Nos recommandations en cas d’incident cyber
Vous faites face à un incident cyber ? Il est important d’adopter les bons réflexes afin de comprendre les causes et les conséquences, et faciliter l’investigation des experts en cybersécurité qui vous accompagnerons.
1. Caractériser l’incident
Dans les premiers instants, il est nécessaire de caractériser l’incident pour comprendre de quel type il s’agit, quelle est l’ampleur des dégâts et les conséquences sur les services, afin de définir les actions adéquates à mener.
- Date et heure de l’incident
- Moyen de détection de l’incident (système HS, notifications de solutions de sécurité…)
- Type d’incident
- Intrusion ou tentative d’intrusion
- Rançongiciel
- Fraude par ingénierie sociale (fraude au président / fraude au changement de RIB)
- Fuite de données
- Compromission du compte d’un utilisateur / d’une boite de messagerie / de comptes réseaux sociaux
- Attaque en déni de service
- Autre
- Définir le périmètre des systèmes d’information compromis
- Nombre de postes, de serveurs, d’utilisateurs
- Liste des services indisponibles
- Services tiers impactés
- Quels sont les impacts ?
- Sur le fonctionnement des systèmes d’information (disponibilité, intégrité)
- Sur les données contenues dans les systèmes d’information (confidentialité)
- Sur l’activité de l’organisation (indolore, mode dégradé, arrêt complet)
2. Collecter les preuves et analyser les données
Dans un second temps, il est nécessaire de collecter et d’analyser les journaux des solutions de sécurité dont vous disposez et des équipements (poste utilisateur, serveur, etc.) identifiés comme compromis. Ces éléments sont à recouper avec les observations et remontées des utilisateurs et des administrateurs de vos systèmes. Il est important de ne pas éteindre électriquement les machines compromises, mais de les couper physiquement du réseau afin de préserver les données.
3. Se faire accompagner et déposer plainte
En fonction de la qualification initiale, en particulier du périmètre de compromission et des impacts sur la capacité à délivrer vos services, il est fortement recommandé de se faire accompagner par des professionnels de la cybersécurité, experts dans la résolution d’un incident de sécurité.
Par ailleurs, il est fortement recommandé de déposer plainte auprès de la brigade de gendarmerie ou du commissariat de police le plus proche.