Que faire en cas d’attaques ?

Accroître la flexibilité et la sécurité. - Solution Cloud VM by Upper-Link et Microsoft

1-Stopper net la propagation

Lors d’une cyberattaque, vous devez immédiatement déconnecter du réseau tous les composants (ordinateurs, serveurs, routeurs, téléphones…) infectés, ainsi que les disques externes et autres terminaux reliés. Les pirates ne pourront plus sonder votre système plus en profondeur ni modifier des fichiers. En revanche, n’éteignez pas les terminaux ! Cela risquerait de détruire les preuves de l’attaque, qui seront précieuses en cas de dépôt de plainte.

2-Neutraliser l’attaque

Si vous ne disposez pas d’experts capables de gérer la crise en interne, contactez rapidement des prestataires externes expérimentés en neutralisation des attaques informatiques. Eventuellement, faites appel à votre assureur, ou contacter l’ANSSI, ou cybermalveillance.gouv.fr qui vous guiderons et vous mettrons en relation avec des sociétés spécialisées dans la gestion et la résolution d’incidents informatiques. 

Après avoir déterminé l’origine de l’attaque, ces professionnels feront le nécessaire pour la circonscrire, puis identifieront l’étendue du préjudice, à savoir les données qui ont été volées ou détruites.

3-Conserver les preuves

Afin de déposer plainte, pensez à collecter et conserver avec soin les preuves de la cyberattaque ainsi que tout élément pouvant aider les enquêteurs : le journal des connexions, les captures réseaux, une copie des disques durs des machines infectées au moment de la découverte de l’intrusion… Veillez également à garder une trace des échanges effectués avec des tiers pendant le traitement de l’incident.

4-Déposer plainte

Ne craignez pas de révéler votre cyberattaque, nombreuses sont les entreprises qui en sont victimes. De plus, vous le savez tout se sait rapidement, autant faire preuve de transparence envers vos clients/fournisseurs etc.  Porter plainte est le seul moyen d’appréhender les hackers et de les empêcher de commettre d’autres délits. Le dépôt de plainte s’effectue auprès de la gendarmerie ou du commissariat de proximité.

En parallèle, nous vous conseillons d’établir votre plan de communication pour rassurer vos clients et vos actionnaires. Dans le cas où des tiers (clients, fournisseurs, partenaires…) auraient été pénalisés par le vol ou la perte de données, nous vous conseillons de mettre en place une cellule juridique pour protéger vos tiers mais aussi pour vous protéger des risques de procès que ces tiers pourraient vous faire.

5- Remise à zéro

Vous allez devoir changer tous les mots de passe et restaurer le système d’exploitation.

Tous les mots de passe utilisés par les salariés devront avoir été modifiés, et notamment les mots de passe système et des administrateurs avec une politique forte. Le matériel doit être entièrement réinstallé voir remplacé, avec tous les correctifs de sécurité nécessaires avant de reconnecter l’ensemble au réseau.

Conseil : Il est préférable de créer un réseau sécurisé parallèle et de connecter tous les ordinateurs et composants de votre SI après reformatage sur le nouveau réseau sécurisé.