En 2021, les PME/TPE/ETI représentaient 52 % des entités victimes d’attaques par rançongiciels1. Les pirates ciblent essentiellement les entreprises peu sécurisées, disposant de ressources financières considérables, supportant difficilement une rupture d’activité. Menace de divulgation de données exfiltrées, attaques par déni de service distribué (DDoS), chantage, harcèlement téléphonique, prises de contact avec des médias, partenaires ou clients de la société victime…2 Les méthodes utilisées par les cybercriminels ne cessent de se diversifier. Quelle attitude adopter face à une cyberattaque en cours ? Comment limiter les impacts sur l’activité ? Les experts cybersécurité NowTeam vous guide pour gérer avec méthode une situation de crise.
Comment faire face à une cyberattaque en cours ?
Dans une PME, une cyberattaque induit systématiquement une situation de crise. L’entreprise peut subir des conséquences à plusieurs niveaux : technique, financier, réputation, juridique. Au vu de leurs impacts multiples, les cyberattaques en cours en 2022 doivent faire l’objet d’une gestion méthodique de la part de l’organisation ciblée. Quels sont les premiers réflexes à adopter pour gérer au mieux la crise ?
- Avertir au plus vite votre support informatique (service informatique en interne, prestataire d’infogérance, personne en charge) de la cyberattaque en cours en France. L’objectif est d’assurer une prise en charge rapide de l’incident.
- Couper l’ensemble des connexions à Internet et au réseau local (LAN). En isolant les systèmes ciblés, vous évitez la propagation de l’attaque informatique à d’autres équipements.
- Former une équipe chargée de gérer la crise. Son rôle est de coordonner les actions menées par tous les services de l’entreprise impactés : RH, financier, communication, juridique, technique, etc.
- Tenir un registre des événements et des actions effectués. En cas d’enquête, il est essentiel de conserver une trace des procédures appliquées. En outre, le registre permet d’analyser a posteriori la manière dont a été géré l’incident.
- Conserver avec soin les preuves de la cyberattaque: équipements touchés, « fichiers journaux » ou logs, éventuels messages reçus, etc.
- En cas d’attaque par ransomware, ne pas payer la rançon. Céder face au chantage ou à une menace des cybercriminels peut être tentant. Or, en réglant la rançon, vous :
- Financez une activité criminelle ;
- Courez le risque d’être à nouveau ciblé par une attaque ;
- Ne disposez d’aucune garantie sur la parole des pirates informatiques.
Comment gérer une cyberattaque France en cours ?
Une fois les points d’attention capitaux pris en compte, la phase de pilotage de la crise peut débuter. Plusieurs actions sont à mener :
- Déclarez le sinistre à votre assureur. Selon votre niveau de couverture, il peut vous dédommager ou vous fournir une assistance.
- Déployez les plans de continuité (PCA) et de reprise (PRA) d’activité. Ces solutions de secours sont essentielles pour garantir la continuité des services et opérations. Ces solutions de secours sont essentielles pour garantir la continuité des services et opérations.
- Si des informations permettant d’effectuer des transferts de fonds sont susceptibles d’avoir fuité, alertez la banque.
- Déposez une plainte en communiquant l’intégralité des preuves récoltées. Pensez à le faire avant de mettre en œuvre toute action de remédiation.
- Avec l’aide de votre support informatique, si vous en avez, déterminez l’origine et l’étendue de la cyberattaque en cours.
- En cas de consultation, modification, destruction ou vol de données sensibles, signalez l’attaque informatique à la Commission nationale de l’informatique et des libertés (CNIL) dans un délai de 72 heures.
Bon à savoir : Quelle communication en cas de cyberattaque ?
Lors d’une cyberattaque mondiale en cours, la gestion de la communication en interne, comme en externe joue un rôle crucial. L’enjeu est de parvenir à informer vos clients, salariés, partenaires, fournisseurs, médias avec le juste niveau de transparence. N’oubliez pas de tenir compte des risques psychosociaux induits par la crise. Sidération, humiliation, incompétence, culpabilité… Il est important de savoir réagir face aux multiples sentiments ressentis par vos collaborateurs.
Comment favoriser la reprise de l’activité en cas de cyberattaque ?
Lorsque la crise est calmée, vous pouvez envisager une remise en service progressive. Avant de la réaliser, assurez-vous de deux choses :
- Le système ciblé par la cyberattaque n’est plus vulnérable ;
- Une surveillance de son fonctionnement a été mise en œuvre pour éviter tout nouveau piratage informatique.
Autre étape incontournable au sortir de la crise, l’établissement d’un bilan, analysant les points forts et les axes d’amélioration de la stratégie adoptée. Construisez un plan d’action à mener pour éviter et, au besoin, anticiper au mieux la prochaine cyberattaque. Enfin, établissez la liste des investissements nécessaires pour renforcer votre niveau de sécurité informatique : techniques, contractuels, financiers, humains, organisationnels.
Vous souhaitez empêcher efficacement les intrusions malveillantes ? Découvrez NowSecure, le service de sécurisation réseau managé des PME. Une équipe dédiée SOC vous propose des solutions informatiques adaptées à vos besoins : prévention d’intrusion, antivirus de passerelle, autorité de réputation, corrélation de réseau et postes de travail, prévention et pertes de données, filtrage URL, demandez-leur conseil !
Les 3 points clés à retenir :
- Les dirigeants de PME sont la principale cible des rançongiciels.
- Pour bien gérer une crise cyber, il est essentiel d’adopter les bons réflexes, puis d’en assurer un pilotage méthodique.
- Prendre le temps de tirer des enseignements de l’incident permet de limiter les risques de survenue d’une nouvelle cyberattaque.
1, 2https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf