Si j'avais interrogé des experts en cybersécurité alors qu'ils se rendaient au travail le 12 mai 2017, la plupart d'entre eux auraient déclaré qu'ils étaient conscients qu'un événement majeur en matière de cybersécurité était imminent.
Cependant, ce jour-là, personne ne s'attendait à ce qu'ils se dirigent vers une situation critique, sous la forme du ransomware WannaCry, la cyberattaque la plus dévastatrice à ce jour, lorsqu'ils se sont rendus à leur bureau respectif en voiture, en train ou en ferry ce matin de printemps.
Nos appareils, systèmes et réseaux sont de plus en plus interconnectés, ce qui signifie que les virus peuvent se déplacer d'un système à l'autre bien plus facilement que par le passé. Mais en l'absence d'événement majeur récemment, la plupart d'entre nous (même un journaliste spécialisé dans la cybersécurité comme moi) sont devenus un peu complaisants. Si l'on ajoute à ces facteurs le nombre d'appareils et de systèmes actifs, le décor est planté.
Cette attaque par ransomware a été le plus grand événement de cybersécurité jamais connu au monde, en partie parce que son impact était plus large son ampleur. Cela a eu d'énormes répercussions sur les entreprises, la politique, la communauté des hackers et la culture de cybersécurité.
Même après la découverte du moyen de neutralisation, le virus a continué à affecter tous les systèmes et toutes les données qu'il rencontrait, attaquant les systèmes informatiques de 300 entreprises dans 150 pays.
Selon la BBC, la Russie a subi le plus grand nombre de tentatives d'infection de tous les pays du monde. La plupart des serveurs essentiels n'ont toutefois pas été touchés, car ils utilisent un logiciel de l'ère soviétique connu sous le nom d'Elbrus. Cependant, l'immunité technique n'a pas empêché le virus de se propager aux ordinateurs du pays. Il a mis hors service des points de terminaison appartenant au ministère de l’Intérieur, aux chemins de fer, aux banques et au principal opérateur mobile Megafon.
Couvrir WannaCry en direct m'a laissé intrigué et plein de questions, même des années plus tard. Chaque fois que l’attaque est devenue un sujet de conversation ces trois dernières années, j’ai entendu les mêmes conclusions : WannaCry était écrasant et a changé notre manière d’aborder la cybersécurité et de percevoir les risques pour les entreprises.
À mon sens, ce sentiment était trop général pour un événement de cette ampleur. J'avais des questions précises. Comment était-ce d’être un professionnel de la sécurité le 12 mai 2017 ? Quel a été l'impact total sur les entreprises et les gouvernements du monde entier ? Comment ce que nous avons appris ce jour-là a-t-il façonné notre environnement actuel en matière de commerce, de technologie et de cybersécurité ?
Je me suis également demandée comment le fait que le monde entier ait suivi l'événement, par l'intermédiaire des médias sociaux et des sites d'information numériques, avait modifié à la fois la réaction et l'impact global. Les chefs d'entreprise et le public ont regardé la couverture médiatique, mais personne ne savait exactement ce qui se passait. Presque tout le monde était d’accord pour dire que cela semblait préoccupant. Je voulais aussi savoir si cela avait renforcé la panique publique ou permis de résoudre le problème plus rapidement.
« Il est toujours aussi important. Il est considéré comme un événement auquel les organisations n'étaient pas préparées. Cela a été un véritable électrochoc pour de nombreuses entreprises », déclare Tracey Nash, responsable du programme de gestion des incidents IBM X-Force. Pour Tracey, le 12 mai 2017 a été le moment où les entreprises ont appris qu’elles devaient considérer le risque lié à la cybersécurité.
Pour savoir exactement ce qui s'est passé et, surtout, pourquoi WannaCry a laissé un cratère dans l'environnement, j'ai parlé aux principaux acteurs qui ont répondu à l'attaque. J'ai passé de nombreuses heures à discuter avec Wendi Whitmore, vice-présidente d'IBM X-Force Threat Intelligence. Je me suis également entretenu avec Christopher Scott, directeur de l'innovation et de la résolution (Office du RSSI) chez IBM, pour connaître son point de vue sur les événements de cette journée et sur la reprise après l'attaque WannaCry.
Ce récit retrace le chemin parcouru pour découvrir ce qui s'est réellement passé lors de ces journées chaotiques il y a trois ans et comment l'impact et l'héritage de WannaCry se perpétuent aujourd'hui.
De nombreuses personnes, y compris les professionnels de la cybersécurité, ont découvert l’attaque via un tweet. Un médecin du système national de santé britannique (NHS) a été parmi les premiers à annoncer la nouvelle de cette attaque massive sur Twitter. D'innombrables collègues ont ensuite montré des photos de leurs écrans d'ordinateur verrouillés, avec le même message : « Oups, vos fichiers ont été cryptés ! ».
À l'époque, les employés du NHS ne se doutaient pas que l'attaque finirait par entraîner l'infection de 70 000 appareils et la fermeture totale d'un tiers des hôpitaux du NHS. L'impact de WannaCry sur le NHS et d'autres hôpitaux du monde entier prouve que la cybercriminalité peut faire des ravages à l'ère de l'Internet des objets médicaux (IoMT). Heureusement, les chercheurs en sécurité clinique ont définitivement établi que le chaos des vers n'avait entraîné aucun décès de patient.
Même ceux qui n'étaient pas devant leur ordinateur ont très vite compris qu'il se passait quelque chose de grave :
Une demande de bitcoin est apparue sur les panneaux d'affichage numérique qui annoncent les arrivées et les départs des trains de banlieue en Allemagne.
Cette formulation exacte a également été affichée sur des dizaines d'écrans de cinéma en Corée du Sud.
À Jakarta, en Indonésie, les patients des hôpitaux ont attendu plusieurs heures pendant que les médecins passaient des systèmes informatiques aux dossiers papier.
Whitmore, qui travaillait alors comme partenaire mondial et responsable de la réponse aux incidents avec X-Force Threat Intelligence, raconte que presque dès le début de l’attaque, son équipe a commencé à se gratter la tête et à se dire : « C’est bizarre. »
Plus précisément, l'équipe de Whitmore a compris qu'elle était confrontée à quelque chose de différent lorsqu'elle a découvert qu'il était littéralement impossible de récupérer les fichiers infectés. Le ransomware ne permettait pas aux pirates de savoir qui avait payé la rançon.
L'une de ses premières priorités était d'obtenir des copies des logiciels malveillants. Elle savait que l'on ne peut pas arrêter quelque chose tant que l'on ne sait pas exactement comment cela fonctionne. Cependant, obtenir les copies et les analyser s'est avéré difficile, en particulier sous la pression de savoir que le monde était en train de s'arrêter progressivement.
WannaCry a été l’attaque de cybercriminalité la plus rapide jamais connue. Les ordinateurs connectés à Internet qui ne sont pas protégés par un correctif peuvent être compromis en quelques minutes et commencer rapidement à propager le ver à travers un réseau. De nombreux articles de presse décrivent des équipes informatiques s'activant pour limiter les dégâts pendant que leurs collègues démarrent leurs ordinateurs professionnels.
Lorsque j'ai demandé à Laurance Dine, responsable mondial chez X-Force Threat Intelligence (qui travaillait à l'époque pour un fournisseur mondial de services gérés), quel était son souvenir le plus marquant de cette journée, il m'a répondu que c'était le téléphone qui n'arrêtait pas de sonner. Chaque personne à l'autre bout du fil était un client paniqué qui avait besoin d'aide. Il a résumé la journée comme étant une « insanité absolue ».
Très rapidement, toute son équipe, y compris d'autres experts en sécurité qui ne faisaient pas partie de l'équipe d'intervention en cas d'incident, s'est retrouvée déployée en première ligne.
« C’était partout et on avait l’impression que tout le monde était impliqué. » Le citoyen moyen savait ce qui se passait avec le ransomware », explique M. Dine. « Ils comprenaient les nouvelles et ce qui se passait, et ils ne pouvaient pas aller à l’hôpital, et la vie des gens en a été affectée. »
Tout au long de la journée, les intervenants chargés de la gestion des incidents ont collectivement annulé leurs projets et se sont préparés à un long week-end de travail intense. Tout le monde observait les entreprises mondiales paralysées par le ver WannaCry.
Ce que nous ignorions tous à l'époque, c'est que le ver qui détruisait tous les systèmes qu'il touchait provenait en réalité d'une vulnérabilité vieille de deux mois, connue sous le nom d'EternalBlue. Une fois que le « Wanna Decryptor » avait réussi à infecter un seul ordinateur sur un seul réseau, WannaCry commençait à se propager aux autres ordinateurs du même réseau tout en recherchant sur Internet d'autres machines non protégées. La vulnérabilité exploitée par EternalBlue a exposé les machines Windows non corrigées à l'infection et a permis la propagation du virus WannaCry.
Les cryptoworms peuvent généralement être détectés rapidement sur les réseaux d'entreprise. Mais WannaCry est restée inaperçue, jusqu'à ce qu'elle ne le soit plus. La détection est quelque chose que de nombreux acteurs de la menace essaient d'éviter à tout prix, en particulier lors d'une attaque très ciblée, mais WannaCry n'en était pas une. Il s'agissait d'une attaque mondiale soigneusement planifiée, destinée à attirer le plus d'attention possible, et c'est exactement ce qui s'est passé.
Dans de nombreux cas, explique M. Scott, la propagation a également été rendue possible par ce qu'il appelle un « réseau M&M ». Dans un cas comme celui-ci, la structure du réseau est rigide à l'extérieur et souple à l'intérieur. Dans un cas comme celui-ci, la structure du réseau est rigide à l'extérieur et souple à l'intérieur. Cela constituait un environnement favorable pour les cybercriminels et les vers. Il souligne qu'une fois que le vers a franchi la couche de protection rigide à la périphérie du réseau, WannaCry a bénéficié d'une grande liberté pour se déplacer dans l'environnement.
Au cours des sept heures qui ont suivi, le « grand ver visqueux » a causé des ravages à l'échelle mondiale jusqu'à ce que les chercheurs en cybersécurité Marcus Hutchins et Jamie Hankins découvrent un mécanisme d'arrêt d'urgence. Deux autres mécanismes de kill switch ont été découverts, rendant finalement le ransomware presque inactif.
Cependant, le long processus de reprise ne faisait que commencer pour 300 entreprises à travers le monde, et aucun d'entre nous ne réalisait l'ampleur des dégâts et la complexité du processus de correction. Nous étions encore en territoire non cartographié, y compris l'équipe de Scott, qui se dépêchait d'appliquer un correctif.
« J’avais besoin de restaurer ces capacités opérationnelles », explique M. Scott. « Mais comment devons-nous procéder à des tests pour nous assurer que les correctifs sont corrects ? Comment pouvons-nous gérer l’acceptation des utilisateurs ? Puis, comment passons-nous à la production ? »
Dans de nombreux cas, l'équipe de Scott a dû contourner les processus de test traditionnels et courir le risque que la précipitation « casse certaines choses ». WannaCry n'offrait pas vraiment d'autres options, ce qui a été l'une des principales causes des dégâts considérables qu'il a causés.
La plupart des professionnels de la cybersécurité savent que WannaCry n’a pas été une réussite financière, et les données sur son bénéfice net montrent qu’il est bien inférieur aux attentes. Les enregistrements de la blockchain révèlent qu'entre mai 2017 et décembre 2019, WannaCry a rapporté aux attaquants un total d'environ 386 000 USD, bien que ce total fluctue en fonction de l'évaluation du bitcoin. Cela représente 1,08 dollar américain ou moins par ordinateur infecté.
Comparé à des virus par e-mail bien plus anciens, uniquement en termes de dollars, c'était presque une bonne affaire. Symantec a estimé à 4 milliards de dollars les pertes financières en 2018 dues à WannaCry, un chiffre probablement plus élevé aujourd'hui. Le virus Conficker a causé plus de 9,1 milliards de dollars de dommages en 2007 et a infecté des millions d'ordinateurs dans le monde entier. En 2004, MyDoom a causé environ 38 milliards de dollars de dommages et a affecté quelque 25 % des e-mails envoyés au cours de l'année.
Ce vers était destiné à faire beaucoup de bruit au lieu de profiter d'une cible unique. Les acteurs de la menace derrière WannaCry ont spécifiquement tiré parti d'un logiciel de comptabilité fiscale ukrainien, un logiciel que le gouvernement a rendu obligatoire pour toute entreprise faisant des affaires en Ukraine, selon Dine. En diffusant une mise à jour logicielle, ils ont réussi à mettre hors service une grande partie de l'infrastructure nationale de l'Ukraine.
La grande majorité des actes de cybercriminalité sont motivés par des raisons financières. Il est rare de rencontrer un ransomware conçu pour semer le chaos sans se soucier des rançons réelles.
Lorsqu'on lui a demandé ce qu'elle considérait comme l'aspect le plus significatif de WannaCry, Mme Whitmore a répondu que tout était significatif.
« Ce fut assurément un véritable électrochoc », déclare Mme Whitmore. « Ainsi, pour toute entreprise qui a vu ces conglomérats mondiaux… qui disposaient de bons programmes et protocoles de sécurité affectés [par le virus], cela a permis de sensibiliser davantage. »
« Ce fut assurément un véritable électrochoc », déclare Mme Whitmore. « Ainsi, pour toute entreprise qui a vu ces conglomérats mondiaux… qui disposaient de bons programmes et protocoles de sécurité affectés [par le virus], cela a permis de sensibiliser davantage. »
Les campagnes plus ciblées sont plus fréquentes à la suite de WannaCry, explique-t-elle. Bien que les attaques ne soient pas toujours contre un seul client, les acteurs de la menace peuvent désormais envoyer de nombreux e-mails de hameçonnage et accéder à 10 clients. À partir de là, elle estime que les acteurs de la menace passent six à douze mois à effectuer une reconnaissance minutieuse des cibles potentielles tout en évitant la détection à l'intérieur du réseau.
Selon Mme Whitmore, ils finissent par déclencher des ransomwares là où ils savent ou soupçonnent qu'ils auront plus de chances d'être payés.
WannaCry est probablement au moins partiellement responsable du vecteur de menace actuel et de la popularité croissante des attaques commerciales par ransomware. Les ransomwares représentaient 39 % de tous les incidents de logiciels malveillants avec perte de données en 2017, selon le rapport 2018 sur les enquêtes en matière de violations de données (DBIR). Depuis, les attaques sont devenues beaucoup plus sophistiquées et coûteuses pour les victimes. Les ransomwares commerciaux sont souvent capables d'échapper aux méthodes de détection.
De nombreuses entreprises touchées disposaient de nombreuses sauvegardes des données, mais celles-ci n'étaient pas toujours récupérables. Dans de nombreux cas, les sauvegardes étaient connectées au réseau et susceptibles d'être bloquées par WannaCry. Dans d'autres cas, les organisations disposaient de backups hors site et n'avaient pas vérifié leur facilité de restauration.
L’incident de mai 2017 a été un tournant pour l’environnement des menaces. WannaCry a eu un impact positif sur la culture de la cybersécurité en entreprise, mais il a également propulsé les ransomwares dans la conscience des acteurs de la menace mondiale. De nombreux acteurs commerciaux de ransomware effectuent désormais des recherches approfondies sur la valeur des données d'une victime si elles sont perdues ou vendues à un concurrent.
Un exemple concret : Mme Whitmore vient de constater une attaque de ransomware contre une entreprise au cours des six dernières semaines. « Les pirates ont demandé une rançon de 25 millions de dollars. Il ne s’agissait pas du tout d’une énorme entreprise », explique Mme Whitmore.
Avant WannaCry, la plupart des dirigeants d'entreprise semblaient adopter une attitude de « cela ne peut pas nous arriver », en particulier en dehors du secteur de la santé. À présent, lorsque j'évoque les ransomwares, les gens sont attentifs. Les dirigeants d'entreprise sont souvent les premiers à aborder le sujet des ransomwares avec moi et d'autres experts en cybersécurité. De mon point de vue, l'un des impacts les plus significatifs du traumatisme et des dégâts causés par WannaCry a été la prise de conscience par les dirigeants d'entreprise que les ransomwares constituaient une menace sérieuse.
Cet événement a également eu un impact significatif sur le rôle de la cybersécurité au sein d'une entreprise et sur le rôle du RSSI au sein du conseil d'administration. Les dirigeants réalisent désormais qu'il est possible de traverser une cyberattaque majeure et d'en sortir renforcé en termes de réputation.
Une entreprise de logistique basée dans l'Union européenne démontre qu'elle n'a subi que peu de dommages à sa réputation à la suite de l'attaque WannaCry. Son PDG a joué un rôle public et s'est adressé directement au public et aux clients dans les jours qui ont suivi l'attaque. La combinaison du vers et du PDG confiant et communicatif a constitué une première étape cruciale vers une culture de cybersécurité d'entreprise fondée sur le partage des responsabilités.
D’innombrables imitateurs et répliques sont survenus après la première attaque de WannaCry. ESET a révélé en mai 2020 que WannaCry représentait 40,5 % de toutes ses détections de ransomware au premier trimestre 2020. Certains pays sont encore disproportionnellement touchés par les répliques de WannaCry parce que les principaux FAI bloquent les domaines des interrupteurs d’arrêt. Certaines de ces infections persistantes sont dues à de mauvaises pratiques d'hygiène informatique. D'autres infections persistent sur des points de terminaison non traditionnels qui sont difficiles à détecter, et encore plus à gérer, pour de nombreuses entreprises.
Il est difficile de déterminer si les entreprises seraient mieux préparées à une attaque mondiale par vers en 2020 qu'elles ne l'étaient en 2017. Toutefois, la plupart des experts avec lesquels je me suis entretenue reconnaissent que l'élément humain de la cybersécurité a considérablement évolué, ce qui devrait donner de l'espoir aux professionnels de la réponse aux incidents.
Cependant, selon ESET, les données du moteur de recherche Shodan ont révélé que près d'un million d'appareils étaient encore vulnérables et non corrigés contre la vulnérabilité EternalBlue en mai 2019. Ce chiffre varie très peu depuis fin mai 2017, ce qui est très inquiétant.
Une enquête récente révèle que 27 % des entreprises internationales ont attribué un incident de violation de données à des vulnérabilités non corrigées. Il est particulièrement préoccupant de constater qu'un pourcentage important d'entre elles n'ont aucune idée précise des points de terminaison de leur réseau qui présentent des risques. Parallèlement, 39 % des entreprises admettent effectuer des analyses de vulnérabilité moins d'une fois par mois. Selon CA Veracode, plus de 70 % des vulnérabilités ne sont toujours pas corrigées après 30 jours.
Le coût de la reprise après une attaque très destructrice s'élevait à 239 millions de dollars, soit 61 fois plus cher qu'un incident moyen impliquant une perte de données.
Scott a constaté des changements positifs majeurs dans la manière dont les organisations abordent les environnements et les points de contrôle afin d'éviter les conditions « hard candy shell » (coque dure) qui ont permis au ver de se propager si rapidement. Les clients envisagent désormais de conteneuriser et de mettre en place des microservices au lieu de fournir aux pirates le type de cible réseau vulnérable qui était courant en 2017 et avant. Cela pourrait être en partie lié à WannaCry, mais est également probablement dû au fait que les périmètres des réseaux d'entreprise ont évolué.
Dans les réseaux actuels, il n'est pas rare de rencontrer de nombreux serveurs qui n'ont pas nécessairement accès aux postes de travail. Les utilisateurs peuvent toutefois accéder aux données dans le cloud via des agents. Le cloud sécurisé ajoute une certaine complexité aux politiques de sécurité et complique certains workflows, mais il a également amélioré la sécurité à bien des égards. L'isolation induite par le cloud signifie que les entreprises ne fonctionnent plus sur un seul grand réseau.
L'abandon des réseaux traditionnels a également eu un impact sur les privilèges des utilisateurs. Scott considère cela comme un avantage majeur dans la défense contre les menaces persistantes avancées (APT) et les comptes privilégiés. Plus important encore, de nombreuses entreprises adoptent désormais des modèles d'accès basés sur la confiance et les besoins, plutôt que de désigner des super-utilisateurs et de redéfinir les privilèges.
Cependant, trois ans après le ver WannaCry, le coût de la reprise après une attaque par ransomware ou APT hautement ciblée atteint des sommets sans précédent. C’est incroyablement déconcertant. L'année dernière, le coût moyen de la reprise après une violation de données s'élevait à 3,92 millions de dollars, selon le rapport 2019 sur le coût d'une violation de données. Le coût de la reprise après une attaque très destructrice s'élevait à 239 millions de dollars, soit 61 fois plus cher qu'un incident moyen impliquant une perte de données.
Les acteurs de la menace sont de plus en plus audacieux et calculateurs lorsqu'il s'agit d'exiger exactement la somme d'argent qu'ils Think que les données d'une victime valent. En 2020, les ransomwares commerciaux n'ont pas vocation à se propager de manière virale sur les réseaux ou à cibler des centaines de milliers de points de terminaison non corrigés. Les acteurs de la menace ciblent plutôt les entreprises susceptibles de payer des rançons de plusieurs millions d'euros.
Les acteurs de la menace se concentrent sur les victimes pour s’assurer qu’ils envahissent tous les systèmes appropriés pour créer un environnement de terreur, souvent en accédant aux serveurs de sauvegarde pour tenter de forcer la main de leur victime à payer la rançon.
Le renforcement de la collaboration a constitué l'un des effets les plus positifs de ces trois dernières années. WannaCry a peut-être joué un rôle de catalyseur dans le renforcement de la collaboration entre les industries, le secteur public et les décideurs politiques internationaux.
J'ai discuté avec Mike Barcomb, directeur de programme chez X-Force Incident Command, afin de connaître son point de vue sur ce changement.
« Les entreprises se sont attachées à mettre en place ces programmes [de réponse aux incidents], mais aussi à collaborer avec leurs pairs et d'autres entreprises du secteur », explique M. Barcomb. « Elles créent une dynamique qui leur permet de partager les meilleures pratiques et les informations sur les cybercriminels, c'est-à-dire ce qu'elles ont observé et ce qu'elles ont vécu.
« C’est très encourageant de voir des entreprises travailler ensemble pour renforcer leurs défenses contre les menaces. »
Selon Kurt Rohrbacher, responsable nord-américain d'IBM X-Force Threat Intelligence, l'élément humain de la préparation est tout aussi important que la préparation technologique pour garantir une bonne hygiène informatique. La meilleure façon pour une entreprise de se préparer à tout incident mondial est de réfléchir à ce qui se passerait en cas de défaillance des contrôles et d'évaluer le poids de chaque décision.
« Les gens ne réalisent pas souvent que les premières heures suivant un incident peuvent déterminer si celui-ci sera résolu en une journée, une semaine, un mois ou, dans certains cas, une année », explique M. Rohrbacher. « Définir très tôt les mesures à prendre en cas d'incident sera déterminant pour la réussite de votre intervention finale. »
Cette affirmation m’a vraiment touchée car nous sous-estimons souvent l’impact du stress et de la panique sur notre capacité de prise de décision. Ces décisions apparemment anodines peuvent faire la différence entre des millions de dollars et des années ou des mois de récupération.
M. Scott m’a dit que cela lui donne de l’espoir de voir les débuts d’un changement dans les indicateurs clés de performance (KPI), un domaine qui le passionne particulièrement. Il demande souvent à son équipe : « Comment suivre les employés et réellement les inciter à faire le travail correctement ? »
Dans le cas des analystes SOC, les indicateurs axés sur la rapidité de résolution et les délais peuvent être contre-productifs. Les analystes SOC peuvent s'égarer s'ils travaillent dans un environnement trop axé sur l'efficacité. Ils peuvent clôturer les tickets avant de terminer une enquête et passer à côté d’une vue d’ensemble, comme le point d’infiltration d’une attaque.
Les habitudes en matière de cyberhygiène et de correctifs ne se sont peut-être pas améliorées depuis mai 2017, mais la plupart des experts s’accordent à dire que nous serions mieux préparés aujourd’hui qu’auparavant, même en dehors des entreprises qui ont déjà été confrontées à des attaques par ransomware. Il s'agit d'un changement dans l'aspect humain de la cybersécurité.
M. Rohrbacher sourit lorsque je lui demande comment les entreprises et les professionnels de la cybersécurité se préparent à faire face à l'imprévu. Il hausse les épaules et dit : « Eh bien, il n'y a rien de tel que la réalité. »
Il m'a dit qu'un incident réel, tel que WannaCry, renforce à la fois la sensibilisation et la préparation. Au-delà de cela, presque tous les experts en intervention à qui j’ai parlé s’accordent à dire que la simulation est cruciale, tout comme les exercices trimestriels sur table et les tests réguliers d’outils de communication sont essentiels pour développer la mémoire musculaire.
Il a cité les simulations d'hameçonnage et les activités de cyber range comme deux moyens pour les entreprises de se préparer à des résultats imprévus. M. Rohrbacher affirme que si un exercice ou un entraînement permet véritablement aux personnes de se mettre dans la situation et les encourage à s'amuser, elles sont plus susceptibles de tirer leurs propres conclusions sur la meilleure façon de réagir.
Je suis constamment frappée par la similitude entre la pandémie actuelle de COVID-19 et l'attaque WannaCry. Les premières heures de l'attaque ont été très similaires à celles de mars 2020, où tout le monde est passé en mode crise pour tenter de gérer une situation sans précédent. Aujourd'hui, alors que la pandémie se prolonge, le sentiment est similaire à celui que nous éprouvons encore aujourd'hui face aux infections WannaCry. La pandémie affecte probablement la plupart d’entre nous à un niveau plus personnel. Mais ces deux crises ont affecté notre vie quotidienne d’une manière que personne n’aurait pu imaginer ou prévoir.
Les principaux enseignements tirés de ces deux événements se résument à la préparation. WannaCry et la pandémie ont pris tout le monde par surprise. Cela soulève la question séculaire de savoir comment se préparer à un événement qui ne s'est jamais produit auparavant.
Lorsque la plupart des gens envisagent la préparation, ils pensent à des plans stratégiques, des simulations, des formations et l'utilisation d'outils, tels que des sauvegardes pour la reprise. Cependant, ces mesures ne vont pas très loin lorsqu’une nouvelle attaque se produit et qu’il n’existe pas de plan pour déterminer ce qui se passe exactement. Je pense qu’il s’agit vraiment d’adopter une nouvelle vision et une nouvelle approche.
Une remarque de M. Rohrbacher me revient sans cesse à l'esprit : « Lorsque vous êtes en pleine crise, tout ce qui ne relève pas de la mémoire musculaire disparaît. »
Il est essentiel que nous soyons en mesure de déployer la technologie, d'élaborer des plans et de mettre en place des options de sauvegarde et de restauration. Cependant, nous devons également nous concentrer sur le renforcement de la confiance et la mémorisation musculaire de chaque intervenant en cas d'incident.
La confiance ne s'acquiert pas en une seule séance d'entraînement ou en cochant une case un jeudi après-midi. Il s’agit d’un changement sous-jacent dans la culture et les processus. La préparation consiste à donner aux individus les moyens de se sentir suffisamment confiants pour prendre les choses en main. Vous voulez que votre équipe respire profondément et dise « OK, je peux le faire », même en cas d'imprévu.
Jasmine Henry a contribué au reportage de ce témoignage.