Aller au contenu principal

Incident cyber : Réponse à un incident

attention

Imprimez et/ou exportez cette fiche reflexe quand vous l’aurez adapté à votre entreprise

Les documents que vous devez avoir en permanence en version papier ou hors ligne sont l’annuaire de l’équipe de gestion de crise, l’annuaire des entités à contacter, le déroulé de traitement de l’incident (ci-dessous), une cartographie du SI, le plan de continuité d’activité et plan de reprise d’activité.

Cette fiche a pour but d’avoir les premiers reflexes lors d’une attaque cyber. Ces réflexes permettent de réagir pendant l’instant et doivent être adaptés au contexte de l’entreprise.

Cette fiche est basée sur rançongiciel qui aurait bloqué l’ensemble de vos données (accès et chiffrement) – NE JAMAIS PAYER LA RANCON

3 axes d’efforts principaux sont à mettre en avant pour ne pas céder à la panique :

  • Prendre en compte l’incident et s’assurer de son isolement. Cela permet en effet de ne pas propager et donc étendre cet incident sur l’ensemble de votre infrastructure ;
  • Mettre en place une cellule de gestion de crise (ouverture immédiate d’une main courante) ;
  • Communiquer en interne et surtout réfléchir au contenu de la communication externe.

L’équipe de crise devra être constituée à minima :

  • Un responsable technique (DSI) : un personnel technique qui doit être capable d’investiguer sur l’incident et d’essayer de trouver une solution pour la résoudre. Il doit être capable également de récupérer toutes les preuves techniques ;
  • Un responsable du service RH qui sera utile pour la communication vers vos employés et la gestion des impacts et conséquences de l’attaque auprès du personnel ;
  • Un membre de la direction : une personne de la direction qui a un pouvoir décisionnel fort ;
  • Un membre du personnel juridique : cette personne devra gérer les points légaux de l’incident (déclarations, amendes, etc.) ;
  • Un responsable de la communication : cette personne devra être capable d’expliquer l’incident aux clients et fournisseurs.

Il est toujours possible de s’appuyer sur les instances qui sont :

  • Le CERT-FR pour les OIV/OSE (Opérateurs d’Importance Vitale/Opérateurs de Services Essentiels) ;
  • Cyber malveillance (outil de diagnostic) pour les petites entreprises ;
  • Si vous ne trouvez par l’origine de l’attaque vous pouvez toujours faire appel à un Prestataire qualifié de Réponse à Incidents de Sécurité (PRIS) ;

Réponse gouvernance

Réponse interne

1. Technique : prévenir l’équipe informatique, le fournisseur en charge la machine ou un professionnel extérieur pour leur demander de l’aide ;

2. Humain : la partie RH doit s’occuper des impacts que l’incident a eu sur le personnel de l’entreprise ;

3. Juridique : les conséquences légales de l’incident doivent être gérées par le service juridique ;

4. Réputationnel : il faut contrôler les dommages occasionnés à la réputation de l’entreprise en maitrisant l’information.

Réponse externe

1. Les clients et les fournisseurs : l’équipe commerciale de votre entreprise doit contacter tous les clients qui seront impactés par l’incident le plus rapidement possible pour prévenir la contagion ;

2. La CNIL : les incidents affectant des données personnelles doivent être déclarés rapidement ; la CNIL peut enregistrer des déclarations préalables d’incident ;

3. L’ANSSI : certains opérateurs de services sont astreints à déclarer leurs incidents à l’ANSSI : les opérateurs de services qualifiés par l’ANSSI, les Opérateurs de Services Essentiels, les Opérateurs d’Infrastructures vitales, etc. Les incidents impliquant des informations classifiées doivent également faire l’objet d’une déclaration à l’ANSSI en complément de celle au FSSI / HFDS ;

4. Police/gendarmerie pour un dépôt de plainte : elle permet de tracer le dommage et de dégager votre responsabilité en cas de propagation de l’incident à d’autres victimes. Une fois en contact avec la S.R.P.J. il faut demander un Investigateur en cybercriminalité qui pourra enregistrer la plainte ;

5. Si votre organisation opère dans un domaine réglementé, vous pouvez être astreint à d’autres obligations de déclaration. Vous trouverez ici les points de contacts et formulaires principaux ;

  • Votre assurance pour :
  • Établir le périmètre et les prestations couverts ;
  • Identifier les prestataires que l’assureur peut recommander ou mandater ;
  • En cas de doute : contactez directement CERT-FR.

Réponse technique

Isoler l’incident

1. Ne pas arrêter ni interagir avec la station. Elle garde les traces de l’incident et permet de conserver un maximum d’informations utiles pour l’analyse ;

2. Déconnecter la machine infectée du SI (débrancher le câble réseau, les câbles de connexion entre machines, désactiver le wifi, les partages réseaux…). Dans le cas d’une intrusion, l’attaquant perdra les accès primaires qu’il a obtenus ; lors d’une infection, le ver ne pourra pas se propager aux autres machines du SI ;

3. Déconnecter les serveurs critiques potentiellement responsables d’une propagation de l’incident ;

4. Désactiver tous les comptes compromis et couper les sessions en cours qui y sont liées.

  • Si le VPN a pu être touché, désactiver les comptes suspects et vérifier les connexions ; Réinitialiser le compte de tous les utilisateurs qui se sont connectés à la machine infectée et surveiller les connexions ultérieures de ces comptes ;

5. Changer tous les mots de passe – au moins des services critiques (comptes administrateur) ;

6. Fermer les services exposés sur Internet en connexion directe avec votre réseau ;

7. Mettre une copie des sauvegardes importantes en sûreté (C’est mieux de le faire avant la crise).

Préserver les traces

1. Mettre en sécurité les journaux d’audit : effectuez des copies hors ligne ou sur des systèmes isolés ;

2. Répertorier précisément les procédures et les résultats ainsi que leur timing dans un document spécifique. Ce référentiel vous servira pour définir la ou les vulnérabilités qui ont rendu l’incident possible et pour la consolidation de la cybersécurité de l’entreprise ;

Enquêter

1. Effectuer et caractériser les constats ;

2. Déterminer la source précise de l’incident ;

3. Déterminer le périmètre concerné :

  • Que détectent les dispositifs de sécurité du système d’informations ?
  • Qu’est-ce qui relie différents sous-systèmes touchés ? Comment un incident peut s’y être propagé ?
  • Quel est le niveau de perturbation des applications et de l’infrastructure ?
  • Certains fichiers ont-ils été rendus indisponibles ?
  • Identifier les impacts et les actions à prendre
  • Les systèmes touchés portent-ils des processus ou des données sensibles ?
  • Les métiers ont-ils une visibilité sur l’incident ? Sont-ils impactés par l’incident ?
  • Quels sont les actifs à mettre en sûreté en cas d’aggravation de l’incident ?
  • Où sont les traces connues et potentielles laissées par un attaquant ?
  • Quelles sont les obligations contractuelles ou réglementaires qui s’imposent à vous ?
  • Une fuite de données a-t-elle eu lieu ? Des données clients sont-elles touchées ?
  • Qui doit être prévenu ? Prévenir les parties prenantes.

Corriger les failles

1. Faites une remise en service progressive et contrôlée après vous être assuré que le système attaqué a été corrigé de ses vulnérabilités et en en surveillant son fonctionnement pour pouvoir détecter toute nouvelle attaque ;

2. Vérifier que tout le système est à jour en termes de correctifs de sécurité ;

3. Remplacer les machines trop vieilles qui ne supportent pas les dernières mises à jour. S’il n’est pas prévu de remplacer le matériel infecté, il faut à minima réinstaller entièrement le système d’exploitation et y intégrer tous les correctifs de sécurité nécessaires (patch) avant la remise en exploitation et la reconnexion de l’ensemble au réseau. Vous ne pouvez le faire que si vous disposez d'une sauvegarde de vos données le plus à jour possible, car toutes les données initiales seront perdues lors de la réinstallation. Au préalable, l’ensemble des mots de passe utilisés par les salariés devront avoir été modifiés en suivant les bonnes pratiques d’utilisation des mots de passe édictées par l’ANSSI.

4. Revoir la politique d’accès extérieur (politique de mot de passe, RDP fermé, anti brute force, plages IP limitées, authentification multifacteur, réseau segmenté, arrivée en DMZ spécifique, …) ;

5. Améliorer les protections (durcissement général, AppLocker, antivirus, filtrage messagerie et/ou proxy, segmentation réseau, pare-feu local, …) ;

6. Restaurer un système intègre :

  • Isoler les fichiers infectés ;
  • Changer les identifiants interne et externe ;
  • Effectuer des tests de restauration des serveurs de sauvegarde disponibles qui n’ont pas et ne peuvent pas être touchés par l’incident avant de les réutiliser ;
  • Bloquer toute possibilité de réitération de l’attaquant et de reprise de l’infection ;
  • Apprendre de la crise.

Sortie de crise

Tirez les enseignements de l’attaque et définissez les plans d’action et d’investissements techniques, organisationnels, contractuels, financiers, humains à réaliser pour pouvoir éviter ou a minima pouvoir mieux gérer la prochaine crise, comme :

  • Pensez à faire des sauvegardes et des mises à jour plus régulières de vos données et de vos applications et faites des tests réguliers de restauration ;
  • Evaluez l’impact business et technique ainsi que les coûts engendrés ;
  • Il est absolument indispensable que le logiciel antivirus soit à jour, tout comme l’ensemble des applications et systèmes d’exploitation installés sur les serveurs et postes de travail ;
  • Installez, configurez et maintenez à jour un pare-feu et un système IDS/IPS ;
  • Sécurisez votre borne d’accès à internet, vos équipements Wi-Fi et vos équipements réseaux (switch) ;
  • Sauf si des mesures adaptées existent, il est prudent d’interdire la connexion d’équipements électroniques personnels aux ordinateurs de bureau (Clé USB, Smartphone …) ainsi que l’utilisation des ordinateurs personnels dans le cadre d’une utilisation professionnelle ;
  • Faites vérifier par un spécialiste l’intégrité de tous les périphériques connectés (Téléphonie, Vidéo surveillance …) ;
  • Sensibilisez vos collaborateurs sur la sécurité des systèmes d’information (Test de phishing, formation …).