Réponse à un incident
La réponse à incident c’est quoi ?
Nous parlons de réponse à un incident dans le cadre d’une réponse de la victime ou de son prestataire à un incident de sécurité informatique. Pour faire simple, il s’agit de la somme des opérations ou des actions en réaction à l’incident de sécurité informatique.
Cells-ci vont permettre à la victime ou au prestataire impacté de sortir de la crise. Cela revient à mettre en œuvre trois étapes clés :
- l’adoption des premiers réflexes,
- le pilotage de la crise
- la gestion de sortie de crise.
Attention : il faut agir rapidement !
Dans le cas d’un incident, il est nécessaire d’agir rapidement et d’effectuer les constatations techniques dans les meilleurs délais.
Adoptons les bons réflexes :
- Votre support informatique ou votre prestataire doivent être alertés les premiers
- Nous devons isoler les systèmes attaqués du réseau sans les éteindre dans la mesure du possible (il faut pouvoir collecter les preuves).
- Il faut ensuite constituer une équipe de gestion de crise en définissant leurs responsabilités de chacun (décideurs, RH, finance, communication, etc).
- Il est important de tracer dans un registre l’ensemble des actions réalisées.
- Enfin, il faut dans la mesure du possible préserver les preuves, ce qui nécessite parfois de réaliser des actions de sauvegardes ou de copies avant de remettre en état les systèmes.
Comment piloter la crise ?
- C’est le moment de tester votre plan de reprise d’activité (si vous en avez un) ou vos sauvegardes.
- Il faut déclarer ensuite le sinistre auprès de votre assureur (cette étape peut avoir lieu avant en fonction de votre capacité à intervenir).
- Nous vous recommandons d’alerter également votre banque si des informations permettant de réaliser des transferts de fonds ont pu être piratés/dérobés/corrompus.
- Il sera aussi nécessaire de déposer plainte en gendarmerie et éventuellement de remplir la primo-déclaration à la CNIL (vous pourrez compléter ultérieurement).
- L’objectif est d’identifier ensuite et surtout d’analyser avec précision l’origine de l’attaque afin de corriger et ainsi éviter un nouvel incident.
- Enfin, nous vous recommandons de gérer votre communication avec le bon niveau d’informations auprès de vos clients, partenaires, fournisseurs, médias etc. pour limiter les pertes.
Sortir de la crise, possible ?
- Une fois que vous êtes arrivés au bout des étapes, vous pouvez maintenant redémarrer progressivement en vous assurant d’avoir corrigé les vulnérabilités ou défauts de sécurité éventuels.
Des mesures correctrices sont éventuellement à prévoir. Il vous sera nécessaire de superviser finement et activement le système pour détecter toutes nouvelles cyberattaques.
- Dans la mesure du possible, prenez du temps pour tirez les conclusions et les enseignements de l’incident en définissant des plans d’actions sécurité, des plans de reprise, des investissements d’outils de détection et blocage, investissements RH, le tout pour éviter tout nouvel incident et peut être mieux gérer la prochaine crise afin d’en minimiser l’impact.
Les premiers intervenants doivent limiter les dommages et préserver les traces utiles.
Police Nationale – Sous direction de la lutte contre la cybercriminalité