Avec la recrudescence des hacks, piratages et autres attaques informatiques sur les réseaux des grandes entreprises, des banques ou encore des plateformes gouvernementales, il devient nécessaire de préparer une solide défense informatique. Entre alors en jeu le plan de remédiation, véritable panoramique des faiblesses de votre système informatique, qu'il faudra suivre et respecter pour réduire au maximum votre vulnérabilité en ligne.
C'est quoi un plan de remédiation ?
Un plan de remédiation informatique est un document qui répertorie toutes les faiblesses et vulnérabilités d'un système informatique. Comme un réseau de machines, ou un intranet propre à une entreprise ou une organisation. Il permet d'avoir un plan d'action pour remédier à ces défauts techniques qui passent bien souvent inaperçus. Et pour cause, la plupart de ces failles informatiques n'apparaissent que dans le code, ou lors d'un test d'intrusion, voire d'une mauvaise manipulation.
Le plan de remédiation informatique est rédigé par un spécialiste en cyber security, après avoir opéré un premier tour d'inspection du système et effectué un test d'intrusion. Durant ce test, il va tenter, grâce à des logiciels spécifiques, d'entrer illégalement (entendez sans avoir les droits d'accès) dans votre système pour l'explorer.
Appelée internal audit, cette procédure permet au spécialiste de repérer toutes les failles et faiblesses de votre sécurité informatique. N'ayant pas les droits d'accès, toute information à laquelle il peut accéder est une faiblesse ou une négligence. Il les répertoriera au sein d'un document, avec les solutions et modifications à apporter. Ce premier document issu de l'audit de remédiation servira ensuite au chargé de la sécurité informatique de la société à élaborer le plan de remédiation.
Le plan de remédiation devra contenir la liste exhaustive de toutes les faiblesses du système, selon un ordre de priorité, une solution claire à y apporter, un calendrier avec une deadline ou une date butoir en fonction de l'importance de la faille, et surtout un responsable, chargé du suivi de la procédure. En soi, le document peut prendre plusieurs formes, et il n'en est pas une d'arrêtée. Généralement c'est un simple classeur, mais il peut s'agir d'un document informatique. De nombreux modèles vierges de plans de remédiations sont disponibles auprès des spécialistes de la sécurité informatique.
Quel est l'objectif de la remédiation ?
Le plan de remédiation est donc élaboré et mis en place à la suite de l'audit informatique. Il vise un objectif général de sécurité, divisé en plusieurs autres objectifs secondaires qui le mèneront à bien.
L'objectif général de la remédiation est premièrement d'identifier clairement les problèmes de sécurité, les vulnérabilités structurelles ainsi que les manques de conformité. Il pourra aussi en même temps établir un panorama général des performances et de la fiabilité du système. C'est un outil indispensable à la gestion préventive de crise cyber, car il permet d'en réduire les opportunités pour tout attaquant externe. En même temps, il permet de réduire la faisabilité de tout acte de malveillance interne ou de mauvaise manipulation accidentelle de la part d'un collaborateur.
Le plan de remédiation a ensuite plusieurs objectifs secondaires.
Le premier est la définition d'un plan d'action simple et bien structuré. Ainsi, pour chaque faille et vulnérabilité, le plan devra inclure une solution précise. Par exemple un cryptage ou un surchiffrage pour certaines parties de la base de données jugées sensibles, des correctifs de bugs, des modifications de lignes de codes…
Pour chaque action, le plan devra aussi établir les ressources disponibles et utilisables pour mener à bien la mesure corrective. Cela peut inclure l'achat de nouveau matériel, le recours à une entreprise extérieure, à un expert…
Tous ces objectifs devront être planifiés dans le temps, à l'aide d'un calendrier. Chaque tâche, selon son importance, devra donc avoir une date limite d'exécution pour garantir son efficacité. En effet, en état de vulnérabilité, le temps est compté.
L'un des derniers objectifs du plan de remédiation est de définir les responsabilités de chacun de ses acteurs. Analystes, techniciens, chefs de section, de projet… La responsabilité du plan de remédiation incombe généralement à la direction informatique (DSI) ou au responsable de la sécurité des systèmes d'information (RSSI). Ils peuvent s'appuyer sur l'aide d'experts en sécurité informatique pour élaborer et mettre en œuvre le plan.
Pour chacun des objectifs secondaires, une personne sera chargée de rassembler les ressources et de mener la mesure à son terme. Elle sera en général chargée aussi du suivi des opérations, et de rendre compte en cas de difficultés rencontrées. En suivant ce plan, rien ne devrait être laissé au hasard, et à la fin du calendrier, tous les points relevés par l'audit devraient avoir trouvé une solution.
Un deuxième audit peut le cas échéant venir vérifier l'efficacité des mesures prises et en évaluer les résultats.
Par mesure préventive, le plan de remédiation peut inclure des mesures de formation du personnel à la sécurité informatique et au management de crise. C'est en effet en formant le personnel à être vigilant et à répondre efficacement à une faille de sécurité que l'on obtient les meilleurs résultats à long terme. C'est donc un aspect à ne pas négliger.
Quels sont les types de remédiation ?
Plusieurs types de plan de remédiation existent. On pourrait en définir trois. La remédiation préventive, réactive, et une dernière que l'on pourrait appeler remédiation post critique, ou d'après crise. L'audit de sécurité informatique sera chargé de bâtir le plan de remédiation en fonction de ces trois cas.
La remédiation préventive
La remédiation préventive est généralement la plus importante. Elle repose sur la création d'un environnement informatique sain et sécurisé. Le plan de remédiation préventive inclura donc comme nous l'avons vu des mesures de renforcement des accès, des corrections de failles, du cryptage, de l'isolement de serveurs... pour réduire la probabilité d'une cyberattaque, ou le cas échéant en atténuer les conséquences. La formation et l'apprentissage du personnel sont généralement inclus et demandés par le plan de remédiation préventive.
En effet, chacun devrait être au moins au fait de ce qu'est une cyberattaque, et connaître le vocabulaire utilisé dans ces cas pour savoir de quoi l'on parle. Un déni de service, une intrusion, un virus...
À proprement parler, une cyberattaque est un événement malveillant compromettant la sécurité informatique d'une entreprise ou organisation, et peut en impacter son fonctionnement, voire engager sa responsabilité civile et pénale. Ce qui rend le plan de remédiation d'autant plus indispensable.
Malheureusement, malgré toutes les meilleures précautions, il peut arriver qu'une faille reste dans l'ombre et qu'elle soit exploitée un jour. Ce qui nous mène au second type de remédiation, la plus urgente.
La remédiation réactive
Le plan de remédiation réactive quant à lui est plus à voir comme une fiche réflexe de gestion de crise. En effet, lorsqu'arrive une cyberattaque, la panique gagne vite les différents acteurs du système, et chaque seconde étant désormais importante, il leur faut agir selon un plan bien établi.
Le plan de remédiation devra donc établir une liste de toutes les situations possibles que l'on essaie en principe d'éviter. Une intrusion, une manipulation malheureuse, une attaque DDoS, voire une infection du système par un virus informatique.
En fonction de la situation, il suffira à chaque responsable (voire à chaque collaborateur formé) de suivre scrupuleusement et calmement le plan de remédiation et d'effectuer les manipulations adéquates. Par exemple, débrancher le système du réseau, protéger les données sensibles en les isolant... Dans certains cas il peut même s'agir d'une contre-attaque ou d'une recherche de la source de l'attaque, pour se défendre, gagner du temps et aider les futures investigations. Ce sera surtout le cas pour les très grosses entreprises ou les institutions gouvernementales, leurs pans de remédiation ayant instauré des mesures si fortes qu'il en devient presque dangereux pour un pirate de tenter de s'introduire dans un système, même s'il en connaît une faille exploitable.
La remédiation post-critique
Enfin, après la crise, vient le temps des réparations et des mesures de retour d'expérience.
Le plan de remédiation post-crise inclut donc les mesures à prendre après une cyberattaque ou toute exploitation d'une vulnérabilité.
Il s'agira ici d'un audit et d'une inspection minutieuse de tout le système, pour s'assurer qu'aucune donnée n'est manquante, corrompue, et surtout qu'aucun logiciel malveillant n'a pu être installé durant le temps de la crise. C'est une étape critique, car de celle-ci va dépendre l'efficacité de toutes les autres mesures prises.
L'audit post-crise devra mettre en lumière la faille exploitée, et surtout expliquer pourquoi elle n'a pas été trouvée lors de l'audit préventif. Si la faille était connue, c'est ici qu'interviendra le responsable des mesures, qui devra rendre compte. Cela dit, sa responsabilité ne sera pas engagée outre celle mentionnée par le plan de remédiation. Ainsi, s'il a accompli sa mission, la responsabilité retombera sur le plan en lui-même qui n'avait pas prévu un type de situation.
C'est une situation à éviter et qui est somme toute très rare, les audits étant de manière générale assez exhaustifs. Cela montre en tout état de cause l'importance d'établir un plan de remédiation solide lorsque l'on manipule des données sensibles.