Dans notre monde de plus en plus numérisé, aucune entreprise n'est à l'abri des cyberattaques. Contrairement à l'idée selon laquelle les cyberattaques ne concernent que les grandes organisations, il est important de comprendre que toutes les entreprises, indépendamment de leur taille ou des informations qu'elles collectent et traitent, peuvent être la cible des cybercriminels.
D'après un rapport de l'ENISA daté de 2021, 68 % des petites et moyennes entreprises (PME) ont déclaré avoir été victimes d'une cyberattaque. Ces chiffres ont nettement augmenté ces dernières années, avec 75 % des attaques ciblant spécifiquement les entreprises de taille moyenne.
Même les PME sont sous menace constante. Malheureusement, bon nombre d'entre elles ne disposent pas de départements informatiques dédiés pour gérer ces crises.
Face à cette réalité, comprendre comment réagir efficacement lors d'une cyberattaque devient une priorité. Voici comment naviguer dans ces situations difficiles :
Repérez les indices révélateurs, comme :
En cas d'attaque, restez calme. En suivant les étapes de ce guide, vous pouvez gérer la situation de manière organisée, limiter les impacts et reprendre vos activités aussi rapidement que possible. Il est essentiel de ne pas céder à toutes les demandes de rançon et de ne pas répondre à toutes sortes de menaces.
Dès la détection d'une attaque, avertissez rapidement votre responsable informatique ou le responsable de la sécurité informatique.
Votre promptitude à signaler peut faire une grande différence dans la gestion de la cyberattaque.
Si vous n'avez pas de sauvegardes récentes disponibles, il peut être risqué de tenter de sauvegarder les données pendant une attaque sans l'aide d'un expert. Dans ce cas, l'idéal serait de demander l'aide d'un professionnel.
Si vous décidez de procéder vous-même, essayez d'isoler les données que vous sauvegardez pour minimiser le risque de sauvegarder également le logiciel malveillant. Par exemple, vous pouvez essayer de sauvegarder uniquement les fichiers importants qui n'ont pas été modifiés depuis le début de l'attaque sur un disque qui ne contient pas déjà d'autres données.
Notez que cette procédure comporte des risques et qu’il n'est souvent pas évident de mener de pareilles actions lors d'un incident. Donc la consultation avec un professionnel est fortement recommandée.
Rappelez-vous, l'idéal est de prévenir les attaques avant qu'elles ne se produisent en ayant des mesures de sécurité robustes en place, y compris des sauvegardes régulières de vos données. Si vous n'avez pas encore mis en place ces mesures, il est fortement recommandé de le faire dès que possible.
Il est vivement conseillé de faire appel à des professionnels de la cybersécurité pour gérer l'incident, en particulier si votre entreprise ne dispose pas d'un service informatique interne dédié. À ce stade, vous devriez contacter le Computer Incident Response Center Luxembourg (CIRCL) ou un professionnel de la cybersécurité pour obtenir de l'aide.
Si vous souhaitez contacter le CIRCL, voici les informations nécessaires :
Lorsque vous contactez le CIRCL ou un autre professionnel de la cybersécurité en cas d'incident, il peut ne pas être évident de disposer de toutes les informations nécessaires immédiatement. Toutefois, soyez prêt à fournir autant d'informations que possible sur l'incident, y compris le type d'attaque, les systèmes touchés, les données compromises et les mesures que vous avez prises jusqu'à présent pour contenir l'attaque. Il est important de tenir un journal des événements avec toutes les descriptions, les preuves et la chronologie, même si toutes ces informations ne sont pas immédiatement disponibles. Ces informations aideront les professionnels à comprendre la situation et à déterminer les meilleures étapes à suivre.
Cette évaluation vous permettra de comprendre les systèmes qui ont été touchés, les données qui ont été compromises, et l'ampleur des dommages causés par l'attaque.
1. Identification des systèmes affectés
2. Analyse des données compromises
Pour chaque type de données, essayez de comprendre l'impact que leur compromission peut avoir sur votre entreprise. Les données peuvent inclure des informations personnelles sur les clients, des données financières, des propriétés intellectuelles, des données de performance de l'entreprise, des communications internes, etc. Par exemple, si les informations personnelles des clients ont été compromises, cela pourrait entraîner une violation des lois sur la protection des données (RGDP) et des amendes substantielles. Si des données financières ont été compromises, cela pourrait avoir un impact sur la performance financière de votre entreprise.
3. Évaluation de l'ampleur des dommages
Evaluez l'ampleur des dommages causés par l'attaque. Cela peut être difficile à quantifier, mais il est important d'obtenir une estimation aussi précise que possible pour orienter vos prochaines actions. L'ampleur des dommages peut être évaluée en fonction de divers facteurs, tels que le coût de la récupération des systèmes affectés, le coût de la mise en conformité en cas de violation des lois sur la protection des données, la perte de revenus due à une interruption de l'activité et les dommages potentiels à la réputation de votre entreprise.
Tout au long de ce processus, il est fortement recommandé de faire appel à des professionnels de la cybersécurité. Ils ont l'expertise nécessaire pour évaluer de manière précise et exhaustive l'ampleur de l'attaque et ils peuvent vous aider à déterminer et mettre en place des mesures pour prévenir de futures attaques.
Informez toutes les parties concernées de l'incident. Cela peut inclure les employés, les clients, les partenaires commerciaux et les autorités compétentes, comme la Commission nationale pour la protection des données (CNPD) au Luxembourg ou la police.
Après avoir contenu et évalué l'attaque, résoudrez et rétablissez les services et systèmes touchés. Le nettoyage des systèmes peut impliquer la suppression de logiciels malveillants, la réparation de fichiers système, la restauration de systèmes à partir de sauvegardes sûres et l'installation de mises à jour ou de correctifs.
Si vous n'avez pas de système de sauvegarde en place, la récupération des données peut être plus compliquée. Des professionnels de la cybersécurité ou des services de récupération de données pourraient être en mesure de récupérer certaines informations, mais ce n'est pas garanti.
Après la gestion de la crise, analysez l'incident, tirez des leçons et mettez en place de nouvelles mesures de sécurité.
L'analyse post-incident est une étape cruciale pour comprendre ce qui s'est passé et comment éviter que cela ne se reproduise à l'avenir. Collaborer avec des professionnels de la cybersécurité peut vous aider à effectuer cette analyse de manière plus précise et exhaustive.
La gestion d'une cyberattaque est un processus complexe et délicat qui nécessite une préparation, une réaction rapide et une analyse approfondie. L'approche progressive "étape par étape" exposée dans ce document est conçue pour veiller à ce que les actions soient entreprises au bon moment pour une gestion optimale de l'incident.
N'oubliez pas que la prévention est souvent la meilleure défense. Investir dans des mesures de sécurité robustes, former régulièrement vos employés et avoir un plan de réponse aux incidents en place peut vous aider à minimiser les risques et à gérer efficacement les attaques si elles se produisent.
Si vous avez des questions ou avez besoin d'une assistance supplémentaire, n'hésitez pas à contacter des professionnels de la cybersécurité ou le Centre National de Compétence en Cybersécurité (NC3) au Luxembourg.