Fédération hospitalière de France, l’un des contributeurs.

AFNOR elle-même a subi une cyberattaque qui l’a privée de son système d’information pendant plusieurs semaines au printemps 2021. « Notre plus grand engagement post-attaque a été de nous investir dans la rédaction d’un guide pour aider les entreprises qui vivront cette situation à faire face », dit d’ailleurs Frédéric Leconte, directeur des systèmes d’information du groupe AFNOR.

AFNOR Spec 2208 : continuer l’activité et reconstruire le système d’information

Ce guide vient donc de sortir. Aux fonctions DSI ou RSSI, il donne des lignes directrices et des recommandations opérationnelles pour anticiper le traitement d’une cyberattaque, ou y faire face en fonction de la nature de l’activité, de la maturité (3 niveaux sont définis) et des moyens de l’organisme. « Les cyberattaques peuvent mettre des organisations au tapis pendant des durées longues : plusieurs semaines, plusieurs mois. Nous sommes donc partis sur le concept de cyberattaque paralysante. Cela pose certes la question de comment reconstruire le système d’information, après coup, mais surtout celle d’assurer une continuité d’activité, sur un temps long, en l’absence d’outils informatiques ou en présence d’outils fonctionnant en mode dégradé, décrit Xavier Hartout, consultant chez Adenium BRG, qui a coanimé le groupe de rédacteurs du guide AFNOR. Vu sous cet angle, un plan de continuité d’activité (PCA) s’avère la première chose à mettre en place. Ce guide explique comment le bâtir, à quelles actions donner la priorité en mode dégradé, comme le paiement des salaires hors logiciel de paie, par exemple. Avec l’idée qu’un bon PCA permet une bonne résilience. » Le guide comporte quatre parties :

• Recommandations en cas de survenance d’une cyberattaque paralysante
• Spécifications techniques pour la reconstruction du système d’information
• Préconisations pour la continuité d’activité métiers
• Sortie de crise, retour d’expérience et capitalisation après une cyberattaque

Il est assorti de plusieurs annexes : synthèse des bonnes pratiques, fiche souscription cyber-assurance, guide synthétique pour les petites structures, fiche de déclenchement d’un plan de continuité informatique.

Le guide AFNOR Spec 2208 comporte de nombreuses figures, comme ici sur l’Articulation des équipes techniques pour la reconstruction du SI.