Peu importe l’envergure d’un établissement, une cyberattaque reste une situation de crise importante capable de faire beaucoup de dégât (financier, juridique, économique).
Voilà pourquoi la gestion d’une cyberattaque se doit d’être faite avec tact. L’objectif dans cette approche est de limiter au maximum les impacts et permettre une reprise d’activité dans les meilleurs délais avec les conditions de sécurité pour empêcher une récidive.
Étape 1 : appliquez les premières mesures
- Signalez aussitôt votre support informatique (à condition d’en avoir) pour qu’il prenne en compte l’incident (service informatique, prestataire, personne en charge).
- Détachez les systèmes attaqués pour stopper la propagation de l’attaque d’autres équipements. Pour cela, il suffit de couper toutes les connexions à Internet et au réseau local.
- Formez votre équipe de gestion de crise afin qu’il puisse piloter les différentes actions à entreprendre par l’ensemble des branches de l’entreprise (technique, RH, financière, communication, juridique…).
- Tenez un registre des évènements et actions réalisées afin d’en conserver la trace pour les actions des enquêteurs et tirer les enseignements de l’incident passé.
- Gardez des preuves de l’attaque : messages reçus, machines touchées, journaux de connexion, etc.
- Attention, le payement de rançon incite les cybercriminels à refaire leur méfait. De plus, céder à leur menace peut être assimilé à un financement d’activité criminelle.
Étape 2 : pilotez la crise
- Établissez rapidement des solutions de secours afin de pouvoir poursuivre les services indispensables de l’entreprise. Mettez en marche vos plans de continuité et de reprise d’activité si vous en avez.
- Déclarez le sinistre auprès de votre assureur afin de vous dédommager, voire vous assister selon votre niveau de couverture assurantielle.
- Signalez votre banque s’il y a un risque de fuite d’informations concernant la réalisation des transferts de fonds
- Déposez plainte avant toute action de remédiation avec toutes les preuves à votre disposition
- Localisez la source de l’attaque et son étendue afin d’agir correctement sur ce qui doit être fait et pour se prémunir de nouvelle attaque.
- Notifiez l’incident à la CNIL dans les 72 h en cas où des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels.
- Gérez votre communication afin d’informer vos administrés, clients, collaborateurs, partenaires, fournisseurs, médias… avec le juste niveau de transparence
Conseil : un accompagnement efficace est toujours mieux que de gérer « seul l’attaque. Sachez qu’il existe de nombreux prestataires spécialisés en cybersécurité que vous pourrez trouver sur Cybermalveillance.gouv.fr, ou sur Avamed.
Étape 3 : sortez de la crise
- Une fois la crise terminée, adoptez une remise en service doux et contrôlé dès que la vulnérabilité du système touché a été corrigée. Surveillez son fonctionnement pour prévenir toute nouvelle attaque.
- Tirez les enseignements de cette crise et établissez des plans d’action plus solide de prévention en faisant des investissements techniques, organisationnels, contractuels, financiers, humains plus importants. Cette approche s’avèrera utile pour pouvoir éviter ou au moins pouvoir mieux gérer les éventuelles crises futures.
Attention : il faut prendre en compte les risques psychosociaux. Sachez que les cyberattaques peuvent générer une surcharge exceptionnelle d’activité et un sentiment de négatif capable d’entacher l’efficacité de vos équipes durant la crise, voire après.
