Communication pour l’Incident Response
«Je conseille de communiquer ouvertement après une attaque par ransomware.»
Après la cyberattaque réussie contre son infrastructure IT, le Département de l’éducation de Bâle-Ville a choisi de passer à l’offensive. Le public a été informé de l’intrusion et de la publication de données confidentielles sur le darknet. À l’occasion d’une interview, Thomas Wenk, responsable IT du Département de l’éducation, nous explique pourquoi les organisations ont tout intérêt à communiquer ouvertement.
Texte: Andreas Heer, Photo: Swisscom
1er décembre 2023
Tout s’est déroulé lors du basculement sur la nouvelle architecture système: début 2023, des cybercriminels se sont introduits dans l’ancien système du Département de l’éducation de Bâle-Ville, via un e-mail d’hameçonnage selon toute vraisemblance. Les hackers ont dérobé plus d’un téraoctet de données, menaçant de les publier sur le darknet – ce qu’ils ont effectivement fait. Chose étrange pour une attaque par ransomware, aucune donnée n’a été cryptée.
Le Département de l’éducation de Bâle-Ville a choisi une réaction peu courante. Il n’a pas répondu à la demande de rançon, mais a dévoilé publiquement l’incident – aux personnes concernées, mais aussi au public via les médias.
Pour la procédure d’Incident Response, Thomas Wenk a fait appel à l’équipe CSIRT de Swisscom. Dans l’interview, il explique pourquoi une communication ouverte lui semble essentielle et en quoi son expérience dans l’IT, notamment comme ancien responsable du Centre de compétence sur la cybercriminalité de la police cantonale de Zurich, l’a aidé à gérer l’incident.
Thomas Wenk explique l'intérêt d'une bonne communication dans l'Incident Response
Thomas Wenk, comment votre expérience dans l’IT et la cybersécurité influence-t-elle l’Incident Response?
C’est une aide précieuse. Parler la même langue, sans besoin d’expliquer les moindres détails, cela accélère les procédures. La compréhension et la confiance mutuelles nous ont beaucoup facilité le travail. De plus, dans mon rôle d’interface avec la direction du Département de l’éducation, j’ai pu leur transcrire les résultats dans un langage clair et compréhensible.
Par ailleurs, ce fut une bonne chose que je n’intervienne pas au niveau technique et que l’incident concerne l’ancienne infrastructure que nous avions reprise telle quelle. J’ai ainsi pu avoir le recul nécessaire pour traiter la situation.
Vous n’avez pas simplement communiqué avec la direction, vous avez rendu l’incident public. Pourquoi cela?
Avant toute décision, nous avons bien sûr discuté des conséquences possibles. Mais pour nous, il était clair dès le départ que nous allions informer activement. Même si s’exposer aussi ouvertement n’est jamais agréable. La population du canton est en droit d’attendre de nous une information transparente, surtout dans pareille situation.
Vous représentez une institution publique. Il devrait être plus facile de s’adresser à la population que pour une entreprise privée, pour laquelle les éventuelles conséquences peuvent être lourdes en termes d’activité et de réputation. Qu’en pensez-vous?
Pour les entreprises, la question est de savoir combien de temps elles peuvent subir le chantage et servir de «vache à lait». En tant que particulier, je peux comprendre qu’elles acceptent de payer. C’est une décision purement comptable: si récupérer les données cryptées coûte plus cher que régler la rançon, alors la réponse est évidente. Même si, comme «client qui paie», elles deviennent ensuite une cible privilégiée pour d’autres cybercriminels.
En nous adressant au grand public, nous avons brisé ce mécanisme, nous mettant du même coup à l’abri du chantage. Bien entendu, tous les services internes concernés ont été informés en amont.
Mais manifestement, de nombreuses entreprises, d’autant plus dans les secteurs sensibles, estiment que le risque et la perte de réputation sont trop élevés pour communiquer ouvertement.
Le calcul est simple: quelle est la probabilité que l’incident reste secret? Et s’il venait à être dévoilé, combien de temps faudrait-il pour s’en remettre? Ce sont les réflexions qui se posent aux entreprises. Et les premières questions peuvent surgir très vite, par exemple quand une modification des mots de passe est subitement imposée. Donc si j’ai un conseil à donner: communiquez ouvertement!
La cybersécurité est aussi un travail d’équipe. Les entreprises et les organisations doivent s’informer mutuellement sur les criminels qui sévissent. En quoi communiquer ouvertement après un incident aide-t-il à créer cette cohésion?
Nous travaillons avec différents organes de la Confédération, comme le NCSC, et avons d’ailleurs fait preuve d’une totale transparence envers eux. J’espère que notre communication ouverte saura aider une organisation dans la même situation.
À mon précédent poste auprès de la police cantonale de Zurich, j’avais déjà été clair: l’être humain n’aime pas perdre. Il est donc important d’apprendre à perdre. Apprendre à faire face aux gens pour leur dire que nous avons été touchés. Nous devons aussi parler de nos échecs et exposer les faits. C’est ainsi que nous aiderons les autres à éviter le même sort. Voilà autant de raisons pour les entreprises de communiquer ouvertement.
Portrait de Thomas Wenk
Depuis avril 2021, le Bâlois Thomas Wenk conduit le service de numérisation et d’informatique du Département de l’éducation de Bâle-Ville. Auparavant, il a passé plusieurs années à la tête du Centre de compétence sur la cybercriminalité de la police cantonale de Zurich, où son équipe s’occupait notamment de la criminalistique numérique, de la cybercriminalité et des enquêtes sur Internet et le darknet. Économiste de formation, Thomas Wenk avait déjà occupé le poste de responsable IT par le passé, lorsqu’il gérait les services informatiques centraux du canton de Bâle-Campagne.