loader image

Comment réagir en cas d’attaque informatique ?

Les intrusions dans le système d’information sont en principes évitées grâce à la mis en place d’un pare-feu.
Elles consistent à ouvrir une porte sur le système d’information pour en prendre tout ou partie le contrôle.
Les signes d’une intrusion s’avèrent moins facile à détecter qu’une infection. On peut néanmoins s’inquiéter si des fichiers suspects ont été créés ou ont disparu, si des comptes ont été créés ou détruits, si le système montre une activité inhabituelle.

Pas de panique, Etoile Paie & RH vous apporte l’attitude à avoir en cas de cyberattaque.

1 – Déconnecter l’ordinateur d’internet et du réseau local de l’entreprise

Il faut tout d’abord déconnecter l’ordinateur d’Internet et du réseau local de l’entreprise. L’intru n’aura plus d’accès et ne pourra plus récupérer, consulter ou modifier de fichiers.

2 – Ne pas éteindre ou redémarrer la machine

Les ordinateurs doivent être maintenus sous tension et ne doivent toutefois pas être éteint car, pour comprendre comment le pirate est entré dans le système d’information, il est nécessaire d’identifier les processus actifs au moment de l’intrusion.

3 – Prévenir le responsable de sécurité informatique

Vous devez alerter par téléphone ou de vive voix, le plus rapidement possible, le responsable de sécurité informatique. N’utilisez surtout pas un ordinateur du réseau pour envoyer un courrier électronique. L’intru peut être en capacité de le lire.

4 – Avertir le CSIRT et CERT

Votre entreprise peut être rattachée à un Computer Security Incident Response Team (CSIRT) ou un Computer Emergency Response Team (CERT). Si c’est le cas, contactez-les rapidement.

Ils interviennent prioritairement sur les tâches suivantes :

  • centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERT, contribution à des études techniques spécifiques ;
  • établissement et maintenance d’une base de donnée des vulnérabilités ;
  • prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
  • coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CERT nationaux et internationaux.

5 – Faire une copie physique du disque

Une copie de bas niveau du disque doit être réalisée, y compris des secteurs non occupés, avant que les procédures d’analyse n’altèrent les données. L’enregistrement de cette copie physique ne doit pas être enregistré sur le disque à étudier.

Cette copie peut également être utile pour vos besoins prochains notamment en cas de procédure judiciaire.

6 – Suivre les traces

Des traces de l’intrusion doivent exister sur d’autres équipements (pare-feu, routeurs, outils de détection, instrusion etc.)

Recherchez, copiez, datez et enfin signez numériquement ces traces.

Il faut rechercher des modifications dans le système, les fichiers de configuration et les données de l’entreprise. Des outils et des données peuvent aussi avoir été installées par l’intrus, en soit, il faudra examiner de près l’activité sur le système.

7 – Ne  pas contacter l’intru

Si vous parvenez à identifier l’intru, n’essayez pas d’entrer en contact directement, vous risquez de lui fournir des informations importantes. Laisser intervenir les professionnels.

8 – Restaurer le système

La seule manière de s’assurer qu’un ordinateur ne possède plus de porte dérobée ou autre modification opérée par l’intrus est de  ré-installer complètement le système d’exploitation et d’appliquer tous les correctifs de sécurité avant de reconnecter la machine au réseau de l’entreprise.

La modification des mots de passe devra être réalisée, car l’attaquant a pu installer un « sniffer / keylogger / renifleur de mot de passe ».