Dans ce type de cas de figure la vitesse de réaction est primordiale car une compromission implique une mise en danger de tout le système d'information de l'entreprise. De plus, lorsque la compromission provoque un dysfonctionnement du service, un arrêt de longue durée peut être synonyme de pertes financières. Enfin, dans le cas par exemple d'un défaçage de site web (modification des pages), la réputation de toute l'entreprise est en jeu.

Phase de réaction

La phase de réaction est généralement la phase la plus laissée pour compte dans les projets de sécurité informatique. Elle consiste à anticiper les événements et à prévoir les mesures à prendre en cas de pépin.

En effet, dans le cas d'une intrusion par exemple, il est possible que l'administrateur du système réagisse selon un des scénarios suivants :

• Obtention de l'adresse du pirate et riposte ;
• Extinction de l'alimentation de la machine ;
• Débranchement de la machine du réseau ;
• Réinstallation du systèe.

Or, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts) que l'intrusion elle-même. En effet, si le fonctionnement de la machine compromise est vitale pour le fonctionnement du système d'information ou s'il s'agit du site d'une entreprise de vente en ligne, l'indisponibilité du service pendant une longue durée peut être catastrophique.

Par ailleurs, dans ce type de cas, il est essentiel de constituer des preuves, en cas d'enquête judiciaire. Dans le cas contraire, si la machine compromise a servi de rebond pour une autre attaque, la responsabilité de l'entreprise risque d'être engagée.

La mise en place d'un plan de reprise après sinistre permet ainsi d'éviter une aggravation du sinistre et de s'assurer que toutes les mesures visant à établir des éléments de preuve sont correctement appliquées.

Par ailleurs, un plan de sinistre correctement mis au point définit les responsabilités de chacun et évite des ordres et contre-ordres gaspilleurs de temps.

Restauration

La remise en fonction du système compromis doit être finement décrit dans le plan de reprise après sinistre et doit prendre en compte les éléments suivants :

• Datation de l'intrusion : la connaissance de la date approximative de la compromission permet d'évaluer les risques d'intrusion sur le reste du réseau et le degré de compromission de la machine ;
• Confinement de la compromission : il s'agit de prendre les mesures nécessaires pour que la compromission ne se propage pas ;
• Stratégie de sauvegarde : si l'entreprise possède une stratégie de sauvegarde, il est conseillé de vérifier les modifications apportées aux données du système compromis par rapport aux données réputées fiables. En effet, si les données ont été infectées par un virus ou un cheval de Troie, leur restauration risque de contribuer à la propagation du sinistre ;
• Constitution de preuves : il est nécessaire pour des raisons légales de sauvegarder les fichiers journaux du système corrompu afin de pouvoir les restituer en cas d'enquête judiciaire ;
• Mise en place d'un site de repli : plutôt que de remettre en route le système compromis, il est plus judicieux de prévoir et d'activer en temps voulu un site de repli, permettant d'assurer une continuité de service.

Répétition du plan de sinistre

La répétition du plan de sinistre permet de vérifier le bon fonctionnement du plan et permet également à tous les acteurs concernés d'être sensibilisés, au même titre que les exercices d'évacuation sont indispensables dans les plans de secours contre les incendies.