Le 7 mai 2021, un vendredi matin fatidique, Colonial Pipeline, la société qui exploite un important conduit d’approvisionnement en carburant pour l’est des États-Unis, a subi une attaque de ransomware. À l’insu du gouvernement, la société a décidé de suspendre l’exploitation du pipeline pendant qu’elle tentait de déterminer ce qui s’était passé et l’ampleur des dégâts. Cette décision a eu de graves conséquences, transformant un cyberincident en une crise plus grave en quelques jours seulement. Plusieurs milliers de stations-service c’est fini de carburant e prix de l’essence atteint ses niveaux les plus élevés depuis près d’une décennie.
L’interruption des opérations a perturbé les chaînes d’approvisionnement en carburant, provoquant des achats de panique et des pénuries dans les stations-service de plusieurs États. Les rapports faisant état de longues files d’attente et de hausse des prix à la pompe ont illustré les implications concrètes des cybermenaces, soulignant l’interdépendance de nos infrastructures physiques et numériques. Cela a également renforcé la ruée du public vers les stations-service.
En réponse à l’escalade de la situation, le gouvernement américain a pris une série de mesures décisives.
Pour calmer la réaction du public, le secrétaire à la Sécurité intérieure Alejandro N. Mayorkas et la secrétaire à l’Énergie Jennifer Granholm se sont adressés au public américain depuis le podium de la Maison Blanche le 11 mai 2021. La salle de conférence Presse est une petite salle de l’aile ouest qui était remplie d’environ 50 personnes. journalistes, les caméras fonctionnaient dans le dos. C’est ici que les médias se réunissent pour demander des comptes au gouvernement américain envers le public américain en posant des questions perspicaces sur les problèmes les plus importants de l’heure, formant ainsi une formidable scène sur laquelle le monde entier se met à l’écoute. Les deux secrétaires ont expliqué ce que faisait le gouvernement pour atténuer l’impact de l’attaque du ransomware. Eux aussi il a fait appel au public américain qu’« il ne devrait y avoir aucune raison de stocker de l’essence, surtout à la lumière du fait que le pipeline devrait être pratiquement opérationnel d’ici la fin de cette semaine et au cours du week-end ».
Des implications durables
Les implications géopolitiques de l’attaque du ransomware Colonial Pipeline ont été profondes. Ensuite, le président Biden engagé directement avec le président russe Vladimir Poutine, soulignant la gravité de l’incident. Cette crise a également mis en évidence le besoin urgent de plus forte des mesures de cybersécurité, en particulier pour les infrastructures critiques telles que Colonial Pipeline. Cela nous a brutalement rappelé que les cybermenaces ne se limitent pas au monde numérique ; ils peuvent se développer rapidement, provoquant des perturbations et un impact social généralisés. En fin de compte, l’incident du Colonial Pipeline a été un moment décisif.
Cet incident unique a encore aujourd’hui des effets d’entraînement, redéfinissant les rôles que jouent les PDG et les leaders de l’industrie, et façonnera notre façon de penser la cybersécurité pour les années à venir. Il met également en lumière certaines questions importantes que les chefs d’entreprise doivent se poser et souligne comment un cyberincident peut rapidement dégénérer en une crise de sécurité nationale qui requiert l’attention du président des États-Unis. Imaginez ce qui aurait pu se produire si une autre attaque de ransomware d’égale incidence avait eu lieu aux États-Unis fin février ou début mars 2022, quelques jours seulement après que les troupes russes ont envahi l’Ukraine.
La façon dont les PDG envisagent leurs rôles et responsabilités a un effet d’entraînement. Joseph Blount, PDG de Colonial Pipeline dit Les membres du Congrès ont déclaré que payer environ 4,3 millions de dollars en Bitcoin en guise de rançon était « la décision la plus difficile que j’ai prise au cours de mes 39 années dans l’industrie de l’énergie ». Que ce soit pour payer les pirates informatiques et alimenter davantage le cycle criminel des demandes de rançon ou risque une perturbation importante, voire un échec, est un choix impossible.
Les PDG l’ont clairement remarqué. Rares sont ceux qui apprécieraient la marche Canossa vers Washington et le fait d’être sous les projecteurs du Congrès et des médias. Qu’avons-nous appris de cet incident et d’autres incidents clés au cours des deux dernières années ? Voici six recommandations pour les PDG :
1. Faites attention à la façon dont vous communiquez avec le public.
Une ruée sur les banques est l’exemple classique de la façon dont la réaction du public et la psychologie de groupe peuvent aggraver une crise. La ruée vers le papier toilette pendant la pandémie de Covid-19 et la ruée vers les stations-service suite à l’attaque du ransomware soulignent que ce problème ne se limite pas aux institutions financières.
Prêter attention à la manière et à ce que vous communiquez au public ne signifie pas éviter de communiquer avec le public ; au contraire, c’est une nécessité. Toutefois, les entreprises doivent adopter une approche réfléchie. Comme l’illustre l’incident du Colonial Pipeline, cela inclut les entreprises qui ont rarement besoin d’interagir avec le public dans le cadre de leurs opérations quotidiennes, mais qui pourraient devoir le faire de manière inattendue d’un jour à l’autre.
2. Coordonnez-vous avec le gouvernement.
La décision de Colonial Pipeline de fermer son réseau de pipelines devait être prise rapidement, mais il y avait probablement suffisamment de temps pour consulter les experts du gouvernement américain. Mettre le système de pipelines hors ligne signifiait que, qu’il soit ou non infecté, il faudrait des jours pour redémarrer, perturbant ainsi l’approvisionnement efficace en carburant, avec toutes les conséquences qui nécessitaient une action gouvernementale. La coordination avec le gouvernement est cruciale pour éviter que la crise ne s’aggrave involontairement.
3. Sachez qui contacter.
Pour prendre rapidement des décisions éclairées et coordonner leurs activités avec les bonnes personnes, les PDG doivent savoir qui, au sein du gouvernement, est la bonne personne-ressource. Contacter l’OTAN ou l’armée, comme le suggèrent certaines anecdotes au fil des années, n’est pas la bonne réponse.
Cela dit, parfois, le gouvernement ne permet pas aux parties externes d’identifier facilement la personne ou l’agence appropriée, de sorte que le gouvernement a la responsabilité d’apporter des éclaircissements.
4. Ayez un plan en place et exercez-le.
C’est peut-être le point le plus crucial car il fournit un moyen d’accomplir les autres. En plus d’élaborer et d’avoir un plan – idéalement supervisé par le PDG – le plan doit être mis en pratique au moins une fois par an. Des exercices pratiques réguliers aideront la direction et le personnel de l’entreprise à développer la « mémoire musculaire » nécessaire pour répondre efficacement à une crise réelle.
5. Connaissez vos réseaux.
Un PDG devrait idéalement avoir une compréhension de haut niveau de la façon dont les réseaux informatiques d’entreprise et les réseaux de technologie opérationnelle (OT) interagissent. Si les systèmes sont isolés, il n’est pas nécessaire d’arrêter le réseau OT si la compromission se limite au réseau informatique.
Cela dit, l’attaque par ransomware contre Colonial Pipeline a démontré que même la paralysie des réseaux informatiques d’entreprise peut avoir des conséquences importantes. Si une entreprise ne peut plus émettre de factures, ne sait pas qui sont ses clients ni comment les contacter, l’impact réel peut être aussi perturbateur que l’arrêt de la production. Pour tous les lecteurs qui ont été bloqués dans un aéroport parce que le système informatique d’une compagnie aérienne était en difficulté une interruptionvous avez vécu personnellement l’impact perturbateur.
6. Soyez humble et demandez l’aide d’un expert.
La cybersécurité est un terme large qui recouvre un certain nombre de questions très complexes. Bien qu’il existe des points communs et que certains logiciels soient utilisés dans tous les secteurs, la cybersécurité des pipelines est très différente de la cybersécurité dans le contexte du secteur financier, des hôpitaux, des écoles ou des chemins de fer. Après des années de cyberincidents touchant plusieurs secteurs, il est essentiel de reconnaître les limites des connaissances de chacun, y compris celles des experts en cybersécurité. Les PDG ne devraient donc pas hésiter à demander de l’aide à l’extérieur de l’entreprise pour développer, tester ou affiner un plan ou revoir les processus et politiques existants.
En plus de ces recommandations de haut niveau, il existe de nombreuses autres ressources, notamment guides et listes de contrôle pour les PDG, les membres du conseil d’administration et les RSSI qui sont plus détaillés. Le gouvernement américain, la Cybersecurity and Infrastructure Security Agency (CISA), s’en charge également. Stopransomware.gov ET Boucliers en tant que ressources conçues pour que les entreprises puissent les utiliser en fonction de leur niveau de maturité en matière de cybersécurité.
Les chefs d’entreprise, gardiens de la confiance
En plus de renforcer la cybersécurité d’une entreprise dans leur propre intérêt et pour éviter une crise de sécurité nationale, les chefs d’entreprise jouent également un rôle plus important et peuvent être considérés comme des gardiens de la confiance dans la technologie en général. À la base, la cybersécurité est une question de confiance. Les ransomwares et de nombreuses autres cyberattaques exploitent cette confiance. Ils exploitent les cas où quelqu’un clique sur un lien non fiable, télécharge une pièce jointe à partir d’une adresse e-mail inconnue ou reçoit une mise à jour d’un logiciel malveillant.
Ce principe s’étend à la confiance d’une entreprise dans la technologie derrière ses systèmes, ramenant la géopolitique dans le débat. Le rôle des entreprises chinoises par rapport au réseau 5G est un sujet central depuis plusieurs années. Cela a marqué le début d’un débat plus large sur la manière de prendre en compte le risque lors de l’investissement, de l’achat et de l’utilisation de la technologie. Les inquiétudes du gouvernement américain concernant certaines technologies en provenance de la République populaire de Chine sont fondées bien connu. Parallèlement, à Bruxelles et dans d’autres capitales européennes, elle est active discussion un processus de « réduction des risques » est en cours, influencé par les leçons tirées de l’invasion russe de l’Ukraine et de la dépendance de l’Europe.
Les chefs d’entreprise sont au centre de ce débat car ils sont les principaux gardiens de la confiance dans la technologie. Ce dans quoi les entreprises technologiques décident d’investir et la manière dont elles pèsent les coûts par rapport à d’autres avantages, tels qu’une sécurité et une confiance accrues, détermineront la résilience globale d’une société dans son ensemble.
Un autocontrôle pour les PDG
Au fil des années, nombreux sont ceux qui ont mis en garde contre l’augmentation des cybermenaces, et certains ont offert des conseils judicieux sur la façon de renforcer la sécurité et la résilience d’une organisation. Trois questions peuvent aider à déterminer si suffisamment a été fait pour intégrer les recommandations ci-dessus :
- Avez-vous récemment participé à un exercice d’informatique sur table ?
- Les coordonnées de votre responsable de la sécurité des informations sont-elles enregistrées ailleurs que sur votre téléphone ou votre ordinateur professionnel ? (N’oubliez pas que si les réseaux de votre entreprise sont victimes d’une attaque de ransomware, vos appareils de travail peuvent être inaccessibles.)
- Connaissez-vous votre interlocuteur au sein du gouvernement en cas d’incident de cybersécurité ?
Si la réponse est « non » à l’une de ces questions, nous espérons que la lecture de cet article vous inspirera des mesures de suivi : cela contribuera à mieux protéger votre organisation et pourrait prévenir une future crise de sécurité nationale.