Comment bien gérer une cyberattaque ?

Voici les mesures à suivre :
Tenez un registre des évènements et des actions réalisées (une main courante) pour pouvoir en conserver la trace à disposition des enquêteurs et tirer les enseignements de l’incident a posteriori. Noter tout à partir de la date et l’heure de l’attaque (même si possible les événements précédents).

 

Isoler le système

But : 

– Arrêter la propagation de l’attaque à d’autres systèmes sur le réseau et interrompre le contrôle de votre réseau par les hackers.

Comment :

– Laissez les équipements suspects allumés.
(si l’ensemble des fichiers d’une machine ont été chiffrés, son extinction électrique peut réduire les chances de retrouver dans la mémoire de l’équipement des éléments permettant de recouvrer les fichiers chiffrés. Si la machine infectée le permet, il est donc recommandé d’activer la mise en veille prolongée afin de faire cesser l’activité du programme malveillant tout en préservant la mémoire en vue d’une analyse ultérieure).
– Déconnectez immédiatement les équipements suspects du réseau, en retirant le câble réseau et/ou en déconnectant le Wi-Fi, le Bluetooth et toute connexion sans fil sur ces équipements, dans le but d’éviter la propagation de l’attaque.

– Ne pas essayer de modifier ces équipements dans le but de préserver les éléments techniques nécessaires à la compréhension de l’incident puis éventuellement à l’enquête
(malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de chiffrement soit découverte et rendue publique ultérieurement. Aussi, il est important de conserver les données chiffrées).

– Isoler l’intégralité de votre réseau en bloquant toutes les communications vers et depuis Internet. Ainsi, l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement. Cela limitera également l’exfiltration éventuelle de données.

– Déconnectez tous les périphériques externes du poste, tels que les clés USB, les disques durs externes, les appareils mobiles, etc. Certains types de logiciel malveillant peuvent se propager via des périphériques connectés.

– Ne connectez plus aucun appareil sur le réseau
(il est préférable de laisser éteints les équipements non démarrés et d’interdire l’utilisation de supports de stockage amovibles comme clé USB, disque dur externe, etc).

Acquisition des preuves et collecte des journaux

But : 

– Collecter les preuves avant qu’elles ne soient altérées ou supprimées. Les journaux peuvent contenir des informations précieuses sur les activités malveillantes et les vecteurs d’attaque.

Comment :


Créer ou réunir votre cellule de crise

But : 

Cette cellule aura pour but de résoudre les problèmes stratégiques de la crise en gérant la communication interne et externe, en préservant la réputation et en fournissant les éléments nécessaires pour les procédures judiciaires ou réglementaires. Elle sera également chargée d’analyser les conséquences de ces problèmes sur les activités de l’organisation et de coordonner la réponse. Les répercussions d’une telle attaque vont au-delà de la simple perte de données ou du paiement d’une rançon. Il est donc recommandé de mettre en place une cellule de crise indépendante, au plus haut niveau de l’organisation, qui supervisera et exécutera les mesures nécessaires.

Comment :

– Si vous êtes un collaborateur et que vous travaillez dans une entreprise ou une organisation, informez immédiatement votre responsable informatique ou votre équipe de sécurité informatique pour qu’ils puissent prendre les mesures appropriées.
OU
– Contactez immédiatement votre service (ou votre prestataire) informatique pour déclencher la mise en place d’un dispositif adéquat de gestion de l’incident.

– Cette équipe doit être composée de plusieurs piliers (technique, RH, financière, communication, juridique…), mais elle ne doit pas être en confrontation malgré les enjeux différents pour chacun. Prenez en compte les risques psychosociaux. Une cyberattaque peut engendrer une surcharge exceptionnelle d’activité et un sentiment de sidération, d’humiliation, d’incompétence, voire de culpabilité susceptible d’entacher l’efficacité de vos équipes durant la crise et même au-delà.

– En fonction des impacts, constituez rapidement une équipe pour gérer les conséquences de la cyberattaque en vous appuyant sur le guide Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique. Préparez une stratégie de communication adaptée au sujet spécifique cyber en vous appuyant sur le guide Anticiper et gérer sa communication de crise cyber.

– Ne pas hésiter à se faire assister par un prestataire spécialisé dans la gestion de crise ou dans la réponse aux incidents de sécurité qui vous aidera à vous organiser et à prioriser les différentes actions.

– Activez vos plans de continuité et de reprise d’activité PCA-PRA (si vous en disposez), pour pouvoir continuer d’assurer les services indispensables.

Communiquer

But :

– Lors d’une crise, il est essentiel de ne pas négliger la communication, car cela peut être une opportunité si le public est satisfait des informations reçues. En situation de crise, la gestion de l’information est plus importante que la simple communication. Il faut travailler de manière transversale et prendre des décisions rapides en adaptant les messages. De plus, il est nécessaire de communiquer distinctement en interne. Il faut trouver le juste équilibre pour ne pas surcharger les équipes techniques et savoir les protéger des pressions des autres services.

Comment :

– Dans le cas des crises cyber, il faut toujours commencer par l’interne : déjà, car les collaborateurs doivent être les premiers informés, ensuite pour fluidifier la remontée d’information aux autorités compétentes.

– Mettre en place un nouveau canal de communication pour les communications internes (non adhérent à votre SI actuel). Les hackers peuvent parfois accéder aux emails ainsi qu’à d’autres moyens de communications internes.

– Communiquer en interne sur les actions que doivent prendre les utilisateurs et les procédures à mettre en place.

– Communiquer régulièrement en interne et en externe. Gérez votre communication pour informer avec le juste niveau de transparence vos administrés, vos clients, vos collaborateurs, vos partenaires, vos fournisseurs, médias…

– Il est également important de demander aux collaborateurs de respecter la confidentialité et de transmettre toutes les sollicitations extérieures au service communication de l’entreprise ou au dirigeant responsable.

– Formaliser une stratégie de communication, c’est éviter de noyer la DSI sous l’effet sidération avec de nombreux appels inopportuns. Prévenir, c’est maintenir la confiance. Il faut donc préétablir des messages ciblés destinés à prévenir l’ensemble des interlocuteurs, des collaborateurs, des clients, des partenaires, fournisseurs….

 

Ne pas payer la rançon

But : 

– Il est recommandé de ne jamais payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels. Par ailleurs, l’expérience montre que l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés. En particulier, les fichiers modifiés par une application et chiffrés dans le même temps par le rançongiciel ont de fortes chances d’être corrompus (exemple : un fichier de base de données).

Comment :

– Éviter les négociations parallèles et ne pas activer une entreprise de ‘remédiation’ sans coordination avec les forces de l’ordre.

Déposer plainte

But : 

– D’une part, un dépôt de plainte permet de réaliser une enquête suivie d’une « chasse aux clés » à l’issue de laquelle il sera éventuellement possible de déchiffrer les données altérées. D’autre part, le dépôt de plainte conditionne généralement la réparation du sinistre et peut permettre d’identifier, d’interpeller et de présenter les auteurs de l’attaque à la Justice.

Comment :

– Notifiez l’incident dans les 72 h à la CNIL (Commission nationale de l’informatique et des libertés), si des données personnelles ont pu être consultées, modifiées ou détruites par l’attaque. https://notifications.cnil.fr/notifications/index
– Déposez plainte auprès des forces de l’ordre (services de police ou de gendarmerie comme le COMCyberGEND). Si vous êtes une OIV (Opérateur d’Importance Vitale), contactez directement l’ANSSI.
– Le dépôt de plainte doit être réalisé au nom de l’entité. Si l’opération est confiée à un collaborateur, il sera nécessaire de préparer une délégation de pouvoir pour cette personne, signée par un représentant légal de la personne morale afin de permettre le dépôt de plainte.
– Le ministère de l’Intérieur ouvrira une plateforme de plainte en ligne en matière d’escroqueries sur Internet appelée THESEE (https://www.service-public.fr/particuliers/vosdroits/N31138).

– Déclarez le sinistre auprès de votre assureur qui peut vous apporter une assistance en fonction de votre niveau de couverture assurantielle.

– Alertez votre banque au cas où des informations permettant de réaliser des transferts de fonds auraient pu être dérobées.