1er réflexe : Isoler les systèmes attaqués
Isoler les systèmes attaqués, en les déconnectant physiquement de votre réseau et en désactivant le service WiFi. Toutefois, veillez à ne pas éteindre le terminal en question.
En déconnectant les systèmes du réseau et en désactivant la fonction WIFI, vous contiendrez l’attaque en évitant sa propagation à d’autres équipements ou parties du réseau. Et laisser les postes sous tension vous permet de conserver des preuves de l’attaque.
2ème réflexe : Rassembler l'équipe de gestion de crise pour une réponse coordonnée
Le rassemblement de l’équipe de gestion de crise est une étape essentielle pour assurer une réponse rapide et efficace en cas d’incident cyber. Composée de spécialistes en sécurité informatique ainsi que des représentants de différentes directions métiers de l’organisation, cette équipe coordonnera les actions à mettre en place pour limiter les impacts de la crise et restaurer rapidement les opérations et systèmes.
Une équipe de gestion de crise se constitue en fonction des compétences nécessaires à la gestion de crise : experts en sécurité pour analyser et contrer la menace, responsables des différents départements métiers pour gérer les conséquences opérationnelles, représentants du service communication pour assurer une information maitrisée, fluide et cohérente entre les parties prenantes.
Leur rôle est de définir les priorités, de mettre en place des mesures correctives, et de garantir une communication claire. En visant les objectifs de rétablissement rapide de l’activité et de minimisation des dégâts.
3ème réflexe : Tenir un registre des événements et des actions réalisées
Pour pouvoir réaliser un bilan constructif à la fin d’une alerte, le recensement des événements et des actions réalisées s’avère nécessaire. Ce registre doit documenter chaque étape de la réponse à incident, les décisions prises, les communications réalisées…
Cette étape est importante pour améliorer les futures défenses, mais également nécessaire pour des raisons de conformité et de responsabilités.
4ème réflexe : Préserver les preuves de l'attaque
En cas d’incident de cybersécurité, il est recommandé de conserver le plus de preuves possibles de l’attaque, tels que les journaux de connexions, les messages reçus, les captures de réseaux, les serveurs ou encore les ordinateurs touchés.
Cette collecte des preuves pourra vous servir pour porter plainte, et pour vos dossiers d’assurance. Les éléments et les données récoltées pourront être utilisés pour analyser et identifier les responsables de l’incident.
5ème réflexe : Anticiper et gérer votre communication de crise cyber
Anticiper la communication de crise est une étape à ne pas négliger, et doit être préparée avant qu’un incident arrive. La préparation de cette communication consiste à rédiger des messages types – compléter ensuite - pour informer les clients et les partenaires. Cela implique de définir un plan de communication, d’identifier les canaux appropriés, et de préparer les parties prenantes à réagir de manière efficace. En cas de crise, il faut également s’assurer que les fonctionnalités informatiques de secours soient disponibles et opérationnelles, permettant d’assurer une communication fluide même si les systèmes principaux de l’organisation sont compromis.
Gérer la communication de crise consiste à mettre en œuvre ces préparatifs lorsqu’un incident survient. Dans cette situation, il est primordial de ne pas se précipiter et de prendre le temps d’élaborer des messages mesurés et transparents. En informant de manière cohérente les clients et partenaires de la situation, permet de maintenant la confiance, de gérer la réputation et montre l’engagement de l’organisation à résoudre la crise. Restez humble, prenez date pour la communication suivante, évitez autant que possible le déni.
6ème réflexe : Appliquer vos solutions de secours (PCA & PRA)
La mise en place des solutions de secours, telles que le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA), doit être anticipée avant la survenue d’une crise. Ces plans sont des éléments clés pour assurer la résilience d'une organisation face à un incident cyber.
Le PCA a pour objectif de garantir la continuité des activités essentielles d’une organisation qui subit un événement perturbant le fonctionnement normal. Il définit les mesures et procédures à adopter pour que l’organisation puisse continuer de fonctionner, même en situation de crise. Ce plan doit être préparé en amont, afin éviter un arrêt total et prolongé de l’activité.
Le PRA a pour objectif de restaurer au plus vite les infrastructures et systèmes pour une reprise de l’activité rapide après un incident. Tout comme le PCA, le PRA doit être préparé en amont afin d’être prêt à intervenir immédiatement.
Lors d’une crise, une fois l'incident identifié, l’équipe de gestion de crise doit déterminer s'il est nécessaire de déployer le PCA pour maintenir les activités ou si le PRA doit être activé pour restaurer les systèmes. Une fois cette décision prise, l’application des procédures permettra de limiter les impacts de la crise et de garantir une reprise des activités.
7ème réflexe : Déposer plainte avant l’action de remédiation
Le dépôt de plainte auprès des autorités compétentes est nécessaire lors de toute cyberattaque.
Ce dépôt de plainte doit être formalisé avant toute action de remédiation[PP1] . Cette démarche doit être faite avec soin, en rassemblant l’ensemble des preuves de compromission en votre possession.
Cette étape permet de formaliser l’incident mais également d’activer les enquêtes officielles. Cela inclut [PP2] la collaboration avec la police, ou des enquêteurs spécialisés en cybersécurité qui pourront identifier les responsables [PP3] et/ou prévenir de futures attaques. Cette démarche garantit une traçabilité légale des événements, pouvant être utile en cas d’actions en justice ou des démarches auprès des assurances.
8ème réflexe : Notifier l’incident à l’ANSSI et à la CNIL en cas de fuite de données
En cas d’attaque informatique, la notification est obligatoire auprès de la CNIL et de l’ANSSI pour se conformer aux réglementations en vigueur. Il est prévu de notifier :
La CNIL (Commission National de l’Informatique et des Libertés) dans les 72 heures suivant l’attaque, en cas d’attaque avec un risque pour les droits et les libertés des personnes, tel que prévu par le RGPD ;
A l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) dans les 24h suivant l’attaque, tel que prévu par NIS 2.
9ème réflexe : Déclarer le sinistre à votre assurance
Dans le cas où votre entreprise a souscrit à une assurance cyber, c’est le moment de les informer pour couvrir (dans certains cas) les coûts liés à l’incident. Une déclaration rapide et précise est essentielle pour activer les garanties prévues dans votre contrat d’assurance cyber.
10ème réflexe : Faire une remise en service progressive et contrôlée
Afin de vérifier que vos nouvelles mesures de sécurité sont efficaces et que les systèmes sont sécurisés, il est recommandé d’effectuer une remise en service progressive. La remise en service inclut la restauration des données à partir de sauvegardes sécurisées (et testées en amont), la mise à jour logiciels, et la surveillance continue pour détecter toute activité suspecte.
L’anticipation : étape indispensable
Avoir en tête les 10 étapes que nous venons de vous présenter peut vous aider à réagir efficacement en cas d’incident de cybersécurité. Disposer des bons réflexes, c’est bien. Anticiper la cyberattaque, c’est mieux et c’est devenu indispensable. Adopter une approche proactive peut non seulement minimiser les risques, mais aussi renforcer la résilience de votre système d’information face aux menaces potentielles.
Par quoi commencer ?
Le meilleur point d’entrée vers une vraie stratégie cybersécurité consiste à effectuer le diagnostic cybersécurité, co-finançable par la région Grand Est ou par bpifrance. Le co-financement est possible à hauteur de 50% dans la limite d'une prestation de 10 000€ HT maximum en choisissant un prestataire référencé par la région.
Soteria Lab fait partie des prestataires référencés par la Région Grand Est pour le diagnostic régional en cybersécurité. Ce diagnostic cybersécurité a pour objectif d’identifier la maturité cyber d’une organisation et de faire un point sur ses forces et faiblesses. À la fin du diagnostic, un plan d’action est remis permettant de prioriser et budgéter les actions à mettre en place, vous offrant ainsi une feuille de route claire pour renforcer votre sécurité.
N’oubliez pas que la cybersécurité nécessite d’agir à la fois sur les leviers techniques, organisationnels et humains, et d’agir dans la durée pour produire des résultats :
Formation et sensibilisation du personnel : programme de sensibilisation, serious game, plateforme e-learning, animations d’atelier…
Mise en place de solutions de protection : EDR, WAF, protection de la messagerie, gestionnaire de mots de passe…
Surveillance des postes de travail et des réseaux : avec un Centre des Opérations de Cybersécurité (SOC)
Mise en place d’un plan de réponse à incident et d’ateliers gestion de crise
Dans une vision managée et globale, notre offre HOPLITE, offre de cybersécurité, dédiée aux TPE et PME est née pour accompagner les structures dans une stratégie cybersécurité. HOPLITE a été conçue en prenant en compte les enjeux humains, technologique et budgétaire des organisations.
Et faire le premier pas ne consisterait pas tout simplement à contacter un pure player de la cybersécurité pour faire un point sur votre situation actuelle ?
-usb-trouva(c)e-610f681b.jpeg&w=2048&q=75)
me-03891084.jpeg&w=2048&q=75)
