Comment réagir à une cyberattaque ?

Jean-CharlesLe 6 août 2020

Les attaques dans le monde numérique ne cessent de se multiplier, ciblant à la fois les particuliers et les entreprises.

D’après le rapport d’activité de cybermalveillance.gouv.fr paru le 20 janvier 2020, plus de 90 000 victimes de cyberattaques ont été assistées sur leur plateforme au cours de l’année 2019, contre 28 855 en 2018, soit une augmentation de plus de 210 %. Il semble alors pertinent de ne pas se demander si l’on se fera attaquer, mais quand. Il apparaît clairement qu’il est nécessaire de savoir se protéger, mais aussi et surtout de savoir réagir en cas d’attaque. C’est ce deuxième aspect que nous allons aborder, pour le cas spécifique des entreprises.

réagir à une cyberattaque

Réagir à une cyberattaque, c’est mener des actions et prendre des décisions techniques et organisationnelles dans le but de la contenir et pouvoir reprendre son activité au plus vite. La réaction comporte des étapes qui peuvent varier en fonction du type d’attaque. De façon générale, ces étapes se découpent comme suit.

Mise en place d'une cellule de crise

Cette cellule pilote les actions et décisions durant tout le temps de la crise. Elle implique les responsables décisionnels (RSSI, direction générale, RH) et techniques (DSI). L’objectif est d’estimer l’étendue de l’attaque, ses potentielles répercutions tangibles et intangibles pour l’entreprise, ses clients et ses partenaires, et prendre les décisions idoines. Par exemple, il peut s’agir de faire une communication à la presse si l’attaque a entraîné une exfiltration de données personnelles.

Que l’on soit du secteur public ou privé, il est fortement recommandé de faire une déclaration d’incident à l’ANSSI pour un suivi, ainsi qu’un dépôt de plainte auprès de la police ou de la gendarmerie.

Investigation

Pour cette étape, plusieurs entreprises se font accompagner par des prestataires comme AlgoSecure, spécialisés dans la réponse à incidents et l’investigation numérique.

Il s’agit ici de prendre les premières mesures de limitation du périmètre d’impact, comme par exemple débrancher les machines du réseau, ou même les éteindre. Ensuite, déterminer avec la plus grande précision possible et avec des éléments techniques (indicateurs de compromissions, traces) :

  • l’étendue de l’attaque,
  • ses impacts sur le système d’information,
  • le mode opératoire de l’attaquant,
  • et des propositions de moyens de remise en état du système d’information.

Rétablissement du SI à un état nominal

C’est l’application des recommandations fournies par les investigateurs, qui accompagnent les équipes informatiques de l’entreprise dans leur mise en place. Dans certains cas, il peut être plus judicieux de reconstruire tout ou partie du système d’information impacté plutôt que de chercher à le remettre en état.

Retour d'expérience

La rédaction d’un retour d’expérience détaillé explique entre autres les techniques employées par l’attaquant et les impacts de son attaque. Ces éléments permettent de mettre en place des mesures de protections préventives et de renforcer la sécurité du système d’information.

Pour plus d’informations sur la réaction face à une cyberattaque, l’ANSSI a mis en place des recommandations et des fiches réflexes selon les contextes. Elles ciblent à la fois les entreprises et les particuliers, et sont à appliquer avant l’arrivée d’une équipe spécialisée le cas échéant.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.