Comment réagir lors d’une cyberattaque ?
En ligne, vous pouvez trouver une multitude de documents et articles pour sensibiliser et se protéger des cyberattaques. Cependant, quand elles ont lieu, que faire en cas d’attaque informatique ? Ici, on vous liste les étapes clés à réaliser pendant et après une cyberattaque.
Il existe de nombreuses attaques pour les particuliers et les entreprises. Les plus utilisées pour les entreprises sont :
- L’installation de programmes espions et de programmes pirates
- Le phishing : Cette pratique consiste à se faire passer pour une personne de confiance pour obtenir des données personnelles comme les identifiants, les mots de passes et les coordonnées bancaires
- Les dénis de service sur des sites
- Les intrusions
- Le vol d’informations
- Le ransomware : Vos données sont prises en otage contre une rançon à payer par l’entreprise
- Le rebond vers un faux site
- Brute force attaque : Toutes les combinaisons de mots de passe ou de clés sont testées pour pirater un mail, des accès à des logiciels/machines, des données…
Tous les appareils sont concernés par les attaques informatiques : les ordinateurs, les serveurs, les imprimantes, les téléphones…
Pour limiter les impacts dans votre entreprise, il est important de réagir vite et de manière efficace, sans pour autant aller dans la précipitation.
Voici une liste des étapes à réaliser lorsque l’on est confronté à une cyberattaque. Si vous souhaitez consulter les bonnes pratiques pour prévenir les cyberattaques, c’est sur notre article cybersécurité un enjeu.
Que faire pendant et après une cyberattaque ?
Etape 1 : Déconnectez la machine du réseau sans l’éteindre
Lors d’une attaque, la première action à faire est de déconnecter la machine du réseau pour empêcher l’attaque en cours de se propager. Il faut donc couper toute connexion : câble, WIFI, réseaux Bluetooth… Pensez à déconnecter les ordinateurs, les disques externes et terminaux reliés qui peuvent aussi être atteints lors de l’attaque.
Il est nécessaire de laisser les machines sous-tension, cela permet de conserver les traces de l’attaque qui vous seront précieuses pour le dépôt de plainte, alors n’éteignez pas les appareils.
Etape 2 : Informez vos collaborateurs
Tout d’abord, avant de commencer à envisager un plan d’action, il est impératif d’avertir l’ensemble des collaborateurs de l’entreprise de l’attaque que vous êtes en train de subir. Cette alerte permettra de réduire son étendu et de mobiliser tous les services.
Etape 3 : Mettez en place une cellule de crise
Les cybercriminels peuvent infiltrer votre système informatique durant plusieurs jours, il faut donc réagir rapidement. Il est nécessaire, en interne, de nommer un responsable en charge de la cellule de crise. Le responsable doit savoir qui contacter, quelles actions mettre en place, comment conserver les données… Il sera appuyé par une équipe. Il est préférable que l’équipe soit composée de collaborateurs du service technique mais aussi des différents services : administration, commercial, RH, marketing… Chaque service doit pouvoir communiquer des informations relatives à l’attaque et pouvoir agir en conséquence.
Etape 4 : Analysez les faits et planifiez un plan d’action
Avant d’agir, il est nécessaire de définir les limites de cette cyberattaque en se questionnant sur son étendu. Voici les questions à se poser pour construire un plan d’action rapide et efficace :
- De quel type d’attaque s’agit-il ?
- Quand a-t-elle commencé ?
- Qui sont les victimes ?
- Quelles données ont été affectées ?
- Comment est-ce arrivé ?
Ensuite, une fois l’attaque définie et délimitée, il est temps d’agir.
Etape 5 : Faites une copie physique du disque
Si vous souhaitez déposer une plainte par la suite, il est important de faire une copie comprenant :
- Le journal des connexions,
- Les captures réseaux,
- Une copie des disques durs des machines infectées au moment de la découverte de l’intrusion
Avec cette copie, vous aurez collecté les données et pourrez les conserver jusqu’à l’enquête du dépôt de plainte. Parfois, lors de l’analyse des données, certaines sont effacées ou altérées. Avec cette copie, vous conserverez l’intégralité des informations concernant la cyberattaque.
De plus, il est également nécessaire de garder une trace des échanges que vous avez pu avoir avec les tiers pendant toute la durée du traitement de l’incident.
Etape 6 : Neutralisez l’attaque
Pour neutraliser l’attaque, vous avez deux options :
- Votre responsable en charge de la cellule de crise et son équipe technique sont experts et peuvent gérer cette attaque en interne
- Personne n’est apte à neutraliser l’attaque : Contactez un professionnel expérimenté en neutralisation des cyberattaques
Vous pouvez également contacter des organismes et structures qui vous accompagneront :
- ANSII (agence nationale de la sécurité des systèmes d’information)
- CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
- cybermalveillance.gouv.fr
Etape 7 : Ne rentrez pas en contact avec les hackers
Il est impératif de ne pas communiquer avec le cybercriminel, cela pourrait lui fournir davantage d’informations qui feront avancer la propagation de la cyberattaque.
Etape 8 : Notifiez la CNIL
La RGPD (Règlementation Générale sur la Protection des Données) oblige toute entreprise à notifier l’incident à la CNIL dans les 72 heures si l’entreprise a subi une violation de données à caractère personnel. Veuillez consulter le site de la CNIL en cas de doute ou pour notifier votre incident.
Etape 9 : Déposez une plainte
“Les entreprises hésitent à porter plainte, car elles craignent que cela nuise à leur réputation. Or, sans cela, on ne peut traiter policièrement et judiciairement une affaire”, a déclaré le “préfet cyber”. Il est donc important pour toute entreprise de porter plainte pour appréhender les hackers et les empêcher de commettre d’autres délits.
La plainte ne peut être déposée que par la direction de l’entreprise. La direction pourra se rapprocher de la gendarmerie ou du commissariat de proximité.
Lors du dépôt de plainte, certains documents/preuves seront nécessaires :
- Conservez les images de ce que vous voyez (impression d’écran…)
- Listez tous les préjudices que votre entreprise a subi
- Pensez à utiliser la copie du disque réalisée dans l’étape 5
- Munissez-vous de tout élément qui vous semble pertinent : un fichier encrypté suite au virus, des traces informatiques de l’attaque…
Etape 10 : Informez vos clients
Après la cyberattaque, préparez un plan de communication pour rassurer vos clients sur la bonne prise en charge de l’attaque informatique et le traitement par votre entreprise ou un professionnel.
Si vos clients et/ou fournisseurs ont été victimes d’une violation de données personnelles lors de la cyberattaque, il est obligatoire de les informer sur les données qui ont pu être collectées (RGPD). Veuillez retrouver les informations concernant la violation de données sur le site de la CNIL.
Etape 11 : Restaurez le système d’exploitation
Une fois la cyberattaque passée, si vous n’avez pas prévu de remplacer le matériel informatique infecté, il vous faudra réinstaller entièrement le système d’exploitation avec des correctifs de sécurité avant de le reconnecter au réseau de l’entreprise.
Il est préférable de changer l’ensemble des mots de passe des salariés, cela permettra ainsi de se protéger contre le potentiel retour du hacker.
Etape 12 : Faites le bilan de la crise
Enfin, une fois la cyberattaque traitée et clôturée, pensez à faire le bilan. Il est important de prendre du recul sur la gestion de la crise, de lister l’ensemble des actions menées par l’ensemble de l’entreprise.
Ce bilan permettra de vous améliorer et d’être plus réactif et prêt à agir si une nouvelle crise se présente.
Etape 13 : Restez en alerte
Après la crise, il vous faut rester prudent. Pensez à :
- Faire régulièrement des sauvegardes et des mises à jour de vos logiciels
- Sécuriser votre borne d’accès à internet
- Lire notre article sur les bonnes pratiques pour prévenir les cyberattaques
En réalisant toutes ces étapes, vous pourrez gérer la crise dans les meilleures conditions. N’oubliez pas une chose importante : Plus rapide sera votre réaction, moindres seront les dégâts. Soyez rapides, efficaces mais ne vous précipitez pas en sautant des étapes qui pourraient être cruciales.