Si les systèmes sont brouillés et que les sauvegardes ne fonctionnent pas, les organisations devront réfléchir à l’opportunité de payer une rançon. Les fournisseurs de cyberassurance peuvent aider à prendre cette décision, explique Weiss.
« Malheureusement, je pense que cela se résume à une décision commerciale à ce stade, si vous n'avez pas le choix, et cela se résume au fait que nous devons remettre ces systèmes en marche parce que nous avons des vies de patients. en jeu », dit-il. « En fin de compte, il y aura peut-être une raison de payer une rançon et de remettre les choses en marche. »
Si les organisations peuvent restaurer elles-mêmes des sauvegardes complètes, il n’est alors pas nécessaire de payer une rançon, explique Weiss.
Lorsque les sauvegardes ne sont pas effectuées ou sont incomplètes, les établissements de santé sont confrontés à une décision commerciale : payer ou non la rançon pour restaurer les systèmes. Les organisations doivent prendre en compte le coût de l'entreprise, comme la durée d'une sauvegarde et la date à laquelle la dernière sauvegarde a été capturée, dit-il.
L’objectif principal d’une cyberattaque est « d’arrêter l’hémorragie », explique Morris. Cependant, débrancher les services essentiels est souvent une réaction excessive pendant cette période, ajoute-t-il.
« Si vous êtes une organisation mature en matière d'opérations informatiques et de cybersécurité, vous arrivez rarement au point où vous devez tout débrancher », explique Morris. « On ne coupe pas un bras entier simplement parce que l'ongle s'est cassé. »
Stone met également en garde contre le débranchement des systèmes afin que vous disposiez de ressources pour enquêter après une attaque.
« Ce que nous ne devrions jamais recommander, c'est de couper l'alimentation d'un système, car une fois que vous faites cela, vous perdez presque la totalité, sinon la totalité, de la capacité médico-légale », explique-t-il. « Alors, laissez un système fonctionner, isolez-le autant que possible. Utilisez des règles de réseau virtuel, tirez physiquement sur les câbles, mais essayez de ne pas les éteindre.
Lorsque les gens paniquent et éteignent tous les systèmes lors d'une attaque, « ce n'est pas de la résilience », dit Morris, « parce que vous n'êtes pas du tout opérationnel à ce moment-là ».
Cyber-résilience après une cyberattaque
Stone prévient que la sauvegarde est trop lente pour être utilisée pour récupérer après une attaque. Il recommande une stratégie de « résilience à plusieurs niveaux ». Les deux premiers niveaux sont constitués d’instantanés rapides à récupérer. Le deuxième niveau d'instantanés est utilisé pour l'examen médico-légal, et le troisième niveau implique la sauvegarde, selon Stone. « Ce niveau de sauvegarde est destiné à la conservation et à la conformité des données à long terme et éventuellement à la récupération d'une application dont vous pouvez vous passer pendant une très longue période. »
« Je recommanderais de prendre pendant trois à sept jours nos instantanés en mode sans échec sur les baies principales », dit-il. « À partir de là, vous mettez en place un niveau intermédiaire de stockage à moindre coût. Vous copiez ces instantanés du niveau principal et vous les conservez aussi longtemps que vous pouvez vous le permettre, de préférence six à 12 mois, car vous les utiliserez ultérieurement à des fins médico-légales.
Selon lui, les organisations devraient se pencher sur la gestion des correctifs, l'analyse des vulnérabilités et la gestion des identités. De nombreuses violations se produisent en raison d'informations d'identification volées et de vulnérabilités non corrigées, note Morris.
En ce qui concerne la gestion des identités, Stone recommande aux organisations de conserver les informations d'identification. « Vous devez vérifier les informations d'identification de l'administrateur, les utiliser pendant un certain temps, puis elles sont à nouveau enregistrées et ces informations d'identification sont alternées », explique Stone.
Le temps qui suit une attaque est utile pour comprendre ce qui s’est passé. Cependant, évitez de pointer du doigt pendant cette période, conseille Morris.
« C'est après une cyberattaque que vous en apprendrez le plus sur vos outils, vos collaborateurs et vos processus », explique Morris. « Vous voulez profiter de ce temps, car il n'y a pas de moment comme celui-là en ce qui concerne les opportunités. »
