Mon entreprise

Protocole d'urgence face à une cyberattaque : votre guide pratique

Cybersecurity_Guide

Dans notre monde de plus en plus numérisé, aucune entreprise n'est à l'abri des cyberattaques. Contrairement à l'idée selon laquelle les cyberattaques ne concernent que les grandes organisations, il est important de comprendre que toutes les entreprises, indépendamment de leur taille ou des informations qu'elles collectent et traitent, peuvent être la cible des cybercriminels.

D'après un rapport de l'ENISA daté de 2021, 68 % des petites et moyennes entreprises (PME) ont déclaré avoir été victimes d'une cyberattaque. Ces chiffres ont nettement augmenté ces dernières années, avec 75 % des attaques ciblant spécifiquement les entreprises de taille moyenne.

Même les PME sont sous menace constante. Malheureusement, bon nombre d'entre elles ne disposent pas de départements informatiques dédiés pour gérer ces crises.

Face à cette réalité, comprendre comment réagir efficacement lors d'une cyberattaque devient une priorité. Voici comment naviguer dans ces situations difficiles :

1. Préparez-vous en amont - Identification des systèmes et préparation

  • Dressez la liste de tous les systèmes informatiques de votre entreprise. Cela inclut les serveurs, les ordinateurs de bureau, les ordinateurs portables, les tablettes, les smartphones et tout autre appareil connecté à votre réseau. Cette liste vous aidera à comprendre quelles ressources pourraient être affectées en cas d'attaque, et où vous devez concentrer vos efforts de protection.
  • Mettez en place un système de sauvegarde des données. Cela peut être aussi simple que d'utiliser un service de sauvegarde en ligne ou de stocker des copies régulières de vos fichiers importants sur un disque dur externe.
  • Assurez-vous que votre entreprise dispose d'un pare-feu efficace pour protéger votre réseau. Un pare-feu est un système qui empêche les accès non autorisés à votre réseau tout en permettant les communications légitimes. Vous pouvez engager un professionnel de la cybersécurité pour l’installation.
  • Mettez à jour régulièrement les systèmes et les logiciels. Les mises à jour contiennent souvent des correctifs de sécurité qui peuvent protéger vos systèmes contre les menaces connues.
  • Formez et sensibilisez régulièrement vos employés. Les employés sont souvent la première ligne de défense contre les cyberattaques. Assurez-vous qu'ils sont informés des dernières menaces et savent comment réagir en cas d'attaque.
  • Mettez en place un plan de réponse aux incidents. Un plan de réponse aux incidents détaille les étapes que votre entreprise doit suivre en cas de cyberattaque. Cela peut inclure des informations sur la façon d'identifier une attaque, de contenir l'attaque, d'évaluer les dommages, de récupérer et de communiquer l'incident à toutes les parties concernées.

2. Observer les bonnes pratiques durant l'incident

Étape 1 : Identification de l'incident

Repérez les indices révélateurs, comme :

  • des problèmes de connexion
  • des modifications de fichiers inexpliquées
  • des performances de système irrégulières
  • des alertes de logiciels de sécurité

Étape 2 : Restez calme

En cas d'attaque, restez calme. En suivant les étapes de ce guide, vous pouvez gérer la situation de manière organisée, limiter les impacts et reprendre vos activités aussi rapidement que possible. Il est essentiel de ne pas céder à toutes les demandes de rançon et de ne pas répondre à toutes sortes de menaces.

Étape 3 : Informez votre responsable

Dès la détection d'une attaque, avertissez rapidement votre responsable informatique ou le responsable de la sécurité informatique.

  1. Soyez précis. Fournissez des informations concrètes sur ce que vous avez observé, comme les systèmes affectés, les alertes (ou indices) et le moment de la première détection.
  2. Ne tentez pas de résolution. N'essayez pas de supprimer le logiciel malveillant ou de restaurer les systèmes vous-même, sauf si vous êtes un expert en cybersécurité.
  3. Suivez les instructions. Une fois que vous avez informé votre responsable, soyez prêt à suivre ses instructions.
  4. Documentez vos actions. Tenez un journal de vos actions et de tout comportement inhabituel observé.

Votre promptitude à signaler peut faire une grande différence dans la gestion de la cyberattaque.

Étape 4 : Contention de l'attaque

  1. Essayez de limiter son impact. Agir rapidement peut aider à réduire la quantité de données ou de systèmes touchés.
  2. Déconnectez les systèmes affectés du réseau pour éviter la propagation de l'attaque. Cela peut empêcher le logiciel malveillant de se propager à d'autres systèmes sur votre réseau.
  3. Assurez-vous de sauvegarder les données existantes pour prévenir toute perte d'informations.

Si vous n'avez pas de sauvegardes récentes disponibles, il peut être risqué de tenter de sauvegarder les données pendant une attaque sans l'aide d'un expert. Dans ce cas, l'idéal serait de demander l'aide d'un professionnel.

Si vous décidez de procéder vous-même, essayez d'isoler les données que vous sauvegardez pour minimiser le risque de sauvegarder également le logiciel malveillant. Par exemple, vous pouvez essayer de sauvegarder uniquement les fichiers importants qui n'ont pas été modifiés depuis le début de l'attaque sur un disque qui ne contient pas déjà d'autres données.

Notez que cette procédure comporte des risques et qu’il n'est souvent pas évident de mener de pareilles actions lors d'un incident. Donc la consultation avec un professionnel est fortement recommandée.

  1. Utilisez votre pare-feu ou d'autres outils de sécurité pour bloquer l'accès de l'attaquant. Cela peut inclure la mise à jour de vos définitions de virus et la réalisation d'un balayage complet du système pour identifier et supprimer le logiciel malveillant. Pour la recherche de logiciels malveillants, il convient d'utiliser une solution de gestion des vulnérabilités.

Rappelez-vous, l'idéal est de prévenir les attaques avant qu'elles ne se produisent en ayant des mesures de sécurité robustes en place, y compris des sauvegardes régulières de vos données. Si vous n'avez pas encore mis en place ces mesures, il est fortement recommandé de le faire dès que possible.

Étape 5 : Contactez les experts du Computer Incident Response Center Luxembourg (CIRCL) ou un professionnel de la cybersécurité

Il est vivement conseillé de faire appel à des professionnels de la cybersécurité pour gérer l'incident, en particulier si votre entreprise ne dispose pas d'un service informatique interne dédié. À ce stade, vous devriez contacter le Computer Incident Response Center Luxembourg (CIRCL) ou un professionnel de la cybersécurité pour obtenir de l'aide.

Si vous souhaitez contacter le CIRCL, voici les informations nécessaires :

  • Tél. : (+352) 247 88444
  • E-mail : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Lorsque vous contactez le CIRCL ou un autre professionnel de la cybersécurité en cas d'incident, il peut ne pas être évident de disposer de toutes les informations nécessaires immédiatement. Toutefois, soyez prêt à fournir autant d'informations que possible sur l'incident, y compris le type d'attaque, les systèmes touchés, les données compromises et les mesures que vous avez prises jusqu'à présent pour contenir l'attaque. Il est important de tenir un journal des événements avec toutes les descriptions, les preuves et la chronologie, même si toutes ces informations ne sont pas immédiatement disponibles. Ces informations aideront les professionnels à comprendre la situation et à déterminer les meilleures étapes à suivre.

3. Activités/analyses post incident

Étape 6 : Évaluation de l'attaque

Cette évaluation vous permettra de comprendre les systèmes qui ont été touchés, les données qui ont été compromises, et l'ampleur des dommages causés par l'attaque.

1. Identification des systèmes affectés

  • Commencez par dresser la liste de tous les systèmes informatiques de votre entreprise. Cela inclut les serveurs, les ordinateurs de bureau, les ordinateurs portables, les tablettes, les smartphones et tout autre appareil connecté à votre réseau.
  • Pour chaque appareil, vérifiez s'il présente des signes d'attaque. Quelques exemples de signes qu’un appareil est infecté :
    • des performances inhabituellement lentes
    • des fichiers manquants ou modifiés
    • des données ou fichiers ajoutées sans autorisation
    • des programmes inconnus qui s'exécutent
    • des alertes de sécurité
    • etc.

2. Analyse des données compromises

Pour chaque type de données, essayez de comprendre l'impact que leur compromission peut avoir sur votre entreprise. Les données peuvent inclure des informations personnelles sur les clients, des données financières, des propriétés intellectuelles, des données de performance de l'entreprise, des communications internes, etc. Par exemple, si les informations personnelles des clients ont été compromises, cela pourrait entraîner une violation des lois sur la protection des données (RGDP) et des amendes substantielles. Si des données financières ont été compromises, cela pourrait avoir un impact sur la performance financière de votre entreprise.

3. Évaluation de l'ampleur des dommages

Evaluez l'ampleur des dommages causés par l'attaque. Cela peut être difficile à quantifier, mais il est important d'obtenir une estimation aussi précise que possible pour orienter vos prochaines actions. L'ampleur des dommages peut être évaluée en fonction de divers facteurs, tels que le coût de la récupération des systèmes affectés, le coût de la mise en conformité en cas de violation des lois sur la protection des données, la perte de revenus due à une interruption de l'activité et les dommages potentiels à la réputation de votre entreprise.

Tout au long de ce processus, il est fortement recommandé de faire appel à des professionnels de la cybersécurité. Ils ont l'expertise nécessaire pour évaluer de manière précise et exhaustive l'ampleur de l'attaque et ils peuvent vous aider à déterminer et mettre en place des mesures pour prévenir de futures attaques.

Étape 7 : Notification aux parties concernées

Informez toutes les parties concernées de l'incident. Cela peut inclure les employés, les clients, les partenaires commerciaux et les autorités compétentes, comme la Commission nationale pour la protection des données (CNPD) au Luxembourg ou la police.

Étape 8 : Résolution et restauration

Après avoir contenu et évalué l'attaque, résoudrez et rétablissez les services et systèmes touchés. Le nettoyage des systèmes peut impliquer la suppression de logiciels malveillants, la réparation de fichiers système, la restauration de systèmes à partir de sauvegardes sûres et l'installation de mises à jour ou de correctifs.

Si vous n'avez pas de système de sauvegarde en place, la récupération des données peut être plus compliquée. Des professionnels de la cybersécurité ou des services de récupération de données pourraient être en mesure de récupérer certaines informations, mais ce n'est pas garanti.

Étape 9 : Analyse post-incident

Après la gestion de la crise, analysez l'incident, tirez des leçons et mettez en place de nouvelles mesures de sécurité.

  1. Identification des Points Faibles : Quels étaient les points faibles exploités par l’attaquant ? Comment peuvent-ils être renforcés ?
  2. Mesures de Sécurité Supplémentaires : Quelles mesures de sécurité supplémentaires peuvent être mises en place pour prévenir de futures attaques ?
  3. Évaluation des Procédures Actuelles : Examinez vos procédures actuelles et identifiez les domaines qui nécessitent des améliorations.
  4. Formation et Sensibilisation : Assurez-vous que vos employés sont informés des dernières menaces et savent comment réagir en cas d'attaque.
  5. Mise en Place d'un Plan de Réponse aux Incidents : Si vous n'avez pas déjà un plan de réponse aux incidents, développez-en un qui détaille les étapes à suivre en cas de cyberattaque.

L'analyse post-incident est une étape cruciale pour comprendre ce qui s'est passé et comment éviter que cela ne se reproduise à l'avenir. Collaborer avec des professionnels de la cybersécurité peut vous aider à effectuer cette analyse de manière plus précise et exhaustive.

Conclusion

La gestion d'une cyberattaque est un processus complexe et délicat qui nécessite une préparation, une réaction rapide et une analyse approfondie. L'approche progressive "étape par étape" exposée dans ce document est conçue pour veiller à ce que les actions soient entreprises au bon moment pour une gestion optimale de l'incident.

N'oubliez pas que la prévention est souvent la meilleure défense. Investir dans des mesures de sécurité robustes, former régulièrement vos employés et avoir un plan de réponse aux incidents en place peut vous aider à minimiser les risques et à gérer efficacement les attaques si elles se produisent.

Si vous avez des questions ou avez besoin d'une assistance supplémentaire, n'hésitez pas à contacter des professionnels de la cybersécurité ou le Centre National de Compétence en Cybersécurité (NC3) au Luxembourg.