Aller au contenu principal

Que faire en cas de cyber attaque

Introduction

La cybersécurité est aujourd'hui un enjeu majeur pour toutes les organisations, grandes et petites. Face aux menaces croissantes et à l'évolution constante des attaques informatiques, il est primordial que les décideurs et les responsables d'entreprises soient pleinement conscients des risques liés à la sécurité des systèmes d'information.

Ce guide se veut un outil pratique et accessible, conçu pour vous accompagner dans une situation de crise cyber. Nous espérons que ce document vous permettra de prendre des décisions éclairées et d'adopter les meilleures pratiques en matière de cybersécurité pour protéger les actifs numériques de votre entreprise.

Qu'est-ce qu'une cyber attaque ?

On parle généralement de cyber attaque quand il y a intrusion dans un système d’information c’est à dire lorsque une personne a réussi à pénétrer dans le système sans y être autorisée. Si de plus elle parvient à obtenir les droits d’administrateur sur des postes ou serveurs, elle sera alors en bien meilleure position pour en tirer profit. Le schéma ci-dessous décrit de manière non exhaustive les principaux types et vecteurs d’attaque ainsi que leurs possibles conséquences.

Type d'attaqueVulnérabilité exploitéeImpact potentiel
Phishing / Spears phishingVulnérabilité humaineVol / Exfiltration de données
Phishing / Spears phishing  MalwareVulnérabilité humaineVol / Exfiltration de données / Chiffrement de données / Chiffrement sauvegardes
MalwareFaille surface externe / Faille réseau / Faille serveur poste de travail / Faille applicativeVol / Exfiltration de données / Chiffrement de données / Chiffrement sauvegardes
Déni de service distribuéFaille réseauIndisponibilité de services

Au-delà des mécanismes techniques de sécurité , la sensibilisation de vos collaborateurs est le principal rempart contre les cyberattaques.

Quelle marche à suivre ?

Les premières actions à mettre en place

  • Je suis Dirigeant, DAF ou DRH Vous devez alerter immédiatement votre support informatique (service informatique, prestataire, personne en charge) afin qu’il prenne en compte l’incident. Lors d’une cyberattaque, le temps joue contre vous. Plus rapide sera votre réaction, moindres seront les dégâts.

    Vous devez déconnecter du réseau et d’Internet (câble, Wifi, Bluetooth) tous les ordinateurs et/ou matériels infectés (attention aux pertes d’accès à certaines applications externalisées, aux gels de l’envoi de courriels avec l’extérieur, etc.). Vous devez également déconnecter les disques externes/clés USB et les autres périphériques reliés (notamment les périphériques pouvant contenir vos sauvegardes). En revanche, ne pas éteindre les terminaux. Cela risquerait de détruire les preuves de l’attaque, qui seront précieuses en cas de dépôt de plainte.

    Constituez une équipe de gestion de crise afin de piloter les actions opérationnelles (technique, RH, financière, juridique) et les actions de communication (Interne et externe) à venir. Une cyberattaque peut infiltrer votre système pendant plusieurs jours de manière silencieuse.

    Il est donc impératif de réagir rapidement au moment où l’on s’en aperçoit. Il est nécessaire de désigner au préalable un responsable, qui saura qui contacter, quelles actions à mettre en place, comment conserver les données au maximum…Prévoyez des réunions régulières afin de suivre les évolutions de l’attaque. Tenez à jour un registre des événements et des actions réalisées afin de conserver les traces et les mettre à disposition d’éventuels enquêteurs (un simple fichier Excel bien horodaté peut convenir).

    En cas de ransomware il n'est pas conseillé de payer la rançon !! Vous encourageriez les cybercriminels à vous attaquer à nouveau et financeriez leur activité sans garantie qu'ils tiendront leur parole de vous restituer vos données.

  • Je suis du service informatique, prestataire ou expert en cybersécurité Afin de pouvoir déposer plainte, pensez à collecter et conserver avec soin les preuves de la cyberattaque ainsi que tout élément pouvant aider les enquêteurs : journaux de connexions, captures réseaux, copie des disques durs des machines infectées au moment de la découverte de l’intrusion... Veillez également à garder une trace des échanges effectués avec des tiers pendant le traitement de l’incident.

    Faites-vous accompagner : contacter des prestataires spécialisés en cybersécurité si nécessaire.

Pour gérer la crise de l'intérieur

  • Je suis Dirigeant, DAF ou DRH

    • Si vous disposez d’une assurance cyber, déclarez le sinistre auprès de votre assureur qui peut vous dédommager, voire vous apporter une assistance en fonction de votre niveau de couverture assurantielle.

    • Alertez votre/vos banque(s) au cas où des informations permettant de réaliser des transferts de fonds auraient pu être dérobées.

    • Déposez plainte avant toute action de remédiation en fournissant toutes les preuves en votre possession. c’est le seul moyen d’appréhender les hackers et de les empêcher de commettre d’autres délits. Le dépôt de plainte s’effectue auprès de la gendarmerie ou du commissariat de proximité.

    • Cas spécifique du RGPD - Notifiez l’incident à la CNIL dans les 72 h si des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels

      Petit rappel, une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable. A savoir :

      • Données directement identifiantes : nom et prénom, email nominatif, photo…
      • Données indirectement identifiantes : numéro client, numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale…
      • Données combinées qui peuvent permettre l’identification d’une personne physique: voix, achats, centres d’intérêts, déplacements réels ou virtuels, salaire, commentaires, le suivi de temps, les rémunérations, le compte bancaire…

  • Je suis du Service informatique, prestataire ou expert en cybersécurité

    • Mettez en place des solutions de secours pour pouvoir continuer d’assurer les services indispensables. Activez vos plans de continuité et de reprise d’activité (PCA-PRA) si vous en disposez. Supprimez les données exfiltrées si possible.

    • Identifiez l’origine de l’attaque et son étendue afin de pouvoir corriger ce qui doit l’être et éviter un nouvel incident. Être attentif durant cette période, une attaque peut en cacher une autre !

    En parallèle, élaborez un plan de communication pour rassurer vos clients et vos partenaires. Vous pouvez éventuellement mettre en place une cellule juridique si des tiers (clients, fournisseurs, partenaires...) ont été pénalisés par le vol ou la perte de données. Il est également important de communiquer en interne afin de rassurer mais aussi de rappeler les devoirs de confidentialité des collaborateurs afin d’éviter les fuites sur les réseaux sociaux par exemple.

Une cyberattaque peut engendrer une surcharge exceptionnelle d’activité et un sentiment de sidération, d’humiliation, d’incompétence voire de culpabilité susceptible d’entacher l’efficacité de vos équipes durant la crise et même au-delà.

Préparer la sortie de crise

Faites une remise en service progressive et contrôlée après vous être assuré que le système attaqué a été corrigé de ses vulnérabilités et en en surveillant son fonctionnement pour pouvoir détecter toute nouvelle attaque. S’il n’est pas prévu de remplacer le matériel infecté, il faut à minima réinstaller entièrement le système d’exploitation et y intégrer tous les correctifs de sécurité nécessaires (patch) avant la remise en exploitation et la reconnexion de l’ensemble au réseau. Vous ne pouvez le faire que si vous disposez d'une sauvegarde de vos données le plus à jour possible, car toutes les données initiales seront perdues lors de la réinstallation. Au préalable, l’ensemble des mots de passe utilisés par les salariés devront avoir été modifiés en suivant les bonnes pratiques d’utilisation des mots de passe édictées par l’ANSSI.

Tirez les enseignements de l’attaque et définissez les plans d’action et d’investissements techniques, organisationnels, contractuels, financiers, humains à réaliser pour pouvoir éviter ou a minima pouvoir mieux gérer la prochaine crise, comme par exemple :

  • Pensez à faire des sauvegardes et des mises à jour plus régulières de vos données et de vos applications et faites des tests réguliers de restauration

  • Evaluez l’impact business et technique ainsi que les coûts engendrés

  • Il est absolument indispensable que le logiciel antivirus soit à jour, tout comme l’ensemble des applications et systèmes d’exploitation installés sur les serveurs et postes de travail.

  • Installez, configurez et maintenez à jour un pare-feu et un système IDS/IPS

  • Sécurisez votre borne d’accès à internet ,vos équipements Wi-Fi et vos équipements réseaux (switch)

  • Sauf si des mesures adaptées existent , il est prudent d’interdire la connexion d’équipements électroniques personnels aux ordinateurs de bureau (Clé USB, Smartphone …) ainsi que l’utilisation des ordinateurs personnels dans le cadre d’une utilisation professionnelle

  • Faites vérifier par un spécialiste l’intégrité de tous les périphériques connectés (Téléphonie, Vidéo surveillance …)

  • Sensibilisez vos collaborateurs sur la sécurité des systèmes d’information (Test de phishing, formation …)

    Dans le compte rendu de restitution de votre diagnostique vous pouvez trouver un exemple de schéma de réponse à incident.

Une fois la crise terminée

  • Informations utiles

    • Dépôt de plainte : Déposez plainte à la brigade de gendarmerie ou au commissariat de police dont vous dépendez (cette plainte ne peut être déposée que par la Direction de l’entreprise). En cas de préjudice, le dépôt de plainte consolidera votre dossier vis-à-vis de votre assurance ou de votre banque. La démarche peut être initiée soit par téléphone (composez le 17) ou soit sur : https://www.pre-plainte-en-ligne.gouv.fr/., le mieux étant de déposer votre plainte en vous déplaçant physiquement au commissariat local dont dépend le siège de votre entreprise

    • Procédure RGPD : Dans le cas ou des données personnelles ont pu être consultées, modifiées ou détruites pas les cybercriminels, vous devez notifier cet incident à la CNIL suivant la gravité de l’incident. La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

      Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps : Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation ; Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard. Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles. Comment notifier ? Utiliser le service de notification https://notifications.cnil.fr/notifications/index.

      Dans tous les cas, vous devez documenter en interne l’incident en déterminant : la nature de la violation si possible, les catégories et le nombre approximatif de personnes concernées par la violation les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; décrire les conséquences probables de la violation de données ; décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

  • Autres informations

    Sur Assistance aux victimes de cybermalveillance, la plateforme nationale d’assistance aux victimes d’actes de cyber malveillance vous trouverez :

    • Des conseils / vidéos pour sensibiliser votre entourage professionnel ou personnel ;
    • Des services de proximité en cas de dommages causés par une attaque informatique.

    Quelques références de société spécialisées en cybersécurité sur la réponse à incident :