La question n’est pas de savoir si vous allez connaître une cyber-attaque, mais quand.
En effet, malgré toutes les précautions prises, et tous les outils de fortification et d’identification mis en place, aucune équipe informatique et aucun système n’est totalement à l’abri d’être touché par une cyber-attaque.
Pour vous aider, et dans l’hypothèse que vous pouvez être touché dès demain, voici un récapitulatif des réflexes et de la marche à suivre pour vos équipes de cybersécurité en cas de cyberattaque (par ordre chronologique). Ces recommandations se reposent sur celles du gouvernement, de l’ANSSI, de la CNIL et de notre propre expérience en tant que spécialiste de la cybersécurité via notre branche Cyberenity. Ces éléments constituent le cadre d’une bonne PRA pour une petite ou moyenne entreprise.
Premiers réflexes à avoir en cas de cyberattaque
Identifier l’origine, l’identité et la localisation du malware
Isoler le malware pour éviter la propagation
Remédier pour supprimer le malware
Et si vous aviez été client Cyberenity by IPgarde au moment de votre cyberattaque ?
Avant tout, si vous vous rendez compte d’une faille ou d’une mauvaise manipulation ouvrant accès à vos systèmes pour un attaquant externe, désactivez la wi-fi et débranchez le câble Ethernet pour éviter une propagation vers le reste du (des) réseaux internes.
Celui-ci pourra intervenir et prendre les premières mesures nécessaires pour couper la ou les machine(s) touchée(s) des réseaux.
Quoi qu’il arrive, et même si vos données sont chiffrées, ne payez pas la rançon et ne fournissez aucune donnée en échange de l’accès à vos systèmes : payer une quelconque rançon ne ferait que consentir au travail des attaquants, et vous ne seriez de toute façon pas assuré de retrouver l’accès à vos données (l’attaquant peut ne pas vous les rendre, ou vous les rendre après les avoir vendues, ce qui n’arrangerait pas tellement votre situation).
|
💡Bon à savoir💡 Une fois les revendications reçus, il est très judicieux de se rapprocher d’un négociateur professionnel. Celui-ci n’aura pas pour objectif de négocier le prix de la rançon, mais plutôt de retarder le paiement pour - Gagner du temps disponible pour la remédiation - Potentiellement obtenir des infos du cyber-criminel (parfois dans leurs propres messages) Cet aparté est directement lié aux points 4 et 5 de ce document, et fait gagner du temps pour les points 6 et 10/17. |
Une cyberattaque peut mener à la mort des petites et moyennes entreprises : ce n’est pas un sujet à prendre à la légère, et il est primordial pour les entreprises d’y réagir de la meilleure des manières en faisant appel à des spécialistes. Vous pouvez contacter les équipes de Cyberenity (branche sécurité d’IPgarde), ou bien le prestataire dédié de votre assurance cybersécurité si vous en souscrivez une. Les professionnels sauront prendre du recul, réagir (humainement et techniquement) et vous aider à monter une cellule de crise pour faire face à cette attaque.
Nous recommandons fortement d’instaurer une cellule de crise durant tout le déroulé de la gestion de cette crise, avec un porteur de projet et des rôles bien définis, dont notamment :
Dès le début du processus, en conservant les messages piégés (si phishing), mais aussi les fichiers de journalisation(logs) du pare-feu, et des copies physiques des postes et serveurs touchés (ou au moins les disques durs), ainsi que le maximum de fichiers chiffrés si vous êtes victimes d’un ransomware.
Pendant que l’équipe technique se charge de commencer à repérer les malwares et à préparer la résolution, le chargé juridique va déposer plainte auprès de la Police ou de la Gendarmerie locale, ou par écrit au procureur de la République du tribunal judiciaire, en fournissant toutes les preuves accumulées. Faites-vous accompagner si besoin par un avocat spécialisé.
|
💡Bon à savoir💡 Le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs. |
Une alerte doit également être lancée auprès de l’ANSSI, qui répertoriera l’incident et pourra dans certains cas vous aider dans vos démarches via le CERT-FR.
Enfin, côté juridique, il vous faudra notifier l’incident à la CNIL dans les meilleurs délais, et au plus tard sous 72H, grâce à leur téléservice de notification de violations.
|
💡Bon à savoir💡 Si l’incident constitue également un risque élevé pour la vie privée des personnes concernées, vous devrez alors également alerter celles-ci (via le chargé de communication désigné dans le cadre de la cellule de crise). |
A cette étape, vous aurez normalement remplis toutes les missions « pratiques » pour gérer la crise durant les premières heures. Vous avez également pu rassembler les premiers éléments techniques pour constituer des preuves (nous revenons tout de suite dans le détail). Il est maintenant temps de se pencher sur la résolution de la cyberattaque, qui se déroulera en 3 étapes : identification, isolation et remédiation.
Le premier travail des équipes techniques (hors récolte des preuves des systèmes touchés) sera d’identifier où se situe le malware attaquant sur vos systèmes, afin d’être capable de connaitre sa nature, de le localiser et de suivre sa potentielle expansion. L’identification est grandement facilitée par des outils comme l’EDR Malwarebytes, ou par des services d’ingénieurs spécialistes comme le CTN (Centre de Télésurveillance Numérique, ou SOC en anglais).
Selon le déroulé de l’attaque, cette étape pourrait être plus en amont dans le process. Mais elle peut également être plus facile à mener une fois le malware localisé et identifié.
Il est important de bien comprendre comment l’attaquant est entré sur vos systèmes pour éviter qu’il ne puisse réitérer l’opération. Si c’est via un phishing, il faudra (ré)éduquer en urgence vos équipes pour éviter une nouvelle faute humaine. Si c’est une exploitation de faille, il faudra prendre les mesures nécessaires pour la colmater (MAJ, mise en sursis de l’application si c’est une faille générale, déconnexion des appareils porteur de cette application, etc).
N’oubliez pas de mettre à jour votre antivirus au préalable pour être sûr de couvrir toutes les failles / malwares connus au moment T.
A ce stade, vous devriez avoir réussi à identifier le malware. Il vous faudra encore l’isoler pour éviter une propagation sur l’ensemble des appareils / réseaux de votre infrastructure, avant d’envisager une remédiation.
Une fois le malware identifié, et avant de vouloir le traiter, il est nécessaire de l’isoler pour éviter qu’il ne se propage sur plus d’endpoints. Pour cela, on peut utiliser des outils comme l’EDR Threatdown.
Un réseau bien cloisonné, voire micro-segmenté, empêchera les malwares de se propager facilement. Cette protection supplémentaire est un point clef pour la sécurité de vos réseaux. Si vous êtes touché par une cyberattaque et que l’attaquant a pu se déplacer dans votre système, c’est un point prioritaire à insérer dans votre plan de reprise d’activité pour empêcher de nouvelles attaques.
Quand le logiciel malveillant est isolé, les équipes techniques peuvent alors travailler à sa remédiation sans avoir le stress d’une propagation. Il n’y aura alors « plus » qu’à s’occuper de ce malware.C’est aussi le cas si les intrus ont pris le contrôle à distance des machines, auquel cas il faudra également passer à la phase de remédiation en synchronisation et en négociation avec la cellule de crise pour une opération d’assainissement.
Il est quasiment impossible de déchiffrer des données touchées sans être en possession de la clef de chiffrement. Mais dans certains cas, les ransomwares sont déjà connus et peuvent être directement déjouées. Ces cas d’usage sont répertoriés sur le site No More Ransom.
Les outils d’EDR sont capables de bloquer et supprimer certains malwares, mais également de faire des rollbacks sur certains systèmes visés (à condition que le malware n’était pas implanté lors de la durée maximale de rétention). Cependant, ces possibilités restent rares et dépendant d’une interconnexion complète entre vos infrastructures et l’EDR.
Le gros avantage est que l’activité de l’entreprise touchée peut éventuellement continuer si le malware a la possibilité d’être supprimé sur une partie très spécifique de l’infrastructure.
La remédiation d’un incident implique quasi inévitablement un rollback des systèmes sur un point antérieur à l’attaque avec des systèmes de sauvegarde comme les solutions VEEAM.
Les systèmes de sauvegarde permettent de pouvoir disposer très rapidement de vos données critiques en cas de cyberattaque.
Une fois le processus de remédiation terminé, il faudra encore faire une passe complète de votre système pour reformater tous les postes touchés et remettre à jour l’ensemble des logiciels et endpoints présents sur votre infrastructure. Vous pourrez utiliser des outils de scan de vulnérabilités comme Ikare pour vous assurer que l’ensemble de vos logiciels soient à jour et ne présentent pas de failles connues.
A l’issu de ces actions, si vous avez pu toutes les mettre en œuvre, vous devriez pouvoir sortir de cette crise de cyberattaque en ayant récupéré vos données et en ayant limité les dégâts pour votre entreprise.
Toutes les entreprises qui ont un jour été touchées et qui ont eu de gros dommages se posent la même question : « A quel point j’aurais pu éviter cette catastrophe en ayant pris la question de la cybersécurité plus au sérieux AVANT l’attaque ? »
Si vous aviez été client IPgarde, voici ce qui aurait pu changer, et donc vous éviter le gros des dommages d’une cyberattaque :
La meilleure manière de se protéger d’une cyberattaque, c’est d’avoir un plan de réponse complet couvrant les possibilités en amont (protection), mais également en cas de cyberattaque. Pour le créer, commencez par effectuer un diagnostic cybersécurité de vos équipes et de vos infrastructures pour savoir ce que vous devriez améliorer ou mettre en place pour la protection de vos données.