Comme toutes les entreprises françaises, vous serez ou avez été victime d’une attaque informatique. Cet épisode, désagréable évidemment, n’est pas une fatalité : quelques réflexes permettent de réagir pendant – c’est l’objet de cet article. L’avant et l’après sont respectivement expliqués dans les articles sur Comment se préparer à un incident cyber et Pourquoi faire un Plan de Reprise d’Activité ?
Ici vous sont présentées chronologiquement les étapes à suivre lorsque vous détectez un incident cyber, par exemple un rançongiciel (ransomware) qui bloquerait l’accès à vos données.
Pour vous en sortir, le moins touché possible, il faut retenir plusieurs points :
- la panique est contreproductive ;
- la préexistence d’une équipe de gestion de crise est primordiale ;
- isoler l’incident permet de minimiser ses impacts ;
- et enfin, la communication sur la crise doit être gérée finement.
L’après crise ne doit pas être écartée : pour éviter des retombées trop importantes, il faut communiquer avec certaines instances ; connaître les obligations et interdictions légales auxquelles vous soumettre ; et pendant la crise, préserver toutes les preuves pour permettre d’enquêter sur les évènements qui l’ont facilitée.
Imprimez/exportez ce document une fois que vous l’avez adapté à votre entreprise : il ne sera peut-être pas disponible en cas d’incident cyber.
Ne pas paniquer
Un incident de cybersécurité peut devenir un scénario catastrophe ; un processus clair est nécessaire pour sortir de la crise.
Si vous ne savez pas comment réagir, vous pouvez joindre des entités qui vont vous aider :
- Pour les OIV/OSE (Opérateurs d’Importance Vitale/Opérateurs de Services Essentiels) : le CERT-FR joignable ici.
- Pour les petites organisations, la structure Cybermalveillance maintient un registre des prestataires aux compétences certifiées ici et propose un outil de diagnostic et d’assistance en ligne.
- Pour les systèmes d’information complexes, il est recommandé de faire appel à un Prestataire qualifié de Réponse à Incidents de Sécurité (PRIS).
(Ne pas) payer la rançon
En cas de rançongiciel, un attaquant peut vous demander de payer une rançon en échange d’une clef qui vous permettra de déchiffrer les données qu’il a rendues illisibles.
- Il peut être tentant et plus facile de payer pour retrouver le contrôle de votre réseau, mais cela conduira le plus souvent à de futurs nouveaux incidents : vous avez été noté comme entreprise payant les rançons.
- Même avec cette clef, vous n’avez aucune garantie de retrouver vos données : le pirate pourrait vous donner une fausse clef ou vos données pourraient avoir été endommagées pendant leur chiffrement.
Réunir l’équipe de gestion de crise
Qui faut, pour gérer quel impact ?
Technique : au moins une personne « technique » (interne ou externe) capable d’enquêter sur l’incident et de travailler pour la résoudre. Votre CTO, votre lead dev, votre administrateur système ou votre DSI par exemple.
Humain : un membre du service RH qui sera utile pour la communication vers vos employés et la gestion des conséquences de l’attaque auprès du personnel.
Hiérarchique : une personne de la direction qui a un pouvoir décisionnel fort.
Juridique : une personne interne ou externe pour gérer les points légaux de l’incident (déclarations, amendes, etc.).
Réputationnel : une personne responsable des relations publiques pour expliquer l’incident aux clients et fournisseurs.
Isoler l’incident
Si votre entreprise est touchée par un incident cyber, il faut impérativement que vous réduisiez le nombre de systèmes affectés au minimum en isolant les zones d’impact potentielles.
- 1) Laisser la machine touchée branchée à l’alimentation, ne pas l’arrêter ni interagir avec. Elle garde les traces de l’incident et permet de conserver un maximum d’informations utiles pour l’analyse.
- 2) Déconnecter la machine infectée du SI (débrancher le câble réseau, les câbles de connexion entre machines, désactiver le wifi, les partages réseaux…). Dans le cas d’une intrusion, l’attaquant perdra les accès primaires qu’il a obtenus ; lors d’une infection, le ver ne pourra pas se propager aux autres machines du SI.
- 3) Déconnecter les serveurs critiques potentiellement responsables d’une propagation du maliciel.
- 4) Désactiver tous les comptes compromis et couper les sessions en cours qui y sont liées.
- a – Si le VPN a pu être touché, désactiver les comptes suspects et vérifier les connexions.
- b – Réinitialiser le compte de tous les utilisateurs qui se sont connectés à la machine infectée et surveiller les connexions ultérieures de ces comptes.
- 5) Changer tous les mots de passe – au moins des services critiques (comptes administrateur).
- 6) Fermer les services exposés sur Internet en connexion direct avec votre réseau.
- 7) Mettre une copie des sauvegardes importantes en sûreté (cette étape est bien plus efficace quand elle est réalisée avant la crise !)
Préserver et enquêter
Préserver les traces
Mettre en sécurité les journaux de connexions et d’actions : effectuez des copies hors ligne ou sur des systèmes isolés. Attention, si l’attaquant a pu obtenir un accès privilégié, il a pu effacer l’ensemble de ses traces.
Pendant l’enquête, il faut répertorier précisément les procédures et les résultats ainsi que leur timing dans un document spécifique. Ce référentiel vous servira pour définir la ou les vulnérabilités qui ont rendu l’incident possible et pour la consolidation de la cybersécurité de l’entreprise.
Enquêter
Effectuer et caractériser les constats
- Acquérir toutes les données du système utiles pour investiguer.
- Déterminer la source précise de l’incident.
- Déterminer le périmètre concerné :
- Que détectent les dispositifs de sécurité du système d’informations ?
- Qu’est-ce qui relie différents sous-systèmes touchés ? Comment un incident peut s’y être propagé ?
- Quel est le niveau de perturbation des applications et de l’infrastructure ?
- Certains fichiers ont-ils été rendus indisponibles ?
Identifier les impacts et les actions à prendre
- Les systèmes touchés portent-ils des processus ou des données sensibles ?
- Les métiers ont-ils une visibilité sur l’incident ? Sont-ils impactés par l’incident ?
- Quels sont les actifs à mettre en sûreté en cas d’aggravation de l’incident ?
- Où sont les traces connues et potentielles laissées par un attaquant ?
- Quelles sont les obligations contractuelles ou réglementaires qui s’imposent à vous ?
- Une fuite de données a-t-elle eu lieu ? Des données clients sont-elles touchées ?
- Qui doit être prévenu ?
Prévenir les parties prenantes
En interne : l’équipe réponse
- a) Technique : prévenir l’équipe informatique, le fournisseur en charge la machine ou un professionnel extérieur pour leur demander de l’aide.
- b) Humain : la partie RH doit s’occuper des impacts que l’incident a eu sur le personnel de l’entreprise.
- c) Juridique : les conséquences légales de l’incident doivent être gérées par le service juridique.
- d) Réputationnel : il faut contrôler les dommages occasionnés à la réputation de l’entreprise en maitrisant l’information.
En externe :
- a) Les clients et les fournisseurs : l’équipe commerciale de votre entreprise doit contacter tous les clients qui seront impactés par l’incident le plus rapidement possible pour prévenir la contagion.
- b) La CNIL : les incidents affectant des données personnelles doivent être déclarés rapidement ; la CNIL peut enregistrer des déclarations préalables d’incident.
- c) L’ANSSI : certains opérateurs de services sont astreints à déclarer leurs incidents à l’ANSSI : les opérateurs de services qualifiés par l’ANSSI, les Opérateurs de Services Essentiels, les Opérateurs d’Infrastructures vitales, etc. Les incidents impliquant des informations classifiées doivent également faire l’objet d’une déclaration à l’ANSSI en complément de celle au FSSI / HFDS.
- d) Police/gendarmerie pour un dépôt de plainte : elle permet de tracer le dommage et de dégager votre responsabilité en cas de propagation de l’incident à d’autres victimes. Une fois en contact avec la S.R.P.J. il faut demander un Investigateur en cybercriminalité qui pourra enregistrer la plainte.
- e) Si votre organisation opère dans un domaine réglementé, vous pouvez être astreint à d’autres obligations de déclaration. Vous trouverez ici les points de contacts et formulaires principaux.
- f) Votre assurance pour :
- a – Établir le périmètre et les prestations couverts ;
- b – Identifier les prestataires que l’assureur peut recommander ou mandater.
- g) En cas de doute : contactez directement CERT-FR. (cert-fr.cossi@ssi.gouv.fr, tel : 01 71 75 84 68).
Revenir à la normale
Corriger les failles :
- Vérifier que tout le système est à jour en termes de correctifs de sécurité ;
- Remplacer les machines trop vieilles qui ne supportent pas les dernières mises à jour ;
- Revoir la politique d’accès extérieur (politique de mot de passe, RDP fermé, anti brute force, plages IP limitées, authentification multifacteur, réseau segmenté, arrivée en DMZ spécifique, …) ;
- Améliorer les protections (durcissement général, AppLocker, antivirus, filtrage messagerie et/ou proxy, segmentation réseau, pare-feu local, …).
Restaurer un système intègre :
- Isoler les fichiers infectés ;
- Changer les identifiants interne et externe ;
- Effectuer des tests de restauration des serveurs de sauvegarde disponibles qui n’ont pas et ne peuvent pas être touchés par l’incident avant de les réutiliser ;
- Bloquer toute possibilité de réitération de l’attaquant et de reprise de l’infection.
Apprendre de la crise
- a) Si vous avez réussi à interrompre l’incident ou à en minimiser ses effets, c’est un très bon point. Vous pouvez apprendre de cet incident pour sécuriser votre SI.
- b) Si vous avez fortement souffert de cet incident, il est peut-être temps de réfléchir à augmenter ou sous-traiter votre résilience cyber (ex MSSP).
Les documents qui doivent être toujours disponibles
- Annuaire de l’équipe de gestion de crise
- Annuaire des entités à contacter
- Déroulé de l’incident
- Plan de continuité d’activité et plan de reprise d’activité
Article rédigé par : Charlotte Lemaistre, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Gérer une crise cyber