S.O.S CYBERATTAQUE
S.O.S Cyberattaque

Organiser et mettre en œuvre
les premiers gestes
suite à une cyberATTAQUE

+33 756 833 878

PREMIERS GESTES

Quelques réactions utiles, si vous avez détecté une cyberattaque sur votre système informatique

CONFINER

Pour éviter que l’équipement contaminé propage le malware sur le reste du réseau informatique, il faut le déconnecter ! Prise filaire Ethernet, réseau radio WIFI et Bluetooth, toutes les connexions doivent être coupées afin d’isoler la machine. Elle ne pourra plus communiquer avec l’extérieur et sera ainsi privée d’interaction avec l’attaquant. Surtout, ne pas éteindre la machine avant de prévenir le responsable informatique ou les services judiciaires, vous risquez d’effacer les indices nécessaires à l’enquête.

COLLECTER

Faire obstacle à la manifestation de la vérité est puni par la loi, il faut donc conserver les preuves numériques. Ne pas éteindre le système infecté permet de répondre à cet objectif. Suivant l’impact, la stratégie de réponse (plainte et enquête), il faudra faire collecter les preuves par des professionnels assermentés et contacter l’assurance. La preuve numérique doit être aussi probante que la preuve traditionnelle : Intégrité, Traçabilité, Interprétation. Notez et retracez les derniers évènements (ex: installation d’un programme, insertion d’une clé USB, ouverture d’une pièce jointe,…) ce qui permettra, peut être d’identifier le vecteur d’infection et d’agir rapidement.

Garantir la chaîne de la preuve est une des premières conditions de la bonne gestion de la preuve numérique, comme ce l’est pour n’importe quel élément de preuve matériel.

ÉRADIQUER

Il s’agit maintenant de neutraliser l’attaquant et de supprimer/récupérer les fichiers compromis pour retrouver l’usage du système et/ou des données. Le passage minutieux et méthodique d’un antivirus peut parfois régler le problème, mais il peut être nécessaire de réinitialiser entièrement le système  afin de s’assurer que l’éradication du malware à bien été totalement réalisée.

Vous devez également changer rapidement tous vos mots de passes, à partir d’un ordinateur sain afin de s’assurer que l’attaquant ne pourra plus intervenir sur votre équipement. Déconnectez également toutes les applications et modules externes que vous auriez ajoutés dans le système (ex : modules Twitter, plugin WordPress, …).

RESTAURER

Anticiper une cyber attaque peut etre à votre avantage dans cette dernière étape, et notamment la création de jeux de sauvegarde. Restaurer le système et reprendre rapidement l’activité est essentiel pour la survie des entreprises. Installer uniquement les logiciels dont vous êtes certains de l’origine. Prévoir un Plan de Reprise d’Activité (PRA) peut vous être très utile à cet instant. Organisez-vous pour prévoir les scénarios catastrophes, la question n’est pas de savoir si vous allez vous faire attaquer..mais quand ! La mise à disposition de systèmes redondants, de messagerie déportée,  d’image disque, de sauvegarde, d’ordinateurs de secours, d’une équipe de gestion de crise vous permettra de retrouver au plus vite une activité normale et de limiter les conséquences (préjudices financier, juridique, d’image,…).

“Etes-vous préparé à gérer une cyber-attaque de grande ampleur ? “

Source : CESIN 2019

  • Pas du tout
  • Pluôt non
  • Pluôt oui
  • Tout à fait

ORGANISER LA RéPONSE

Vous subissez une cyberattaque, voici quelques informations utiles qui vous permettrons de réduire vos préjudices

S'organiser pour limiter l'impact

  • Anticipez et assurez-vous de détecter l’attaque au plus tôt, vous pourrez ainsi limiter les impacts
  • Prévoyez un Plan de Continuité d’Activité, afin de poursuivre l’activité en mode dégradé si besoin
  • Mobilisez les équipes suivant les services, tous les postes clés doivent être concernés (Dirigeant, DAF, DRH,DSI/RSSI, …)
  • Montez une équipe de gestion de crise cyber et prévoyez les pires scénarios

Le patrimoine informationnel de l’organisation peut susciter des convoitises et en cas de vol ou d’intrusion, avoir des conséquences importantes et mettre en danger sa pérennité.

Voici les impacts courants :

  • Financier
  • Juridique
  • Commerciale
  • Réputation & confiance

Porter plainte et adopter une communication de crise

  • Communiquez auprès de vos clients, partenaires, … collaborateurs pour les rassurer
  • En cas de fraude bancaire, prévenez votre banque et faites opposition le vite possible
  • Portez plainte et faites-vous accompagner par les services de l’état (voir contacts/liens dans la colonne de droite)
  • Faites marcher votre (cyber)assurance, si vous en avez une

Récupérer la main et redémarrer l'activité

Objectif principal: retrouver un fonctionnement post-attaque

Pour cela, il est nécessaire de reprendre le dessus sur l’attaquant (détecter/confiner/éradiquer), de mettre à disposition des collaborateurs des solutions temporaires et de reconstruire au plus vite le système d’information (processus, données, …).

Si vous êtes victime d’un rançongiciel, vous pouvez visiter le site No More Ransom, qui vous aidera (peut être) à trouver une clé de déchiffrement.

CONTACTEZ-NOUS

Confiez-nous la gestion de l’incident, nous pouvons vous conseiller et intervenir sur place afin d’organiser les opérations en lien avec vos équipes et vos prestataires.

contacts :

BEFTI

Brigade d’enquêtes sur les Fraudes aux Technologies de l’Information.

Dépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de Paris.
Compétence sur Paris et la petite couronne.

Tel : 01 55 75 26 19
Lien vers le site

SDLC & OCLCTIC

Sous-Direction de Lutte contre la Cybercriminalité, Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication.
Dépend de la Direction Centrale de la Police Judiciaire.
Compétence nationale, point de contact international

Tel : 01 47 44 97 55
Lien vers le site

DGSI

Direction Générale de la Sécurité Intérieure.

Enquête sur les crimes et délits pouvant porter atteinte à la sûreté de l’État.
Compétence nationale.

Tel : 01 77 92 50 00
Lien vers le site

Gendarmerie Nationale & C3N

Pôle judiciaire de la gendarmerie nationale.

Centre de lutte contre les criminalités numériques.
Compétence nationale.

Tel : 01 78 47 36 52
Lien vers le site

QUELQUES INDICES …

UNE ATTAQUE EST EN COURS ?

si …des comptes que vous n’avez pas créés sont présents, des programmes s’installent seuls, votre ordinateur ou vos applications mobiles plantent sans arrêt, votre ordinateur est devenu très lent et chauffe, …

ORDINATEUR

  • Votre mot de passe ne fonctionne plus,
  • Vos connaissances reçoivent des spams de votre part,
  • Votre navigateur vous redirige vers des sites internet qui ne vous intéressent pas,
  • Votre page de démarrage a changé,
  • De fenêtres étranges s’ouvrent inopinément quand vous surfez,
  • Un programme demande votre autorisation pour modifier votre système,

SMARTPHONE

  • Votre facture comporte des frais vers des numéros surtaxés,
  • Des données inexpliquées font leur apparition,
  • La batterie se vide très rapidement (plus que normalement),
  • Des icônes d’applications que vous n’avez pas téléchargées apparaissent,
  • Votre téléphone sonne en continue depuis 2 heures,

SITE WEB

  • Le visuel de la page d’accueil à été modifié,
  • Des fichiers suspects sont stockés dans les répertoires du site,
  • Un morceau de code a été rajouté dans une page web,
  • Votre régie publicitaire ouvre parfois des fenêtres malveillantes,
  • Une page de votre site redirige vers un autre site,
  • Vous n’avez plus accès à l’espace d’administration,

RÉSEAUX SOCIAUX

  • Des contenus sont publiés en votre nom
  • Votre mot de passe ne fonctionne plus
  • Vos données personnelles ont fuité
+33 756 833 878
Notre site Web utilise des cookies de services tiers pour améliorer votre expérience de navigation. En savoir plus à ce sujet et comment contrôler les cookies en cliquant sur "Préférences de confidentialité".
Paramètres
Lorsque vous visitez notre site Web, des informations peuvent être stockées via votre navigateur, généralement sous forme de cookies. Vous pouvez modifier ici vos préférences de confidentialité ou via le menu de bas de page et la page Politique de confidentialité. Veuillez noter que le blocage de certains types de cookies peut affecter votre expérience sur notre site Web et les services que nous proposons.
Privacy Policy
Vous avez lu et accepté notre politique de confidentialité
Requis
Google Fonts
Ce site utilise des polices dites Web fournies par Google pour la représentation uniforme des polices.
YouTube
Ce site Web utilise le service YouTube pour fournir une diffusion de contenu vidéo.
Google Maps
Ce site Web utilise le service Google Maps pour fournir l'affichage de carte interactive.
Tracking
Ce site Web utilise le service Google Analytics pour le suivi statistique des visites (Configuré en mode IP Anonyme)
Cookies techniques
Ce site utilise des cookies de session afin d'assurer la sécurité des utilisateurs et la lutte contre la fraude (usurpation de session par ex.)
Requis
Politique de confidentialité