Les attaques dans le monde numérique ne cessent de se multiplier, ciblant à la fois les particuliers et les entreprises.
D’après le rapport d’activité de cybermalveillance.gouv.fr paru le 20 janvier 2020, plus de 90 000 victimes de cyberattaques ont été assistées sur leur plateforme au cours de l’année 2019, contre 28 855 en 2018, soit une augmentation de plus de 210 %. Il semble alors pertinent de ne pas se demander si l’on se fera attaquer, mais quand. Il apparaît clairement qu’il est nécessaire de savoir se protéger, mais aussi et surtout de savoir réagir en cas d’attaque. C’est ce deuxième aspect que nous allons aborder, pour le cas spécifique des entreprises.
Réagir à une cyberattaque, c’est mener des actions et prendre des décisions techniques et organisationnelles dans le but de la contenir et pouvoir reprendre son activité au plus vite. La réaction comporte des étapes qui peuvent varier en fonction du type d’attaque. De façon générale, ces étapes se découpent comme suit.
Mise en place d'une cellule de crise
Cette cellule pilote les actions et décisions durant tout le temps de la crise. Elle implique les responsables décisionnels (RSSI, direction générale, RH) et techniques (DSI). L’objectif est d’estimer l’étendue de l’attaque, ses potentielles répercutions tangibles et intangibles pour l’entreprise, ses clients et ses partenaires, et prendre les décisions idoines. Par exemple, il peut s’agir de faire une communication à la presse si l’attaque a entraîné une exfiltration de données personnelles.
Que l’on soit du secteur public ou privé, il est fortement recommandé de faire une déclaration d’incident à l’ANSSI pour un suivi, ainsi qu’un dépôt de plainte auprès de la police ou de la gendarmerie.
Investigation
Pour cette étape, plusieurs entreprises se font accompagner par des prestataires comme AlgoSecure, spécialisés dans la réponse à incidents et l’investigation numérique.
Il s’agit ici de prendre les premières mesures de limitation du périmètre d’impact, comme par exemple débrancher les machines du réseau, ou même les éteindre. Ensuite, déterminer avec la plus grande précision possible et avec des éléments techniques (indicateurs de compromissions, traces) :
- l’étendue de l’attaque,
- ses impacts sur le système d’information,
- le mode opératoire de l’attaquant,
- et des propositions de moyens de remise en état du système d’information.
Rétablissement du SI à un état nominal
C’est l’application des recommandations fournies par les investigateurs, qui accompagnent les équipes informatiques de l’entreprise dans leur mise en place. Dans certains cas, il peut être plus judicieux de reconstruire tout ou partie du système d’information impacté plutôt que de chercher à le remettre en état.
Retour d'expérience
La rédaction d’un retour d’expérience détaillé explique entre autres les techniques employées par l’attaquant et les impacts de son attaque. Ces éléments permettent de mettre en place des mesures de protections préventives et de renforcer la sécurité du système d’information.
Pour plus d’informations sur la réaction face à une cyberattaque, l’ANSSI a mis en place des recommandations et des fiches réflexes selon les contextes. Elles ciblent à la fois les entreprises et les particuliers, et sont à appliquer avant l’arrivée d’une équipe spécialisée le cas échéant.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lyse, Nancy, Natacha, Nicolas, PierreG, Sébastien, Yann, et bonne visite !