Comment réagir en cas de cyberattaque ?

Tout le monde est susceptible de devoir faire face à une cyberattaque que ce soit à titre professionnel ou à titre personnel. Il est donc essentiel de savoir comment réagir efficacement lors d’une cyberattaque. Dans cet article, nous revenons sur les principales étapes à suivre pour minimiser les dégâts de l’attaque et sécuriser vos systèmes.

Quasiment invisible, physiquement indolore, souvent silencieuse, la cyberattaque représente néanmoins une menace redoutable et potentiellement dévastatrice pour toute entreprise et lorsqu’elle survient, c’est un évènement violent auquel votre entreprise doit faire face.

Face à cette agression numérique, une réponse calme, méthodique et rigoureuse est essentielle. Cet article vise à vous équiper des connaissances nécessaires pour réagir de manière efficace et résiliente en cas de cyberattaque.

Il est important de noter que chaque cyberattaque n’a pas le même scénario. Bien que les conseils présentés ci-dessous soient généralement applicables, ils peuvent nécessiter des adaptations en fonction des circonstances spécifiques de l’attaque que vous rencontrez. L’objectif de cet article est double : sensibiliser à la réalité omniprésente des cybermenaces et fournir des directives essentielles pour une réponse rapide et efficace.

À l’ère du numérique, la question n’est plus de savoir « si » mais plutôt « quand » une attaque se produira. C’est alors que se préparer aux « premiers secours » numériques devient une nécessité impérative pour minimiser les dommages potentiels et contrer efficacement les actions malveillantes des cyberattaquants.

Lorsqu’une cyberattaque est identifiée, vous ne pouvez plus vous fier à votre système d’information. Tant que les contours de cette attaque n’ont pas été déterminés, vous devez considérer que l’ensemble du système a été compromis. Cet état de fait étant posé, l’adoption immédiate d’une politique dite de « Zero Trust » est cruciale.

Le principe de « Zero Trust » repose sur l’idée qu’aucun utilisateur ou appareil ne doit plus être automatiquement considéré comme fiable, même s’il se trouve déjà dans le réseau de l’entreprise.

Dans ce contexte, il est impératif de vérifier systématiquement et de manière continue toute demande d’accès aux ressources de l’entreprise. Cela implique la mise en place de contrôles d’accès stricts et la segmentation du réseau pour limiter les mouvements latéraux potentiels de l’attaquant. Tous les utilisateurs doivent être re-authentifiés, et leurs droits d’accès doivent être réévalués et restreints au strict nécessaire. En outre, la surveillance en temps réel des activités de réseau devient indispensable pour détecter et répondre rapidement à toute activité suspecte. La mise en œuvre de la politique « Zero Trust » après la découverte d’une cyberattaque aide à circonscrire la menace, à minimiser les dégâts et à accélérer la reprise des opérations normales, tout en renforçant les défenses contre de futures intrusions.

Au moment du constat de l’intrusion, vous ne pouvez pas savoir à quel point votre système d’information a été compromis. La première chose à faire est de mettre en place des moyens de communication sécurisés et indépendant de votre système d’information. Vos boites mails ont peut être été infiltrées, vos messages sont peut être lus, interceptés, modifiés, bloqués, etc.

Sans un canal de communication fiable et sécurisé pour échanger avec les principaux acteurs de la contre-attaque, vous risquez au mieux de ralentir considérablement le retour à la normal et au pire de donner des informations utiles à l’attaquant pour infiltrer un peu plus votre système. Des solutions existent, comme Wysam, pour vous permettre de communiquer de façon efficace, avec du chiffrement de bout-en-bout, sans utiliser votre système d’information potentiellement compromis.

Une fois ces canaux de communications établis, vous pouvez commencer à vous défendre.

La première étape est d’identifier que vous faites face à une cyberattaque.

Les signaux d’alerte suivants doivent vous mettre la puce à l’oreille :

• Votre appareil fait preuve d’une lenteur inhabituelle
• Vous ne parvenez pas à vous connecter à certains services ou à votre ordinateur
• Vous voyez apparaitre des fichiers, des modifications ou des suppressions de fichiers que vous n’avez pas faites
• Vous identifiez des accès non autorisés à vos comptes
• Vous repérez des connexions ou des activités inhabituelles sur votre ordinateur
• Vous voyez apparaitre un message sur votre écran vous indiquant que vous avez été piraté ou vous demandant une rançon.
• Vous constatez une augmentation soudaine de l’utilisation du réseau ou du CPU (processeur)
• Vous voyez apparaître des messages d’erreur étranges, incohérents ou en langue étrangère
• Vous remarquez des modifications inexpliquées des paramètres système (ca peut être simplement un changement de fond d’écran) ou des configurations réseau
• Vous découvrez des logiciels ou des applications que vous n’avez pas installés.

La première chose à faire est de respirer un bon coup et de ne pas céder à la panique.

En cas de rançongiciel (ou ransomware pour les plus bilingues), il ne faut jamais payer la rançon demandée. Et pour cause, d’après les statistiques environ 35% des victimes n’ont pas récupéré leurs données et 30% n’en ont pas récupéré plus de la moitié.

Il est également crucial de :

• Documenter tout ce que vous voyez, y compris les messages d’erreur, les adresses IP suspectes, etc. Cela sera utile pour les professionnels que vous solliciterez par la suite.
• Informer immédiatement les autres utilisateurs du réseau (dont vous vous êtes déconnecté) pour qu’ils puissent être vigilants.

Il faut ensuite :

• Arrêter d’utiliser l’appareil
• Déconnecter la machine compromise du réseau
• Éviter d’éteindre ou de redémarrer l’appareil car cela pourrait détruire des preuves essentielles à l’enquête.

En complément, il est recommandé de :

• Faire un inventaire des informations potentiellement compromises. Qu’y avait-il sur votre ordinateur ? A quoi aviez-vous accès depuis cet ordinateur ? Quels étaient les comptes en « connexion automatique » ? Etc.
• Examiner d’autres appareils connectés au même réseau pour détecter d’éventuelles anomalies.

Une fois l’appareil isolé, il faut absolument prévenir votre entreprise et toutes les personnes susceptibles d’utiliser le réseau infecté de la survenance de la cyberattaque.

Il est préférable de privilégier un échange téléphonique ou une information de vive voix car votre attaquant pourrait lire, intercepter et modifier vos emails, voir se faire passer pour l’interlocuteur que vous avez contacté.

Vous pouvez prendre contact avec un prestataire informatique pour vous accompagner dans la gestion de la cyberattaque si nécessaire.

En fonction de la gravité de la cyberattaque, une information à vos clients peut s’avérer nécessaire si l’attaque présente un risque élevé pour leurs données. personnelles.

En plus de prévenir votre entreprise :

• Considérez de contacter les autorités locales ou nationales spécialisées en cybersécurité pour obtenir des conseils.
• Mettez en place des communications sécurisées pour éviter toute interception future.

Selon la gravité de la cyberattaque, vous pourriez être amené à :

• Porter plainte auprès des services de police
• Faire une notification à la CNIL dans les 72 heures, en cas de fuites de données personnelles

Sachez également que la plateforme cybermalveillance.gouv.fr mise en place par l’ANSSI a pour objectif de venir en aide aux victimes d’actes de cybermalveillance.

Elle a pour objectif :

• La mise en relation des victimes avec des prestataires de proximité susceptibles de les assister techniquement ;
• La mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
• La création d’un observatoire du risque numérique permettant de l’anticiper.

En cas de cyberattaque, n’hésitez donc pas à vous connecter sur la plateforme. Cela vous permettra de bénéficier d’un accompagnement sur la marche à suivre.

Outre la plateforme cybermalveillance.gouv.fr vous pouvez envisager de consulter un avocat spécialisé en cybersécurité pour comprendre les implications légales.

Une fois la cyberattaque passée et vos sauvegardes restaurées, il convient ensuite de prendre du recul et :

• D’analyser comment l’attaque a pu se produire ;
• De mettre à jour les protocoles de sécurité de l’entreprise
• De sensibiliser les équipes à la cybersécurité et aux bonnes pratiques numériques.

Vous pouvez également vous rapprocher de votre assureur, afin de contracter une assurance cybersécurité.

Selon si vous avez un service informatique dédié ou non, vous pouvez également appliquer un ou plusieurs des points suivants :

• Réalisez un audit de sécurité complet pour identifier les failles.
• Engagez des experts en cybersécurité pour renforcer vos systèmes.
• Envisagez des simulations d’attaques (tests de pénétration) pour évaluer la robustesse de vos nouvelles mesures de sécurité.
• Révisez et mettez en place un plan de réponse aux incidents mis à jour.