Cyberattaque : comment l’entreprise doit-elle gérer la communication avec le hacker qui la frappe ?

Notre chroniqueur Michel Juvin analyse les règles du jeu des échanges entre les hackers et leurs victimes. Comment une entreprise peut-elle faire de la communication une arme pour mieux se défendre ?

Depuis quelques années, le nombre de cyber-attaques augmente à tel point que même si une entreprise n’a pas été touchée, il est fort possible qu’elle le soit prochainement. La construction de barrières de défenses est à mettre en place avant une éventuelle attaque. La communication est l’une de ces barrières puisqu’il faut se préparer à engager un échange avec l’attaquant dès le premier jour. Une communication précise, circonstanciée et proportionnée indiquera le niveau de préparation de l’entreprise et potentiellement sa capacité de résilience en cas de crise.

La communication, ou d’ailleurs le refus de communiquer, est donc une arme que l’on doit affûter avant l’attaque et il faudra l’utiliser de manière réfléchie.

La communication est une arme

L’avantage de cette arme est qu’elle ne nécessite pas ou peu d’infrastructures et de moyens. Elle peut être préparée par anticipation et sera adaptée aux différentes étapes et intensité de l’attaque. A chaque étape, (que l’on croit être en mesure de reconnaître), il faut définir sa stratégie de communication, concevoir le support de communication et préparer le média ou le mode de communication. De même, il est important de savoir lire les messages qui sont envoyés par l’attaquant au fil des jours pour tenter de comprendre sa position, son origine culturelle et sa motivation. N’oublions pas que si l’entreprise choisit de ne pas communiquer ouvertement ou faire abstraction des messages reçus, cela doit correspondre à une stratégie de défense qu’il faudra assumer jusqu’au bout ; ne pas communiquer ouvertement est aussi une forme de communication.

Enfin, si le combat peut sembler virtuel, nous ne sommes pas dans un jeu vidéo de combat entre deux protagonistes, l’enjeu est de taille et souvent le montant de la rançon est largement au-dessus d’une amende étatique pour manquement à la protection des données.

Quelles sont les grandes règles à respecter dans cet échange ?

Dans un cyber-combat, il faut prendre en considération plusieurs points importants :

  • On ne tue pas son ennemi ! car il peut se déchaîner contre notre entreprise et le combat est inégal en intensité, en moyens et dans le temps. Il faut plutôt considérer que l’attaquant n’est pas un ennemi mais un adversaire.
  • Les armes de défense doivent être utilisées de manière proportionnelle à l’attaque et il ne faut pas découvrir pas tous ces moyens de défense dès le début, tout comme l’attaquant. Il peut en effet avoir gardé des points d’accès que les équipes techniques n’ont pas (encore) vus !
  • On doit appliquer l’une des stratégies de Napoléon qui consistait à bien connaître son ennemi et bien maîtriser ses armes ; en l’occurrence, il faut chercher à l’identifier, le comprendre et découvrir ce qu’il recherche. Cette action est facile côté attaquant et compliquée pour la défense car ce dernier est anonymisé par une série de techniques d’offuscation d’adresses et d’identifiants. Heureusement, la communauté des experts cybersécurité partagent leurs expériences et les techniques d’attaque s’appuyant sur les matrices du https://attack.mitre.org/ nous aident à reconnaître l’attaquant.
  • Lorsque l’on a compris l’objectif recherché par l’attaquant, on doit tenter de le devancer en le conteneurisant et/ou en le déroutant, voire en le décourageant. Cette stratégie est essentielle et peut correspondre en la recherche d’une MESORE (MEilleure SOlution de REpli) ou comment sortir de crise avec le moins de coût et de perturbation pour son entreprise en tout cas.
  • Il faut savoir décoder les différentes étapes de l’attaque ; s’agit-il d’une exfiltration de données ou d’une demande de rançon avec utilisation d’une charge (chiffrement de données) ou de chantage sur les réseaux sociaux.
  • Enfin, on (les équipes de la défense) doit savoir résister à la pression psychologique de l’attaque ; même si on perd des batailles, il faudra se relever, apprendre des faiblesses identifiées lors du combat et continuer. Celui-ci n’est peut-être pas terminé[1].

Le cas d’attaque de type « fraude au président » sont plus simple puisqu’il n’y a pas de retour possible de l’argent volé. La communication est donc réduite.

La stratégie de communication

On constate que beaucoup d’entreprises attaquées ne communiquent pas (directement) avec l’attaquant. Ce choix stratégique doit s’appuyer sur la préparation de communications officielles en amont et qui seront utilisées lors de l’attaque. L’attaquant recevra alors un message comme quoi cette entreprise est préparée à l’attaque … et saura peut-être mieux qu’une autre se défendre.

Dans d’autres cas, ce sera une tentative de négociation du montant de la rançon et donc un message envoyé via l’adresse mail ou le site internet de l’attaquant[2].

Engager la négociation

Avant toute chose, on ne négocie pas avec une machine mais avec un humain.

La première étape de la négociation est de vérifier que chacun des protagonistes a l’autorité et les moyens pour prendre cette position et trouver la meilleure solution de sortie ou de fin de crise.

La deuxième étape est l’évaluation du préjudice. Dans la négociation du montant pour sortir de crise, on constate très souvent que les Comités de gestion de crise n’estiment pas suffisamment l’impact de la crise et donc le coût de l’arrêt des services ou du vol de données. De plus, on constate que les scénarios de crise avec un arrêt de 8 à 15 jours de fonctionnement sont minimisées par les évaluations de risques imaginant que leur informatique sera capable de réparer en quelques jours ou moins d’une semaine. De fait, le montant de la rançon lorsqu’elle est demandée, leur paraît disproportionné tout comme l’arrêt (blackout) leur paraît inacceptable. Or, cette erreur conduit souvent le négociateur dans une recherche de solution de sortie de crise presque impossible.

Une bonne pratique est donc d’évaluer le coût du préjudice en cas de cyber-attaque lors de la phase de préparation avant l’attaque ; ce qui est compliqué car le coût est proportionnel au temps d’interruption des services de l’entreprise sous la forme d’une courbe qui est fonction des solutions palliatives préparées en cas d’arrêt des services. Concernant le vol de données, et même si des métriques existent, le préjudice est plus difficile à estimer, mais une fourchette haute et basse peut-être estimée en intégrant d’une part la chaîne d’exploitation de la donnée par les employés et d’autre part l’utilisation par un concurrent des données volées.

L’attaque est en cours

Il est important de bien identifier les différentes phases de l’attaque.

Le premier contact est effectué par l’attaquant via la publication d’un message (soit sur leur site de publication, soit directement sur chaque écran des postes de travail chiffrés ou encore directement par SMS sur le portable du président) avec la preuve de l’intrusion dans les systèmes d’information de l’entreprise. En réponse, l’équipe de gestion de crise doit communiquer à ses clients et partenaires de l’interruption des services et des accès aux données de manière humble, aussi transparente que possible, mais déterminée. Cette publication sera aussi reçue par l’attaquant et ce premier message qui indiquera le niveau de préparation à l’attaque de l’entreprise.

La communication est lancée

En parallèle de cette seconde étape de communication, les équipes techniques ont confirmé l’attaque et commencé à contenir le périmètre de l’attaque en consolidant les premiers indices de compromission[3] pour tenter d’identifier l’attaquant avec l’expert cybersécurité. Ce dernier communiquera le maximum d’informations sur l’attaquant au comité de gestion de crise dont l’objectif sera de réduire le plus possible l’impact de l’attaque. Le comité choisira alors la négociation (peut-être pour gagner du temps) ou la totale reconstruction du système d’information si l’équipe technique en a les moyens via une bonne préparation à l’attaque.

Implicitement, lors de la containerisation de l’attaque sur le minimum de services ou applications, les équipes techniques ont commencé à communiquer implicitement avec l’attaquant. En effet, fermer un port (ou restreindre le type de flux) du Firewall montrera à l’attaquant qu’il a été identifié (au moins sur une partie du système). Mais cela montre aussi la préparation des équipes techniques qui avaient anticipé une attaque et mis en place une segmentation du réseau et des applications pour gagner en longévité pendant la crise : forme de résilience du système. Le combat sera d’autant plus difficile pour l’attaquant et c’est l’objectif recherché par la défense.

Dans cette étape, il faut réussir à préciser l’évaluation du préjudice de l’attaque et prendre la décision de payer ou non l’attaquant dans le cas d’un chantage ou demande de rançon. C’est une décision compliquée du comité de gestion de crise qui s’appuie sur une feuille de calcul valorisant les différents enjeux en ayant conscience de la réglementation ou recommandation du pays où sont situées les opérations. On constate que seules les entreprises petites en taille et donc en ressources, n’ont pas d’autre choix pour éviter le blocage de leurs activités et parfois la faillite, de négocier une rançon. Rappelons que si l’entreprise n’a pas choisit de payer, il vaut mieux ne pas essayer de négocier ; cela devrait éviter d’attirer l’attention de l’attaquant en ne donnant pas de suite à cette communication.

D’une manière générale, si l’entreprise ne s’estime pas suffisamment préparée à la gestion de crise, il est largement recommandé de s’appuyer sur des experts dans ce domaine ou une société de services informatiques ayant l’habitude de gérer la communication et peut-être de négocier avec l’attaquant[4].

Comme on le voit, les services techniques vont tenter de réduire l’impact de l’attaque et corriger les failles de sécurité pour remettre en marche les systèmes d’informations. A cette étape, bien que les équipes techniques soient tentées de remonter la piste de l’attaquant, il ne faut pas qu’elles lancent des contre-offensives mais au contraire, qu’elles restent dans leur rôle de défenseurs. Tenter de contrer en attaquant l’organisation cybercriminelle est contraire à la réglementation française et peut aussi attirer beaucoup plus de problèmes de la communauté des criminels.

Une fois que l’entreprise a été touchée par une cyber-attaque, on peut avoir l’impression que le risque est toujours présent ! Dans certain cas en effet, lorsque l’entreprise n’a pas correctement tiré les enseignements et corrigé les failles de sécurité ou encore n’est pas allée revérifier qu’il ne reste plus aucune trace d’intrusion dans ses systèmes, il arrive que les organisation cybercriminelles reviennent ou revendent sur le Darknet des droits d’accès aux SI après une première attaque réussie.

Le chantage (blackmail)

Face aux différents types de chantage suivants, il faut prévoir une communication dédiée :

  • La menace de divulgation d’information contre un montant de crypto monnaie qui est majoré en cas de données à caractère personnel,
  • La pression exercée directement contre les personnes dont l’identifiant a été volé de manière à ce que ces personnes requièrent auprès de l’entreprise le paiement de la rançon,
  • Si l’entreprise n’a pas informé les autorités de régulation du pays dans les temps, l’organisation cyber criminelle peut menacer de divulguer la date effective du vol d’information.

Mais on constate aussi, même s’il n’y a pas vol d’information dans l’entreprise d’origine, que la divulgation d’information d’une entreprise sous-traitante peut être aussi une source de chantage contre celle-ci. Dans ce cas aussi, la préparation d’une réponse doit être prévue.

Se préparer à faire de la communication une arme pour se défendre

La communication est une des armes de défense que toute entreprise doit impérativement préparer avant une cyber-attaque et c’est au moment de la crise et en reconnaissant les étapes de l’attaque qu’il sera intéressant de pouvoir affiner sa stratégie de communication avec son adversaire. Cette négociation n’est pas un jeu, il n’y a pas de retour en arrière possible après chaque message échangé.

D’une manière générale, on constate qu’il faut entre 8 et 15 jours d’arrêt des services et applications avant que les équipes techniques commencent à restaurer les systèmes d’information. C’est en évaluant correctement les conséquences d’une cyber-attaque et en préparant leur communication (y compris les moyens nécessaires pour communiquer) que les entreprises peuvent anticiper les phases de l’attaque de gérer leur communication en ayant connaissance des impacts sur l’attaquant et tenter de rester maître de la négociation.

[1] Il existe des cas, ou une entreprise, n’ayant pas corrigé ses failles, a été attaquée deux fois.

[2] En effet, les organisations cybercriminelles ne se donnent plus la peine de laisser une page d’écran sur les postes verrouillés, elles publient des extraits de données volées sur leur site !

[3] L’un des outils couramment utilisé est celui de l’ANSSI https://dfir-orc.github.io/

[4] https://opforintel.com/fr/ sous la direction de Jérôme Saiz est certainement la société la plus expérimentée, mais d’autres ESN sont aussi en mesure de le faire en particulier celle qui œuvre déjà pour l’entreprise.