Les équipements IT et les données sont des biens critiques pour les organisations. Si ces équipements et données sont rendus indisponibles ou sont endommagés à la suite d'une cyberattaque, cela pourrait avoir un impact significatif sur les finances et la réputation d'une organisation, voire menacer sa survie. Les cyberattaques représentent donc une crise importante à laquelle chaque organisation devrait savoir comment réagir.
Les cybercriminels consacrent de nombreuses heures à la planification d'une cyberattaque, s'assurant ainsi de son succès. Vu la grande organisation qui se cache derrière une cyberattaque, la réponse qui doit lui être donnée mérite au moins autant de méthode. La gestion d'une telle crise doit se faire au plus haut niveau de l'organisation, en impliquant le responsable IT, son équipe et, si l'organisation en a une, l'équipe responsable de la sécurité. Les objectifs immédiats sont de limiter l'impact de l'attaque, de permettre une reprise des activités dès que possible et d'établir les mesures de sécurité supplémentaires à mettre en place afin d'éviter que l'incident ne se reproduise.
La gestion des incidents de cybersécurité n'est pas un processus linéaire ; c'est un cycle qui comprend la préparation, la détection, le confinement de l'incident, l'atténuation et la récupération. La phase finale consiste à tirer les leçons de l'incident afin d'améliorer le processus et de se préparer à de futures crises. La communication avec les parties prenantes internes et externes est d'une importance capitale au cours de ce cycle.
Cet article a pour but d'aider les organisations victimes d’une cyberattaque importante, ou désirant se préparer au mieux à cette éventualité, à identifier les principales actions à entreprendre afin de pouvoir gérer l'incident.
Pour des conseils plus poussés sur la gestion des incidents, n’hésitez pas à consulter le Guide de gestion des incidents de cybersécurité de la Cyber Coalition.
Que faire en premier lieu ?
Des actions spécifiques peuvent être entreprises afin de contrer une cyberattaque en cours et de limiter les risques :
Le responsable informatique saura mieux que quiconque comment traiter l'incident et le résoudre le plus rapidement possible. Si votre organisation n'a pas de responsable informatique, adressez-vous à un membre de la direction et suivez ses instructions.
Les incidents doivent toujours être signalés au responsable informatique, même s'ils n'ont été que constatés ou s'il y a un léger doute. Plus vite les bonnes personnes entreront en jeu, moins les conséquences de l'incident seront importantes.
En coupant toutes les connexions des ressources infectées à l'Internet et au réseau local de l'entreprise, vous bloquez l’accès aux cybercriminels, qui ne peuvent pas passer d'un système à l'autre et propager l'attaque. N'éteignez PAS les ordinateurs touchés, sinon vous effacerez les traces laissées par les auteurs de la cyberattaque.
La gestion des actions des différents domaines (technique, RH, financier, communication, juridique, etc.) impliqués est un élément clé dans la gestion d'une cybercrise. L'objectif de l'équipe de gestion de crise est de superviser les actions spécifiques que chaque domaine doit entreprendre pendant la crise. Les communications sensibles concernant l'évolution de l'incident doivent se faire via un canal séparé et sécurisé.
Conservez un registre de tous les événements et de toutes les actions exécutées pour pouvoir le présenter à l'autorité chargée de l'enquête et pour aider le responsable informatique à établir les leçons tirées de l'incident par la suite.
Cette tâche est effectuée par des spécialistes IT. Ceux-ci examineront l'ordinateur touché par l'infection et tenteront de trouver des indices sur l'auteur de l'infection, tels que des modifications du système, des fichiers de configuration ou des données de l'entreprise. Ils détermineront également si les auteurs de l'infection ont installé des logiciels malveillants. Enfin, il est important d'examiner minutieusement tout l'historique du système.
Conservez tous les messages reçus, les machines affectées, les historiques de connexion, etc. comme preuves. Ces éléments seront importants pour la suite, comme l’enregistrement des événements et des actions.
Nous vous déconseillons fortement de payer une rançon. Dans certaines situations, le paiement est la seule option possible, mais n'oubliez pas que les escrocs sont très probablement intéressés par le gain financier et qu’ils sauteront sur toute occasion de vous extorquer davantage d'argent.
Déterminez quelles autres ressources peuvent être utilisées pour remplacer celles qui ont été infectées afin d'assurer la continuité des opérations critiques. Si l'organisation dispose d'un plan de continuité des activités ou d'un plan de reprise après sinistre, ceux-ci peuvent être utilisés pour identifier les mesures à prendre pour gérer la crise.
Signaler les incidents peut non seulement aider à analyser la situation, mais aussi permettre à d'autres organisations de ne pas être victimes de la même attaque. Dans certains cas, le signalement peut également être une obligation légale.
• Police
En cas de perte d'argent ou d'extorsion de fonds, nous vous recommandons de signaler l’incident à la police. Vous pouvez déposer plainte auprès de la police locale. Il est important de fournir le plus d'informations possible (relevés bancaires pertinents, captures d'écran, impressions, etc.) à la police lors de votre plainte.
• Banque et Cardstop
Contactez votre banque et appelez Cardstop au 078 170 170 si vous avez transmis des coordonnées bancaires, si de l'argent a disparu de votre compte bancaire ou si vous avez transféré de l'argent à un escroc. Les transactions frauduleuses pourront alors être bloquées. Si vous voulez signaler l'arnaque, vous pouvez contacter votre banque en appelant un numéro spécifique se trouvant sur https://protegezvousenligne.be/
• Safeonweb
Si vous avez reçu un e-mail ou un message suspect, transférez-le à suspect@safeonweb.be et supprimez-le.
• Notification obligatoire des incidents NIS
Les signalements doivent être effectués via la plateforme de notification NIS (https://nis-incident.be/fr). Cette plateforme est accessible par Internet via une connexion sécurisée et à l'aide d'une clé d'identification unique pour chaque FSN et OSE (login/nom d'utilisateur et mot de passe). Si la plateforme n'est pas disponible, l'incident doit être signalé par le biais du site Internet du CCB. La plateforme veille à ce que le rapport parvienne au CCB, au Centre national de crise et aux autorités concernées.
Vous trouverez plus d'informations ici [https://ccb.belgium.be/fr/node/899] et ici [https://ccb.belgium.be/fr/node/903].
Identifier le point de départ de l'attaque et le nombre de ressources infectées permettra de prendre les mesures adéquates pour corriger les problèmes de sécurité existants et éviter que la situation ne se répète.
Établissez le niveau de détail et de transparence requis pour partager les informations avec toutes les parties concernées (par exemple, les collaborateurs, les clients, les fournisseurs, les parties prenantes, les médias, etc.)
Communiquez dès le début et souvent, tenez informés vos collaborateurs internes, vos fournisseurs, vos prestataires de services et vos clients. Cacher l'attaque n'est généralement pas une bonne idée car cela peut nuire à la réputation de votre organisation. Faites preuve de la plus grande transparence possible vis-à-vis de vos collaborateurs, des parties prenantes, des clients ou des utilisateurs, et de la presse au sujet de l'attaque. Même si vous n'avez pas toutes les réponses, informer les parties prenantes est essentiel.
Il existe des obligations légales de notification aux autorités telles que le DPA/GBA/APD en cas de suspicion de violation de données (généralement dans les 72 heures). https://www.autoriteprotectiondonnees.be/citoyen/agir/contact (site Internet disponible en FR et NL). Impliquez votre délégué à la protection des données (DPD). L'équipe juridique et/ou le DPD peuvent également déposer plainte auprès de la police locale.
Que faire après la crise ?
Vérifiez que les attaquants n'ont pas également compromis la sécurité et l'intégrité de votre système de sauvegarde.
Réparez, mettez à jour, reconstruisez et réinitialisez votre système d'authentification, mettez en place une authentification multifacteurs. Ne restaurez pas un système en utilisant des sauvegardes effectuées juste avant ou après l'attaque. Appliquez d'abord les conseils précédents et ensuite, et seulement ensuite, commencez les activités de reconstruction de votre système à partir des sauvegardes. Veillez à ne pas réinfecter les systèmes sains pendant le processus de restauration. Une fois le système restauré, assurez-vous qu'il ne reste aucune trace de l'attaque sur celui-ci avant de le réintégrer dans votre réseau. Reconstruisez vos systèmes selon un ordre de priorité des services critiques. Restaurez d'abord les serveurs, puis les points de terminaison. Supprimez ou isolez complètement les anciens systèmes et protocoles.
Aucune organisation ne souhaite revivre la même attaque à l'infini. Il est donc important de tirer toutes les leçons possible des incidents et de mettre en place un plan d'action pour définir quelles mesures de sécurité et quels investissements (par exemple, financiers, humains, contractuels, etc.) doivent être mis en place pour renforcer la protection des ressources.
Votre antivirus doit absolument être à jour, ainsi que toutes les applications installées sur le poste de travail. Installez un pare-feu et un système de détection d'intrusion. Mettez en place une politique de gestion sécurisée des mots de passe et instaurez l'authentification multifacteurs qui exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.
