Entreprise : comment réagir en cas de cyberattaque ?

Avez-vous déjà réfléchi à un plan d’action si votre entreprise est victime d’une cyberattaque ? Car hélas, aucune structure ne peut se vanter d’être à l’abri de ce type de menace. En témoigne la dernière cyberattaque (Août 2022) , visant un hôpital de l’Essone. C’est pourquoi, nous vous partageons nos conseils pour adopter les bons réflexes numériques avant, pendant et après une cyberattaque.

Comment anticiper les cyberattaques ?

Protégez votre parc informatique

Vous connaissez sûrement le dicton : « Mieux vaut prévenir que guérir » ? Et bien il s’applique aussi dans le domaine de la cybersécurité. Au vu de l’explosion des attaques ciblant les entreprises, il est indispensable de mettre en place toutes les mesures de protection disponibles pour vous préserver des cybermenaces :

• pare-feu
• antivirus
• anti-spam
• mises à jour régulières
• mots de passe solides
• authentification à double facteur

N’hésitez pas à consulter les articles dédiés à chacun de ces moyens de protection informatique. Nous vous donnons de nombreuses astuces pour protéger vos données et votre matériel. Ainsi que de précieuses informations pour repérer le mode opératoire des hackers et ne pas tomber dans leurs pièges.

Réalisez des sauvegardes de vos données

En cas de problème vos sauvegardes représentent une garantie pour la continuité de votre activité. Vous devez donc impérativement intégrer cette notion dans vos process de travail. Quitte à faire appel à votre prestataire informatique si vous ne savez pas par où commencer, ou êtes débordé. Car en effet, gérer sérieusement un plan de sauvegarde demande des connaissances techniques ainsi que du temps pour :

• identifier tous les éléments à sauvegarder
• utiliser les bons outils pour réaliser vos sauvegardes
• s’assurer de leur bon fonctionnement
• et les dupliquer

Pour aller plus loin, nous vous invitons à lire notre article détaillé sur la gestion de vos sauvegardes.

Sécurisez votre réseau

Votre réseau d’entreprise, s’il est peu ou mal sécurisé, représente pour les pirates un point d’accès direct à vos données. Comme par exemple vos :

• identifiants et mots de passe
• cookies acceptés et installés sur vos navigateurs web
• vos adresses emails et celles de vos contacts
• conversations via des applications de messagerie non sécurisées
• votre historique web
• etc…

Et les hackers savent parfaitement varier leurs méthodes pour vous dérober ces éléments sensibles. Voilà pourquoi, il est indispensable de les protéger. Pour ce faire nous recommandons à minima :

• d’utiliser un VPN pour garantir la confidentialité et la sécurité de vos données (même en déplacement ou télétravail)
• d’appliquer nos recommandations pour sécuriser au mieux votre routeur wifi
• de vous servir d’un pare-feu pour autoriser ou non les transferts d’informations entre votre réseau d’entreprise et le réseau externe qu’est Internet

Établissez un Plan de Continuité et/ou de Reprise d’Activité

Prévoyez également un plan d’action qui pourra être mis en place rapidement en cas de crise. Même si vous avez installé toutes les mesures de protection citées précédemment. D’une part car ces moyens de protection peuvent être déjoués par des pirates très aguerris et motivés. Et d’autre part, car ce plan pourra également vous être utile en cas d’incident physique (catastrophe naturelle, panne matérielle etc…)

Les Plan de Continuité d’Activité et de Reprise d’Activité sont alors tout indiqués pour limiter les effets d’une cyberattaque, ou d’un incident physique, sur votre société. En effet, ils permettent d’établir des procédures qui :

• identifient en amont l’ensemble des risques pouvant menacer votre activité
• apportent des solutions concrètes à appliquer selon le niveau de gravité de la crise
• vous permettent d’éviter l’arrêt de votre production (Plan de Continuité d’Activité abrégé en PCA) ou de faire repartir votre activité dans de bonnes conditions si l’arrêt n’a pu être esquivé (Plan de Reprise d’Activité abrégé en PRA)

Sensibilisez vos équipes aux cyber risques

Il faut savoir que la majorité des cyberattaques réussies ont pour cause une erreur humaine (inattention, manque de formation, etc…). De ce fait, pour éviter que l’un de vos collaborateurs (ou vous même) ne fasse rentrer le loup dans la bergerie il vaut mieux prendre les devant et former et sensibiliser en continu vos équipes. Par exemple en :

• les informant régulièrement sur les menaces actuelles du web, ainsi que sur leurs conséquences pour votre activité
• testant leurs connaissances par surprise pour évaluer leur niveau de connaissance (car les pirates ne préviennent pas avant d’attaquer)
• rédigeant une charte informatique
• mettant en place une stratégie globale d’hygiène informatique au sein de votre entreprise
• sécurisant le travail nomade dans votre structure (déplacement, télétravail)

Comment réagir lors d’une cyberattaque en cours ?

Déconnectez la machine du réseau SANS l’arrêter

Lorsque vous avez identifié la machine ciblée par l’attaque :

• déconnectez la immédiatement du réseau (câble Ethernet, wifi, Bluetooth…) pour éviter la propagation de l’attaque sur l’ensemble de votre système informatique
• mais surtout ne l’arrêtez pas !

Vous risqueriez d’effacer des éléments précieux concernant l’attaque (preuves, indices sur la faille exploitée par le pirate, etc…)

Avertir immédiatement votre prestataire informatique

Plus vous serez réactifs et préviendrez tôt votre prestataire informatique, plus vite celui ci pourra prendre en main la situation :

• déclenchement d’un PCA/PRA
• identification de l’étendue de l’attaque
• mise en quarantaine des machines touchées par l’attaque
• correction des vulnérabilités exploitées par les attaquants
• tenue d’un registre des actions réalisées pour effectuer ensuite un bilan de gestion de la crise

Ne pas obéir aux pirates ni communiquer avec eux

Dans tous les cas, n’établissez aucun contact avec les pirates :

• s’ils cherchent à échanger avec vous (mail, numéro de téléphone…) ne leur répondez pas car vous pourriez leur donner des informations utiles malgré vous
• ne cliquez pas sur les liens ou pop-ups pouvant s’afficher de manière intempestive sur les machines touchées
• si vous êtes victime d’un ransomware, ne payez surtout par la rançon demandée. Car, rien ne garantit que vous retrouverez vos données une fois le règlement effectué.

Conserver toutes les preuves de l’attaque

Il est tentant de « nettoyer » rapidement les machines qui ont été la cible d’une cyberattaque, afin de reprendre une activité normale au plus vite. Cependant, en agissant ainsi vous effaceriez une grande partie des preuves de l’attaque :

• éventuels messages reçus
• journaux de connexion
• potentielles traces laissées par l’assaillant
• etc…

Ces preuves vous seront d’une grande utilité pour pouvoir porter plainte une fois la crise gérée.

Que faire après avoir été victime d’une cyberattaque ?

Porter plainte immédiatement

Avant d’entreprendre toute action de rétablissement de votre système informatique, portez plainte immédiatement auprès de la gendarmerie nationale. Cela permettra de :

• potentiellement identifier et arrêter les cybercriminels
• définir des tendances concernant les cyberattaques actuelles (type et ampleur de l’attaque, cible visée, etc…)
• d’obtenir des indemnisations de la part de votre assureur

Bien entendu, n’oubliez pas, lors de votre dépôt de plainte, de fournir toutes les preuves de l’attaque que vous avez récoltées.

Avertir votre banque, assurance, et la CNIL

Si l’attaque a eu un impact sur des données sensibles telles que vos informations bancaires, avertissez votre banque dans les plus brefs délais, afin qu’elle puisse prendre les mesures nécessaire en cas de transferts de fonds suspects.

De même, si des données personnelles (emails, éléments d’identité, informations financières, etc…) de clients, fournisseurs, ou partenaires ont été dérobées/consultées/détériorées, vous avez l’obligation d’en informer la CNIL dans les 72h suivant le sinistre.

Dans tous les cas, si vous êtes victime d’une cyberattaque, contactez votre assureur. Selon les modalités de votre contrat vous pourrez percevoir des indemnisations et/ou obtenir une assistance particulière prévue pour ce type de situation.

S’assurer que l’attaque est bien terminée

C’est à dire contrôler l’intégralité de votre système informatique, afin de vérifier que les pirates n’ont plus accès à :

• vos machines
• votre réseau d’entreprise
• vos données

Analyser les sources de l’attaque

Pour éviter que la situation ne se reproduise, il est nécessaire d’étudier comment les pirates ont pu s’introduire dans votre système informatique. C’est une des missions de votre prestataire informatique. Une fois la vulnérabilité découverte, il se chargera de la corriger pour garantir la sécurité de votre système.

Dans le cas d’une erreur humaine, il pourra également vous fournir de nombreux conseils et bonnes pratiques pour éviter une nouvelle attaque.

Remettre en service le système attaqué

Enfin, la dernière étape consiste à remettre en marche progressivement votre système informatique. Au cours de cette étape, votre prestataire informatique s’assurera que vos équipements :

• ne présentent pas de trace de logiciel malveillant
• sont bien sécurisés
• fonctionnent correctement (pour repérer au plus vite toute nouvelle tentative de cyberattaque)

Voilà, maintenant vous savez comment réagir en cas de cyberattaque visant votre entreprise. Et vous l’aurez remarqué, comme dans beaucoup de domaines l’anticipation est la clé. Dans le cas présent, elle permet de bloquer la majorité des menaces. Cependant, le risque zéro n’existant pas, il vaut mieux vous préparer « au cas où ». Chez Axis Solutions, nos équipes sont à vos côtés pour vous :

• fournir en amont tous les moyens de protection nécessaire à votre société
• accompagner dans l’établissement d’un Plan de Continuité ou de Reprise d’Activité (PRA/PCA)
• intervenir méthodiquement en cas d’attaque
• remettre en service vos systèmes informatiques

Vous pourriez lire aussi :

• Cyber risques en entreprise : les anticiper pour les réduire
• Comment reconnaître les signes d’une cyberattaque ?
• PCA ou PRA : pourquoi vous devriez (vraiment) y songer !