4. Suivez un protocole en cas de cyberattaque
🔒

4. Suivez un protocole en cas de cyberattaque

En dépit des précautions prises, un cybercriminel a réussi à pénétrer dans votre système d'information, quels sont les bons réflexes ?

💡
Qu’est-ce qu’une crise cyber ?

Elle se définit par la déstabilisation immédiate et majeure du fonctionnement courant de votre entreprise (arrêt des activités, impossibilité de délivrer des services, pertes financières…) en raison d’une ou de plusieurs actions malveillantes sur ses services et ses outils numériques.

Une crise cyber a plusieurs caractéristiques propres :

  • Une double temporalité, avec des impacts immédiats et une remédiation longue pouvant s’étendre sur plusieurs semaines, voire plusieurs mois ;
  • Une absence d’unicité de lieu de réalisation : une attaque peut potentiellement se propager à d’autres organisations en raison de l’interconnexion des SI ;
  • Une complexité parfois forte pour comprendre les objectifs de l’attaquant et attribuer l’origine de l’attaque, ce qui implique l’intervention d’experts.

👉 Retrouvez les chiffres clés des potentiels impacts d’une attaque cyber dans un environnement de PME-ETI en cliquant ici.

🛠
Une attaque cyber, ça se prépare en amont…

Retrouvez notre checklist opérationnelle en cliquant sur les actions ci-dessous :

1. Connaître et maîtriser son SI
2. Formaliser un PCA et PRA
3. Formaliser une stratégie de communication de crise
4. Préparer vos capacités de réponse à incident
5. S’assurer du bon niveau de couverture de votre assurance
6. Mener un exercice de gestion de crise pour se préparer
Les étapes d’une gestion de crise

Il ne faut pas négliger les petits signes dans le cadre d’une cyberattaque, cela peut provenir de l’ensemble des départements et de :

  • Fonctionnement anormal d’un poste de travail : mails d’alerte Office, message étonnant sur Outlook, impossibilité de se connecter à un outil métier…
  • Flux financiers anormaux

PHASE 1 : Protocole à suivre pour avoir les bons premiers réflexes

Alertez immédiatement votre support informatique si vous en disposez afin qu’il prenne en compte l’incident (service informatique, prestataire, personne en charge).
Isolez les systèmes attaqués (postes de travail) afin d’éviter que l’attaque ne puisse se propager à d’autres équipements en coupant toutes les connexions à Internet / réseau local.

Attention, il est essentiel de ne pas éteindre l’appareil touché par l’attaque. En effet, certaines preuves dans la mémoire de l’équipement pourraient être effacées. Les experts en sécurité auront besoin de ces éléments pour analyser l’attaque.

Constituez une équipe de gestion de crise afin de piloter les actions des différentes composantes concernées (technique, RH, financière, communication, juridique…). Cette équipe doit être définie dans vos procédures de réponses à incident (PCA, PRA).
Tenez un registre des évènements et actions réalisées par vos équipes pour pouvoir en conserver la trace à disposition des enquêteurs et tirer des enseignements post-incident.
Préservez les preuves de l’attaque : messages reçus, machines touchées, journaux de connexions…
Prévenez votre hiérarchie et vos collaborateurs ainsi que le responsable de la sécurité, au téléphone ou de vive voix, car l’intrus peut-être capable de lire les courriels.

PHASE 2 : Protocole à suivre pour gérer la crise

Activez vos plans de continuité et de reprise d’activité (PCA-PRA) si vous en disposez.
Exemple d’éléments clés d'un PRA
Déclarez le sinistre auprès de votre assureur qui peut vous dédommager, voire vous apporter une assistance en fonction de votre niveau de couverture assurantielle.
Mobiliser des experts dans l’identification et la résolution d’attaque
Contactez l’Operating Team à operatingteamsiparex@siparex.com
Alertez votre banque au cas où des informations permettant de réaliser des transferts de fonds auraient pu être dérobées.
Déposez plainte avant toute action de remédiation en fournissant toutes les preuves en votre possession.
Identifiez l’origine de l’attaque et son étendue afin de pouvoir corriger ce qui doit l’être et éviter un nouvel incident. Une recherche des traces disponibles liées à la compromission devra être menée. Un équipement n’étant jamais isolé dans un système d’information, des traces de sa compromission doivent exister dans d’autres équipements sur le réseau (pare-feu, routeurs, outils de détection d’intrusion, etc.)
Notifiez l’incident à la CNIL dans les 72 h si des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels.
Faites faire une copie physique du disque du poste et vérifiez l'intégrité du système de sauvegarde.
Gérez votre communication pour informer avec le juste niveau de transparence vos clients, collaborateurs, partenaires, fournisseurs, médias…
⚠️
Ne payez pas payer la rançon car dans 33% des cas, cela ne garantit pas la récupération des données ou le déverrouillage des postes (source ANSSI) ⚠️

PHASE 3 : Protocole à suivre pour sortir de la crise

Faites une remise en service progressive et contrôlée après vous être assuré que le système attaqué a été corrigé de ses vulnérabilités et en en surveillant son fonctionnement pour pouvoir détecter toute nouvelle attaque. C’est ce qu’on appelle la restauration de vos systèmes.
Tirez les enseignements de l’attaque via un retour d’expérience et définissez les plans d’action et d’investissements techniques, organisationnels, contractuels, financiers, humains à réaliser pour pouvoir éviter ou a minima pouvoir mieux gérer la prochaine crise.
🛡️
Que faire en cas d’usurpation d’identité ? voir cet article.
Retour d'expérience sur l'attaque de Ledger
Retour d'expérience sur l’attaque de l’AFNOR

Retour au sommaire