Qu’est-ce qu’une « cyberattaque » ?
Une cyberattaque est un acte de malveillance envers des systèmes informatiques. Elle peut cibler différents dispositifs informatiques. Elle peut viser par exemple des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Les cyber risques peuvent affecter les particuliers, les administrations et les entreprises.
Le gouvernement sur sa page web dédiée distingue quatre types de cyber risques :
L’Institut national des hautes études de la sécurité et de la justice propose la définition suivante : « une crise cyber est une crise liée à une attaque cyber qui vise spécifiquement le patrimoine numérique, les infrastructures techniques ou le Système d’Informations d’une entreprise.»
Ceci dit, ces attaques sont encore trop souvent assimilées à des crises IT alors que très souvent elles ont un impact sur tout un corps de métier, sur le fonctionnement, l’organisation du travail, sur la réputation et l’image de la structure ciblée.
Que faire lors d’une cyberattaque ?
1/ Protégez le réseau en déconnectant la machine
En cas de cyberattaque, le premier réflexe à avoir consiste à sécuriser les systèmes informatiques pour empêcher l’attaque de se propager. Il est indispensable de déconnecter la ou les machines impactées et de couper toute connexion (WIFI / réseaux / Bluetooth / câble…).
Pour conserver les traces de la cyberattaque, il est indispensable de maintenir la machine sous-tension.
2/ Informez tous les collaborateurs
Avant d’envisager un plan d’action, il est nécessaire d’informer tous les collaborateurs de l’entreprise afin d’éveiller leur vigilance, mobiliser tous les services et réduire ainsi l’étendue de l’attaque. Bien évidemment, le service informatique est en première ligne et le responsable sécurité doit être informé prioritairement. Le CERT dont dépend l’entreprise ou l’administration doit être alerté.
3/ Faites une copie du disque
La copie du disque est importante en cas de procédure judiciaire. Elle permet de prouver l’état du système au moment de l’intrusion et de démontrer d’éventuelles altérations ou pertes de données.
4/ Actionnez une cellule de crise
Réagir rapidement est une nécessité absolue en cas d’attaque. En interne, une cellule de crise doit être mise en place avec un responsable en charge de la cellule de crise et une équipe.
Le responsable doit identifier les personnes à contacter, les actions à mettre en place, conserver les données… En cas d’attaque, l’entreprise toute entière est impactée c’est pourquoi la cellule de crise doit être composée de collaborateurs du service technique mais également des services administration, RH, commercial, marketing et communication…
Chaque service doit pouvoir être en mesure de communiquer les informations relatives à l’attaque et pouvoir agir en conséquence.
5/ Mettez en place un plan d’action
La première étape pour établir un plan d’action efficace consiste à analyser l’attaque et ses conséquences.
• quel est le type d’attaque?
• quand a-t-elle débuté?
• quels services sont touchés?
• quelles sont les données affectées?
• quelle est la faille dans le système?
6/ Réalisez une copie physique du disque
Si vous souhaitez entamer une procédure judiciaire en déposant plainte, il vous faut faire une copie du disque comprenant :
• le journal des connexions,
• les captures réseaux,
• une copie des disques durs des machines infectées.
7/ Ne rentrez pas en contact avec les pirates
Il est évident que l’entreprise ne doit, en aucun cas, communiquer avec les cybercriminels. Rentrer en contact avec eux, c’est prendre le risque de continuer à fournir des informations, ce qui pourrait aggraver la situation.
8/ Portez plainte
La plainte ne peut être portée que par la direction de l’entreprise qui doit se rapprocher de la gendarmerie ou du commissariat de proximité.
Lors du dépôt de plainte, certains documents seront nécessaires :
• Copie du disque,
• Liste des préjudices subis par l’entreprise,
• Captures d’écran,
• Tous les éléments pouvant être utiles à l’enquête.
9/ Notifiez l’attaque à la CNIL
Selon la RGPD (Règlementation Générale sur la Protection des Données), toute entreprise victime d’une cyberattaque doit notifier l’incident à la CNIL dans les 72 heures si la violation concerne des données à caractère personnel.
Pour en savoir plus, consultez le site de la CNIL.
10/ Procédez à la restauration du système d’exploitation
Prévoyez de réinstaller entièrement votre système d’exploitation. Le service informatique doit apporter des correctifs pour consolider la sécurité avant de reconnecter le système au réseau de l’entreprise.
11/ Faites le bilan de l’opération
Il est essentiel que la cellule de gestion de crise se réunisse pour faire un bilan de la cyberattaque et des actions mises en place.
Ce bilan permettra d’anticiper et d’être plus réactif pour agir en cas de nouvelle crise.
Envie de partager cet article ?
