Blog IPgarde

Entreprise touchée par une cyberattaque : 17 étapes pour bien réagir et minimiser les dégâts

Rédigé par Nathan Pauriol | Jun 3, 2024 3:24:24 PM

La question n’est pas de savoir si vous allez connaître une cyber-attaque, mais quand.

En effet, malgré toutes les précautions prises, et tous les outils de fortification et d’identification mis en place, aucune équipe informatique et aucun système n’est totalement à l’abri d’être touché par une cyber-attaque.

Pour vous aider, et dans l’hypothèse que vous pouvez être touché dès demain, voici un récapitulatif des réflexes et de la marche à suivre pour vos équipes de cybersécurité en cas de cyberattaque (par ordre chronologique). Ces recommandations se reposent sur celles du gouvernement, de l’ANSSI, de la CNIL et de notre propre expérience en tant que spécialiste de la cybersécurité via notre branche Cyberenity. Ces éléments constituent le cadre d’une bonne PRA pour une petite ou moyenne entreprise.

Premiers réflexes à avoir en cas de cyberattaque

Identifier l’origine, l’identité et la localisation du malware

Isoler le malware pour éviter la propagation

Remédier pour supprimer le malware

Et si vous aviez été client Cyberenity by IPgarde au moment de votre cyberattaque ?

 

Premiers réflexes à avoir en cas de cyberattaque

1 - Débrancher votre machine du réseau informatique et d’internet

Avant tout, si vous vous rendez compte d’une faille ou d’une mauvaise manipulation ouvrant accès à vos systèmes pour un attaquant externe, désactivez la wi-fi et débranchez le câble Ethernet pour éviter une propagation vers le reste du (des) réseaux internes.

 

2 - Prévenir immédiatement votre service ou votre prestataire informatique

Celui-ci pourra intervenir et prendre les premières mesures nécessaires pour couper la ou les machine(s) touchée(s) des réseaux.

 

3- Ne pas céder aux revendications des cyber-attaquants !

Quoi qu’il arrive, et même si vos données sont chiffrées, ne payez pas la rançon et ne fournissez aucune donnée en échange de l’accès à vos systèmes : payer une quelconque rançon ne ferait que consentir au travail des attaquants, et vous ne seriez de toute façon pas assuré de retrouver l’accès à vos données (l’attaquant peut ne pas vous les rendre, ou vous les rendre après les avoir vendues, ce qui n’arrangerait pas tellement votre situation).

 

 

💡Bon à savoir💡

Une fois les revendications reçus, il est très judicieux de se rapprocher d’un négociateur professionnel.

Celui-ci n’aura pas pour objectif de négocier le prix de la rançon, mais plutôt de retarder le paiement pour

-          Gagner du temps disponible pour la remédiation

-          Potentiellement obtenir des infos du cyber-criminel (parfois dans leurs propres messages)

Cet aparté est directement lié aux points 4 et 5 de ce document, et fait gagner du temps pour les points 6 et 10/17.

 

4 – Faire immédiatement appel à des professionnels

Une cyberattaque peut mener à la mort des petites et moyennes entreprises : ce n’est pas un sujet à prendre à la légère, et il est primordial pour les entreprises d’y réagir de la meilleure des manières en faisant appel à des spécialistes. Vous pouvez contacter les équipes de Cyberenity (branche sécurité d’IPgarde), ou bien le prestataire dédié de votre assurance cybersécurité si vous en souscrivez une. Les professionnels sauront prendre du recul, réagir (humainement et techniquement) et vous aider à monter une cellule de crise pour faire face à cette attaque.

 

5 – Monter une cellule de crise

Nous recommandons fortement d’instaurer une cellule de crise durant tout le déroulé de la gestion de cette crise, avec un porteur de projet et des rôles bien définis, dont notamment :

  • Le décisionnaire (pas le CEO, qui ne maîtrise pas tous les paramètres d’une crise liée à une cyberattaque et serait amené à prendre de mauvaises décisions en pensant à ses intérêts et ceux de l’entreprise).
  • Le chargé de la communication envers les clients / collaborateurs / fournisseurs.
  • Un responsable juridique (qui effectuera la liaison auprès des autorités (ANSSI, CNIL, …, en ayant des discussions ultra transparentes pour les aider au mieux tout en respectant la légalité en termes de partage des informations)

 

6 – Conserver les preuves

Dès le début du processus, en conservant les messages piégés (si phishing), mais aussi les fichiers de journalisation(logs) du pare-feu, et des copies physiques des postes et serveurs touchés (ou au moins les disques durs), ainsi que le maximum de fichiers chiffrés si vous êtes victimes d’un ransomware.

 

7 – Porter plainte auprès des autorités locales

Pendant que l’équipe technique se charge de commencer à repérer les malwares et à préparer la résolution, le chargé juridique va déposer plainte auprès de la Police ou de la Gendarmerie locale, ou par écrit au procureur de la République du tribunal judiciaire, en fournissant toutes les preuves accumulées. Faites-vous accompagner si besoin par un avocat spécialisé.

 

💡Bon à savoir💡

Le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.

 

 

8 – Porter plainte auprès de l’ANSSI

Une alerte doit également être lancée auprès de l’ANSSI, qui répertoriera l’incident et pourra dans certains cas vous aider dans vos démarches via le CERT-FR.

 

9 – Notifier la violation de données à la CNIL

Enfin, côté juridique, il vous faudra notifier l’incident à la CNIL dans les meilleurs délais, et au plus tard sous 72H, grâce à leur téléservice de notification de violations.

 

💡Bon à savoir💡

Si l’incident constitue également un risque élevé pour la vie privée des personnes concernées, vous devrez alors également alerter celles-ci (via le chargé de communication désigné dans le cadre de la cellule de crise).

 

A cette étape, vous aurez normalement remplis toutes les missions « pratiques » pour gérer la crise durant les premières heures. Vous avez également pu rassembler les premiers éléments techniques pour constituer des preuves (nous revenons tout de suite dans le détail). Il est maintenant temps de se pencher sur la résolution de la cyberattaque, qui se déroulera en 3 étapes : identification, isolation et remédiation.

 

Identifier l’origine, l’identité et la localisation du malware

 

10 - Identifier le malware sur vos systèmes

Le premier travail des équipes techniques (hors récolte des preuves des systèmes touchés) sera d’identifier où se situe le malware attaquant sur vos systèmes, afin d’être capable de connaitre sa nature, de le localiser et de suivre sa potentielle expansion. L’identification est grandement facilitée par des outils comme l’EDR Malwarebytes, ou par des services d’ingénieurs spécialistes comme le CTN (Centre de Télésurveillance Numérique, ou SOC en anglais).

11 - Identifier l’origine de l’infection

Selon le déroulé de l’attaque, cette étape pourrait être plus en amont dans le process. Mais elle peut également être plus facile à mener une fois le malware localisé et identifié.

Il est important de bien comprendre comment l’attaquant est entré sur vos systèmes pour éviter qu’il ne puisse réitérer l’opération. Si c’est via un phishing, il faudra (ré)éduquer en urgence vos équipes pour éviter une nouvelle faute humaine. Si c’est une exploitation de faille, il faudra prendre les mesures nécessaires pour la colmater (MAJ, mise en sursis de l’application si c’est une faille générale, déconnexion des appareils porteur de cette application, etc).

 

12 – Faire une analyse antivirale complète de vos systèmes

N’oubliez pas de mettre à jour votre antivirus au préalable pour être sûr de couvrir toutes les failles / malwares connus au moment T.

A ce stade, vous devriez avoir réussi à identifier le malware. Il vous faudra encore l’isoler pour éviter une propagation sur l’ensemble des appareils / réseaux de votre infrastructure, avant d’envisager une remédiation.

 

Isoler le malware pour éviter la propagation

13 – Isoler le malware pour éviter qu’il n’infecte l’entièreté de l’infrastructure

Une fois le malware identifié, et avant de vouloir le traiter, il est nécessaire de l’isoler pour éviter qu’il ne se propage sur plus d’endpoints. Pour cela, on peut utiliser des outils comme l’EDR Threatdown.

Un réseau bien cloisonné, voire micro-segmenté, empêchera les malwares de se propager facilement. Cette protection supplémentaire est un point clef pour la sécurité de vos réseaux. Si vous êtes touché par une cyberattaque et que l’attaquant a pu se déplacer dans votre système, c’est un point prioritaire à insérer dans votre plan de reprise d’activité pour empêcher de nouvelles attaques.

Quand le logiciel malveillant est isolé, les équipes techniques peuvent alors travailler à sa remédiation sans avoir le stress d’une propagation. Il n’y aura alors « plus » qu’à s’occuper de ce malware.C’est aussi le cas si les intrus ont pris le contrôle à distance des machines, auquel cas il faudra également passer à la phase de remédiation en synchronisation et en négociation avec la cellule de crise pour une opération d’assainissement.

 

 

Remédier pour supprimer le malware

14 – En cas de ransomware : Essayer de déchiffrer le malware

Il est quasiment impossible de déchiffrer des données touchées sans être en possession de la clef de chiffrement. Mais dans certains cas, les ransomwares sont déjà connus et peuvent être directement déjouées. Ces cas d’usage sont répertoriés sur le site No More Ransom.

 

15 – Quand c’est possible : Nettoyer et supprimer les malwares existants

Les outils d’EDR sont capables de bloquer et supprimer certains malwares, mais également de faire des rollbacks sur certains systèmes visés (à condition que le malware n’était pas implanté lors de la durée maximale de rétention). Cependant, ces possibilités restent rares et dépendant d’une interconnexion complète entre vos infrastructures et l’EDR.

Le gros avantage est que l’activité de l’entreprise touchée peut éventuellement continuer si le malware a la possibilité d’être supprimé sur une partie très spécifique de l’infrastructure.

 

 

16 – Effectuer des sauvegardes back-ups

La remédiation d’un incident implique quasi inévitablement un rollback des systèmes sur un point antérieur à l’attaque avec des systèmes de sauvegarde comme les solutions VEEAM.

Les systèmes de sauvegarde permettent de pouvoir disposer très rapidement de vos données critiques en cas de cyberattaque.

 

17 – Réinstaller les systèmes touchés

Une fois le processus de remédiation terminé, il faudra encore faire une passe complète de votre système pour reformater tous les postes touchés et remettre à jour l’ensemble des logiciels et endpoints présents sur votre infrastructure. Vous pourrez utiliser des outils de scan de vulnérabilités comme Ikare pour vous assurer que l’ensemble de vos logiciels soient à jour et ne présentent pas de failles connues.

A l’issu de ces actions, si vous avez pu toutes les mettre en œuvre, vous devriez pouvoir sortir de cette crise de cyberattaque en ayant récupéré vos données et en ayant limité les dégâts pour votre entreprise.

 

Et si vous aviez été client Cyberenity by IPgarde au moment de votre cyberattaque ?

Toutes les entreprises qui ont un jour été touchées et qui ont eu de gros dommages se posent la même question : « A quel point j’aurais pu éviter cette catastrophe en ayant pris la question de la cybersécurité plus au sérieux AVANT l’attaque ? »

Si vous aviez été client IPgarde, voici ce qui aurait pu changer, et donc vous éviter le gros des dommages d’une cyberattaque :

  • Bénéficier d’un programme de sensibilisation (Cyber Coach) qui aurait potentiellement empêché vos collaborateurs de faire entrer le malware sur votre système par une erreur humaine (phishing).

  • D’une équipe d’ingénieurs spécialistes de la cybersécurité infogérant votre infrastructure avec les meilleurs outils du marché (XDR), améliorés en continue avec l’IA et le machine learning pour se spécialiser sur les activités de votre système. Cette armada détecte en des temps records les mouvements suspects les plus silencieux afin de les bloquer AVANT qu’ils ne pénètrent vos infrastructures.

  • En cas de cyberattaque réussie et d’accès inhabituel à votre système (le risque 0 n’existant pas), ces experts seraient en mesure de vous prévenir très rapidement. Les équipes de cyber-criminels qui exploitent les failles achètent très souvent l’accès à votre infrastructure sur le dark web à celles faisant la recherche des failles (qui créent un accès sur votre système). Vous pourriez ainsi réagir avant que le mal ne soit fait, ou que vos données ne soient chiffrées dans le cadre d’un ransomware.

  • Si toutefois un cybercriminel avait accès à vos réseaux, le CTN est en mesure de vous fournir les meilleurs conseils pour piloter la gestion de cette cyberattaque.

  • Le CTN aurait pu effectuer l’identification, l’isolement et la remédiation en infogérance et à distance et de manière très rapide.

  • Il aurait enfin pu vous assister tout le long du processus pour récolter les logs nécessaires et ainsi les fournir aux autorités compétentes dans le cadre de votre démarche juridique. Cela vous permet de vous soulager de ce poids afin que vous puissiez vous concentrer sur la question phrase : «comment » reprendre votre activité au plus vite.

La meilleure manière de se protéger d’une cyberattaque, c’est d’avoir un plan de réponse complet couvrant les possibilités en amont (protection), mais également en cas de cyberattaque. Pour le créer, commencez par effectuer un diagnostic cybersécurité de vos équipes et de vos infrastructures pour savoir ce que vous devriez améliorer ou mettre en place pour la protection de vos données.