Incident cyber : Responsable cybersécurité
Ce document générique est destiné à toutes les personnes qui ont en charge l’administration d’ordinateurs reliés à un réseau de type internet (protocole TCP/IP). Il recense, de manière non exhaustive, les bons réflexes à acquérir lorsque l’on soupçonne une intrusion sur l’un ou plusieurs de ces ordinateurs.
CONFINER LES MACHINES COMPROMISES
1. Déconnexion : Déconnecter le Système d'Information du réseau
Le pirate étant installé dans le SI, il peut piloter les PC à distance et continuer de compromettre vos outils informatiques
2. Isolation : Isoler les machines compromises
Débrancher le câble Ethernet du PC et/ou couper les points d’Accès WIFI afin d��’éviter toute latéralisation de l’attaque
3. Conservation des preuves : Ne pas éteindre les machines compromises
Les systèmes compromis doivent faire l’objet d’une sauvegarde complète avant reconstruction : Copie physique des disques durs et Copie de la RAM qui peut contenir des éléments cruciaux pour l’enquête. Ces techniques de sauvegarde nécessitent des compétences et des outils particuliers > Demander conseil au service enquêteur (Police / Gendarmerie).
Personnes à contacter :
| QUI | POURQUOI | CONTACT |
|---|---|---|
| Votre responsable de sécurité | Il est important d’informer la chaine fonctionnelle SSI pour le suivi et la conduite de l’incident | Mail et numéro de téléphone |
| Votre prestataire informatique | Le prestataire peut avoir potentiellement des interventions à réaliser dans la recherche de l’incident et dans la remédiation de l’incident | Mail et numéro de téléphone |
| La Police ou la Gendarmerie pour déposer plainte | Votre organisme pourrait, dans certains cas, être considéré comme pénalement et civilement responsable des dégâts qui seraient causés par un intrus, à partir de vos systèmes d’information. Votre assureur pourrait exiger un dépôt de plainte pour couvrir les dommages. | Préciser l’adresse mail et/ou numéro de téléphone de la gendarmerie et la police judiciaire la plus proche |
| La CNIL Commission Nationale de l’Informatique et des Libertés | La notification d'un vol ou fuite de données personnelles est une obligation légale | https://notifications.cnil.fr/notifications/index |
| Votre Banque et/ou votre Assureur | En cas de fraude financière votre banquier peut geler les versements des sommes d’argent. Votre Assureur dispose peut-être de moyens techniques pour la remédiation du système d’information | Mail et numéro de téléphone |
| Vos clients et partenaires | En cas de vols de données prévoir un plan de communication pour informer ses clients et partenaires pour limiter l’impact médiatique et le risque de compromission des systèmes de vos contacts (attaque par rebond) | Noms et prénoms responsables. Mail et numéro de téléphone |
| ANSSI Agence Nationale de la Sécurité des Systèmes d’Information | Si vous êtes un OIV ou un OSE vous devez informer l’ANSSI dont vous dépendez. | Formulaire OVI : formulaire-declaration-incident-lpm_anssi.pdf (cyber.gouv.fr) Formulaire OSE : formulaire-incidents-ose_anssi.pdf (cyber.gouv.fr) |
Si vous êtes une entité manipulant des données classifiées, disposant d’un statut d’OIV, d’OSE, de FSN, de PSCE ou PSHE, ou responsable d’un produit ou d’un service qualifié par l’ANSSI, vous devez notifier sans délai tout incident de sécurité au CERT-FR selon les modalités suivantes Notifications règlementaires | ANSSI (cyber.gouv.fr)
INFORMATION A COMMUNIQUER AU SERVICE ENQUETEUR
- Le Contexte de l’incident ;
- Un descriptif de l’architecture du système informatique compromis ;
- L’ensemble des données réseaux sur la période de l’incident (protocoles, statistiques de flux…) ;
- Une copie physique des supports compromis : la copie bit à bit permet de récupérer l’ensemble des données y compris les données effacées ;
- En cas de fourniture de données provenant d’un prestataire de service, il conviendra d’identifier précisément ce dernier qui attestera de leur origine.
AUTRES PLATEFORMES
| www.cybermalveillance.gouv.fr | Assistance et prévention du risque cyber pour les entreprises, les particuliers et les collectivités. | |
| Le site référence les sociétés de service spécialisées en réponse à incident pour les PME | ||
| https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/ | Les bons réflexes en cas d’intrusion sur un système | |
| https://cyber.gouv.fr/prestataires-de-reponse-aux-incidents-de-securite-pris | Prestataires de réponse aux incidents de sécurité (PRIS) | |
| https://www.cert.ssi.gouv.fr/ | Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques | |
| https://www.cybermalveillance.gouv.fr/diagnostic/accueil | Diagnostic en ligne (vous pensez être victime d’un acte de cybermalveillance) | |
| https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action | Portail du ministère de l’intérieur pour signaler des contenus ou comportements illicites sur Internet. |