Le plus souvent, on est désemparé lorsqu’on se rend compte qu’on a été victime d’une cyberattaque. Et les premiers réflexes ne sont pas toujours les meilleurs, car ils peuvent mener à la destruction des éléments qui permettent précisément de comprendre l’origine de l’attaque, sa portée, le mode opératoire utilisé, etc.
C’est pourquoi dans cet article, nous vous avons énuméré quelques actions à mener en cas de cyberattaque.
1-Déconnecter la machine du réseau, sans l’éteindre
En maintenant la machine sous tension l’utilisateur va permettre de conserver les traces de la cyberattaque et notamment les processus qui étaient actifs au moment de l’intrusion. Si l’attaque est toujours en cours, le fait de déconnecter la machine du réseau empêchera l’intrus d’avoir un contrôle sur votre machine, et empêchera l’attaque de se propager.
2-Prévenir votre hiérarchique et le responsable sécurité
Il est préférable de prévenir votre hiérarchie et votre responsable sécurité par téléphone de vive voix, étant entendu que le pirate à potentiellement la capacité de lire les courriers électroniques que vous pourriez envoyer.
3-Faire une copie physique du disque
Cette copie aura toute son importance si vous décidiez de lancer une procédure judiciaire. Elle servira à montrer l’état du système au moment de la découverte de l’intrusion. En Effet, dans certains cas, l’analyse des données pourra provoquer l’effacement ou l’altération de certaines données rendant ainsi la procédure impossible. La copie physique permet en particulier d’avoir l’intégralité des informations.
4-Rechercher les traces disponibles sur l’ensemble du réseau
Lorsqu’un système est attaqué, les traces laissées par les pirates ne le sont pas que sur la machine de l’utilisateur. Un pirate laisse également des traces sur l’ensemble des équipements du réseau : firewall, routeurs, etc. Seule une recherche méthodique et exhaustive permettra d’exploiter les informations laissées par les criminels pour comprendre le procédé utilisé et remédier aux failles de sécurité qui ont été exploitées.
5-Eviter de rentrer en contact directement avec le pirate
Au mieux, toute tentative d’entrer en contact avec le pirate, pourra être inutile, et au pire lui fournir des informations qui pourront l’aider.
Il est donc préférable de prendre contact avec un professionnel qui se chargera de cela. Ces derniers sont plus crédibles et pris au sérieux par les pirates.
6-Porter plainte après une intrusion
Cette plainte ne peut être portée que par la direction de votre entreprise. Il faut vous rapprocher du pôle judiciaire de la gendarmerie nationale et du Centre de lutte contre les criminalités numériques.
Que faire pour remédier au problème et éviter une nouvelle cyberattaque
Une fois l’attaque constatée et les premières mesures prises, plusieurs actions pourront être menées de manière à mieux comprendre la portée de l’attaque, et faire le nécessaire pour éviter qu’elle ne se reproduise.
Tout d’abord il faudra faire l’analyse de l’incident. Cela consistera à apporter des modifications au système, aux données et aux fichiers de configuration. Vous devez aussi vérifier les autres machines connectées sur le réseau. Il est conseillé de ne commencer l’analyse de l’incident qu’après avoir réalisé une copie physique du disque dur. Dans le cas d’un dépôt de plainte, cette copie servira pour la procédure, au cas où des données auraient été altérées par l’analyse.
Ensuite, réinstallez complètement le système d’exploitation à partir d’une version saine. En effet, lorsqu’une machine a été piratée, les modifications peuvent avoir concerné l’ensemble des parties du système d’information. Il serait donc illusoire et dangereux de vouloir simplement traiter la vulnérabilité qu’a exploitée le pirate. Seule une réinstallation complète à partir d’une version réputée saine est valable.
Enfin, appliquez les correctifs de sécurité ou patches, modifiez les mots de passe du système d’information et tirer les conclusions pour améliorer la sécurité après une intrusion
Si une intrusion est toujours dommageable pour une entreprise, c’est aussi un moment de vérité qui permet d’évaluer son niveau de préparation et sa capacité de réaction face à ce type d’incident. C’est pourquoi vous devez faire appel à un prestataire expérimenté comme CNCR GROUP. Spécialisés dans la protection de données et le capital digital, nous vous proposons des services et des solutions informatiques adaptés à vos besoins.
Pour plus de renseignements, n’hésitez pas à nous contacter. Nous vous invitons également à visiter notre blog.