Les organismes d’état CyberMalveillance et FranceNum ont rédigé des guides pratiques à destination des dirigeants et des utilisateurs. Ces guides se veulent pratiques sur la conduite pratique à tenir, en cas d’attaque. Nous vous proposons de les reprendre ici.
Une cyberattaque peut engendrer une surcharge exceptionnelle d’activité et un sentiment de sidération, d’humiliation, d’incompétence, voire de culpabilité susceptible d’entacher l’efficacité de vos équipes durant la crise et même au-delà.
CyberMalveillance
Les impacts d’une cyberattaque
Les conséquences d’une cyberattaque sont systématiquement lourdes, surtout dans les TPE/PME. Dans 80% des cas, c’est le dépôt de bilan dans les 12 mois ! (source Hiscox)
- Perturbations techniques
- Perte financière
- Explosion des démarches administratives chronophages (banque, assurance, police, CNIL, etc.)
- Atteinte à la réputation
- Conséquences juridiques (CNIL, assurance, responsabilité juridique du dirigeant engagée, etc.)
- Impacts humains
Identifier une cyberattaque
Les cyberattaques les plus répandues sont les rançongiciels (ransomwares). Quand ils se manifestent, c’est trop tard, ils sont là depuis un moment. Il faut identifier certains signes :
- Vos outils informatiques ne répondent plus, ou anormalement
- Vos fichiers se modifient en masse et deviennent inaccessibles
- Un document type “ReadMe” apparait
- Votre fond d’écran est modifié, ou des fenêtres “pop-up” intempestives apparaissent
- Des logiciels étrangers sont lancés tels que Process Hacker, IOBit Uninstaller, GMER, PC Hunter, MimiKatz
- Vos logiciels de protection (antivirus, antimalware, etc) sont coupés
Il est trop tard pour les postes infectés !
Vous venez de rejoindre les 54% des entreprises françaises attaquées en 2023 !
Réagir à chaud en 2 étapes
Une cyberattaque est un coup de massue pour le dirigeant, la violence psychologique et le coût financier est bien souvent sous-estimé. Nous ne cessons de le répéter, vous en serez victime un jour, il faut donc être préparé. Il faut prendre du recul et réagir.
NOS CONSEILS
- Ne cédez pas à la panique et à la pression, restez factuel et lucide !
- Ne contactez pas le hacker, ne payez pas !
- N’éteignez PAS les ordinateurs !
- Considérez toutes les machines (PC, serveur, téléphone) et outils de communication comme corrompus !
Étape 1 : Isolez, évitez la propagation
- Coupez les communications (électriquement) : accès internet, commutateurs/switchs, bornes wifi, débranchez les câbles réseaux des ordinateurs, coupez les fonctions internet des smartphones qui ont accès aux mails et au système informatique
- N’éteignez pas les machines corrompues. Les experts auront besoin d’analyser les machines pour éventuellement les sauver, et comprendre par où les attaquants sont rentrés. Il faut préserver les preuves de l’attaque (prenez des photos, des messages, de ce qu’il se passe)
Étape 2 : Alertez
- Prévenez votre service informatique, plus vous agirez rapidement, plus vous diminuerez les dommages. Il enclenchera des mesures d’analyse, des solutions de secours et de continuité d’activité
- Prévenez vos collaborateurs de l’attaque en cours, ne plus utiliser le système d’information, ce qui ne ferait qu’aggraver la situation
- Prévenez votre assurance, qui peut vous apporter un soutien financier et une assistance
- Alertez votre banque au cas où vos informations sensibles soient compromises
- Déposez plainte auprès du commissariat de police ou la brigade de gendarmerie la plus proche
- Notifiez l’incident à la CNIL dans les 72 heures si vos données personnelles sont compromises
- Gérez votre communication pour informer avec le juste niveau de transparence vos administrés, clients, collaborateurs, partenaires, fournisseurs, médias…
Que faire avant ?
On parle évidemment de mesures d’anticipation, de préventif.
La première étape est de réduire la surface d’exposition de votre système d’informations (qui feront l’objet d’un article), pour limiter les attaques. Si vous ne souhaitez pas attendre, nous nous tenons à votre disposition pour échanger à ce sujet.
La deuxième mesure est de disposer d’une solide sauvegarde de vos données pour vous laisser la chance de repartir si un tel sinistre vient à se produire. Pour ça, notre solution DATIGARD PROTECT est l’outil idéal.
La troisième étape est de prévoir une telle situation avec un plan de gestion de crise informatique. C’est une mécanique très cadrée, mais trop lourde pour une TPE/PME. L’Agence Nationale de la sécurité des Systèmes d’informations (ANSSI) à produit un guide synthétique. En réalité, il est question de se poser les bonnes questions :
- Quelles sont mes applications prioritaires qui ne doivent pas s’arrêter ? (Plan de Continuité d’Activité)
- En cas d’arrêt, comment je repars ? (Plan de Reprise d’Activité)
- Combien de données, je suis prêt à perdre ? (PDMA)
- Combien de temps, je peux rester à l’arrêt ? (DIMA)
- Qui je contacte ? Et comment ?
- Quelles politiques de sécurité puis-je mettre en place ? (Maintient en Condition Opérationnel)
Les réponses à ces questions vont amener des questions pratiques, de mode opératoire. Elles vont également permettre de dimensionner une infrastructure adaptée à vos contraintes et vos exigences. Elles vont nécessiter de la documentation.
Et après une attaque ?
Votre sauvegarde a fonctionné ? Les postes, serveurs et environnements mails sont nettoyés ? Vous avez repris votre activité et vous mettez les bouchées doubles pour rattraper le retard ? Parfait ! Mais êtes-vous sûr que la crise est terminée ?!
Une attaque qui a percé est signe d’un trou dans la raquette. Si vous n’avez pas trouvé l’origine de la faille, il est impératif de faire appel à un spécialiste du test de pénétration (ou ethical hacker, ou pirates éthiques) qui seront missionnés de vous attaquer pour trouver la ou les failles.
Il faut s’assurer que les postes sont sécurisés, mettre en place des correctifs, changer les mots de passe, mettre en place une matrice de droits et d’accès, etc. Un de nos spécialistes peut vous accompagner dans cette démarche.
Ce n’est pas terminé, il est temps d’analyser la gestion de la crise. Il faut consigner l’ensemble des actions qui ont été menées dans cette gestion. Il faut entre dans une démarche d’amélioration type PDCA/roue de Deming (Plan, Do, Check, Act ou planifier, déployer, contrôler, agir).
