Cybersécurité : que faire en cas de cyberattaque ?

Alerter

En cas d’attaque ou de doute, il est primordial d’alerter au plus vite la personne en charge du support informatique de votre entreprise : service interne ou prestataire extérieur.

Protéger

Autant que possible, il faut isoler les systèmes attaqués pour éviter une propagation à l’ensemble du réseau. Pour cela, il convient de couper toutes les connexions à internet et au réseau local.

S’organiser

Dès le début de l’attaque, il est impératif de constituer une équipe de gestion de crise. Elle sera référente et tiendra un registre des événements et actions réalisées. Ce registre permettra aux forces de l’ordre d’enquêter et à l’entreprise de tirer les enseignements de l’incident. Il est également très important de conserver les preuves de l’attaque et de ne pas restaurer le système avant que l’investigation ne soit menée.

Gérer la crise

Gérer une cyberattaque revêt plusieurs réalités. Il faut pouvoir assurer la continuité de service en activant les plans de continuité et de reprise d’activité. L’équipe de gestion de crise doit également prévoir diverses démarches administratives : déclarer le sinistre à l’assureur de l’entreprise, alerter la banque, porter plainte, gérer la communication de crise…

Corriger l’incident

Après avoir identifié l’origine de l’attaque et son étendue, il faudra corriger ce qui doit l’être afin d’éviter une nouvelle attaque. La CNIL devra être notifiée de l’incident dans les 72 heures en cas d’atteinte aux données personnelles.

Sortir de la crise

La remise en service devra être progressive et rigoureusement contrôlée afin de pouvoir détecter toute nouvelle attaque. Enfin, les enseignements devront être tirés de l’attaque. En découleront les plans d’action et d’investissements nécessaires pour éviter une future attaque ou savoir comment mieux la gérer.
* Source : étude Sophos “The State of Ransomware 2022” > Mélodie Bucher