Organiser et mettre en œuvre
les premiers gestes
suite à une cyberATTAQUE
PREMIERS GESTES
Quelques réactions utiles, si vous avez détecté une cyberattaque sur votre système informatique
Pour éviter que l’équipement contaminé propage le malware sur le reste du réseau informatique, il faut le déconnecter ! Prise filaire Ethernet, réseau radio WIFI et Bluetooth, toutes les connexions doivent être coupées afin d’isoler la machine. Elle ne pourra plus communiquer avec l’extérieur et sera ainsi privée d’interaction avec l’attaquant. Surtout, ne pas éteindre la machine avant de prévenir le responsable informatique ou les services judiciaires, vous risquez d’effacer les indices nécessaires à l’enquête.
Faire obstacle à la manifestation de la vérité est puni par la loi, il faut donc conserver les preuves numériques. Ne pas éteindre le système infecté permet de répondre à cet objectif. Suivant l’impact, la stratégie de réponse (plainte et enquête), il faudra faire collecter les preuves par des professionnels assermentés et contacter l’assurance. La preuve numérique doit être aussi probante que la preuve traditionnelle : Intégrité, Traçabilité, Interprétation. Notez et retracez les derniers évènements (ex: installation d’un programme, insertion d’une clé USB, ouverture d’une pièce jointe,…) ce qui permettra, peut être d’identifier le vecteur d’infection et d’agir rapidement.
Garantir la chaîne de la preuve est une des premières conditions de la bonne gestion de la preuve numérique, comme ce l’est pour n’importe quel élément de preuve matériel.
Il s’agit maintenant de neutraliser l’attaquant et de supprimer/récupérer les fichiers compromis pour retrouver l’usage du système et/ou des données. Le passage minutieux et méthodique d’un antivirus peut parfois régler le problème, mais il peut être nécessaire de réinitialiser entièrement le système afin de s’assurer que l’éradication du malware à bien été totalement réalisée.
Vous devez également changer rapidement tous vos mots de passes, à partir d’un ordinateur sain afin de s’assurer que l’attaquant ne pourra plus intervenir sur votre équipement. Déconnectez également toutes les applications et modules externes que vous auriez ajoutés dans le système (ex : modules Twitter, plugin WordPress, …).
Anticiper une cyber attaque peut etre à votre avantage dans cette dernière étape, et notamment la création de jeux de sauvegarde. Restaurer le système et reprendre rapidement l’activité est essentiel pour la survie des entreprises. Installer uniquement les logiciels dont vous êtes certains de l’origine. Prévoir un Plan de Reprise d’Activité (PRA) peut vous être très utile à cet instant. Organisez-vous pour prévoir les scénarios catastrophes, la question n’est pas de savoir si vous allez vous faire attaquer..mais quand ! La mise à disposition de systèmes redondants, de messagerie déportée, d’image disque, de sauvegarde, d’ordinateurs de secours, d’une équipe de gestion de crise vous permettra de retrouver au plus vite une activité normale et de limiter les conséquences (préjudices financier, juridique, d’image,…).
“Etes-vous préparé à gérer une cyber-attaque de grande ampleur ? “
Source : CESIN 2019
- Pas du tout
- Pluôt non
- Pluôt oui
- Tout à fait
ORGANISER LA RéPONSE
Vous subissez une cyberattaque, voici quelques informations utiles qui vous permettrons de réduire vos préjudices
- Anticipez et assurez-vous de détecter l’attaque au plus tôt, vous pourrez ainsi limiter les impacts
- Prévoyez un Plan de Continuité d’Activité, afin de poursuivre l’activité en mode dégradé si besoin
- Mobilisez les équipes suivant les services, tous les postes clés doivent être concernés (Dirigeant, DAF, DRH,DSI/RSSI, …)
- Montez une équipe de gestion de crise cyber et prévoyez les pires scénarios
- Communiquez auprès de vos clients, partenaires, … collaborateurs pour les rassurer
- En cas de fraude bancaire, prévenez votre banque et faites opposition le vite possible
- Portez plainte et faites-vous accompagner par les services de l’état (voir contacts/liens dans la colonne de droite)
- Faites marcher votre (cyber)assurance, si vous en avez une
Objectif principal: retrouver un fonctionnement post-attaque
Pour cela, il est nécessaire de reprendre le dessus sur l’attaquant (détecter/confiner/éradiquer), de mettre à disposition des collaborateurs des solutions temporaires et de reconstruire au plus vite le système d’information (processus, données, …).
Si vous êtes victime d’un rançongiciel, vous pouvez visiter le site No More Ransom, qui vous aidera (peut être) à trouver une clé de déchiffrement.
QUELQUES INDICES …
UNE ATTAQUE EST EN COURS ?
si …des comptes que vous n’avez pas créés sont présents, des programmes s’installent seuls, votre ordinateur ou vos applications mobiles plantent sans arrêt, votre ordinateur est devenu très lent et chauffe, …
ORDINATEUR
- Votre mot de passe ne fonctionne plus,
- Vos connaissances reçoivent des spams de votre part,
- Votre navigateur vous redirige vers des sites internet qui ne vous intéressent pas,
- Votre page de démarrage a changé,
- De fenêtres étranges s’ouvrent inopinément quand vous surfez,
- Un programme demande votre autorisation pour modifier votre système,
- …
SMARTPHONE
- Votre facture comporte des frais vers des numéros surtaxés,
- Des données inexpliquées font leur apparition,
- La batterie se vide très rapidement (plus que normalement),
- Des icônes d’applications que vous n’avez pas téléchargées apparaissent,
- Votre téléphone sonne en continue depuis 2 heures,
- …
SITE WEB
- Le visuel de la page d’accueil à été modifié,
- Des fichiers suspects sont stockés dans les répertoires du site,
- Un morceau de code a été rajouté dans une page web,
- Votre régie publicitaire ouvre parfois des fenêtres malveillantes,
- Une page de votre site redirige vers un autre site,
- Vous n’avez plus accès à l’espace d’administration,
- …
RÉSEAUX SOCIAUX
- Des contenus sont publiés en votre nom
- Votre mot de passe ne fonctionne plus
- Vos données personnelles ont fuité
- …