Les systèmes d’information sont des éléments clés dans la gestion et la protection des données d’une organisation. Toutefois, malgré les mesures de sécurité mises en place, il est impossible de prévenir toutes les intrusions. En cas d'attaque, chaque seconde compte, et il est essentiel de savoir réagir rapidement et efficacement pour limiter les dégâts. Cet article vous guide à travers les bons réflexes à adopter lorsqu'une intrusion sur un système d’information est détectée, afin de protéger vos données et minimiser les impacts sur l'organisation.
1 - Qualifier la détection ou le signalement
Le processus de gestion d’un incident commence par la qualification de l’intrusion. Cela consiste à comprendre la nature exacte de l'incident, son origine et ses impacts potentiels. Cette étape est cruciale, car une réponse mal orientée pourrait aggraver la situation.
Observer les constats
Lorsqu'une intrusion est suspectée, il est essentiel de collecter des informations à partir de plusieurs sources pour confirmer ou infirmer l’attaque.
Détections et dispositifs de sécurité :
Les dispositifs de sécurité, tels que les systèmes de gestion des événements et des informations de sécurité (SIEM), les journaux de logs, les antivirus et les outils de détection et de réponse (EDR/xDR), jouent un rôle essentiel dans la détection précoce des intrusions. Il est primordial de vérifier les alertes provenant de ces outils pour identifier toute activité suspecte. Les journaux doivent être consultés minutieusement pour repérer les anomalies dans les systèmes.
Dysfonctionnements informatiques :
L’évaluation du périmètre commence par l’examen des dysfonctionnements dans l’infrastructure IT. Cela inclut la détection de l'arrêt des services ou des machines, la disparition ou l’impossibilité de lire certains fichiers, ainsi que toute perturbation dans le bon fonctionnement des applications critiques. Ces anomalies sont des signes importants de l’intrusion et peuvent aider à comprendre le niveau de l’attaque.
Perturbation des métiers :
Les équipes métiers doivent être interrogées pour déterminer l'impact des dysfonctionnements observés. Si certaines applications métier ou processus sont affectés, il est crucial de comprendre dans quelle mesure cela perturbe les activités de l’entreprise.
Déterminer la source et le périmètre de l'incident
Une fois les anomalies observées, il est impératif de remonter à la source de l’incident et de déterminer son périmètre. Cela permet de comprendre si l’attaque est localisée ou si elle s'est propagée à d'autres systèmes et applications. Voici quelques questions à poser :
Les systèmes distincts présentent-ils des anomalies et sont-elles interconnectées ?
Comment l’attaque pourrait-elle s’être propagée d’un sous-système à un autre ?
Quel est le niveau d’exposition des systèmes affectés ?
Cette étape permet de dresser un panorama précis de l’incident, facilitant ainsi les actions de réaction.
2 - Réagir efficacement
Une fois l’incident qualifié, il est temps de réagir. La rapidité de la réaction est cruciale pour limiter les impacts de l’intrusion.
Décider : Synthétiser l’information pour les décideurs
La première étape dans la réaction consiste à synthétiser les informations collectées pour fournir aux décideurs une vue d'ensemble claire et concise de la situation. Cette synthèse doit inclure :
Le type d’attaque détectée.
Les systèmes et processus impactés.
Les premières hypothèses concernant l’étendue de l’incident.
Les décideurs doivent être alertés immédiatement pour qu'ils puissent prendre les mesures nécessaires et engager la réponse à l’incident.
Agir : Prendre les premières mesures d’endiguement
Les actions d’urgence doivent être prises pour limiter la propagation de l’attaque et contenir l’incident. Ces mesures peuvent inclure :
Coupures de réseau et blocage des accès distants :
Dans certains cas, couper l'accès au réseau peut empêcher l'attaque de se propager davantage. Il peut également être nécessaire de désactiver certains accès distants afin d'éviter que l'attaquant ne prenne le contrôle du système.
Mise en sécurité des sauvegardes :
Il est essentiel de protéger les données sensibles en mettant les sauvegardes critiques à l'abri. Si l'incident est susceptible d'affecter la disponibilité des données, des copies des sauvegardes doivent être réalisées et stockées de manière sécurisée.
Préserver les traces : Collecte des preuves
Une autre priorité immédiate est la préservation des traces de l'attaque. Cela inclut la sécurisation des journaux systèmes et des logs, qui peuvent fournir des informations cruciales pour l’analyse de l’incident et pour l’enquête postérieure. Il est important de :
Effectuer des copies des journaux et des données sensibles sur des supports isolés, afin d'éviter toute altération.
Prolonger les périodes de rotation des journaux pour conserver les données au-delà des cycles de rétention standards.
Mobiliser les équipes internes et externes
Les équipes internes (sécurité informatique, IT, ressources humaines) doivent être immédiatement informées pour coordonner les actions. En fonction de l’ampleur de l'incident, il peut être nécessaire de faire appel à des prestataires externes spécialisés en cybersécurité. Une communication claire est essentielle pour éviter toute confusion et pour gérer les ressources humaines dans une situation de crise.
3 - Obtenir de l'aide
Lorsqu’un incident devient trop complexe ou dépasse les capacités internes, il est crucial de faire appel à des experts extérieurs.
Services spécialisés :
Des prestataires de réponse à incidents peuvent être contactés pour analyser la situation, fournir un soutien technique et proposer des solutions adaptées. Pour les petites entreprises, le registre Cyber Malveillance propose des prestataires certifiés, tandis que pour des organisations plus grandes, des entreprises spécialisées dans la réponse à incident peuvent être sollicitées.
Les autorités :
Dans le cas d’un incident majeur, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) peut être contacté pour coordonner les actions de réponse. Ce dernier offre un accompagnement pour les incidents affectant des systèmes d’importance nationale, comme les infrastructures critiques ou les données sensibles.
Les autorités doivent également être informées dès qu'il y a une suspicion de fuite de données personnelles. La CNIL (Commission nationale de l'informatique et des libertés) exige une notification rapide si des informations personnelles ont été compromises.
4 - Déclaration des obligations légales
En cas d'incident, des démarches légales et contractuelles doivent être entreprises pour se conformer aux obligations en vigueur.
ANSSI et autres autorités compétentes
Les opérateurs de services essentiels et d’infrastructures vitales doivent déclarer l’incident à l’ANSSI. Cette déclaration permet aux autorités de prendre connaissance de l'incident et de mettre en place des mesures de réponse coordonnées.
Dépôt de plainte et signalement à la CNIL
Il est fortement conseillé de déposer une plainte auprès des autorités compétentes, notamment si des données sensibles ont été compromises. Ce dépôt permet de déclencher une enquête officielle et de protéger l’organisation contre toute responsabilité légale.
Si des données personnelles ont été concernées par l'incident, une déclaration à la CNIL doit être effectuée dans les 72 heures suivant la découverte de la violation.
Assureurs
Il est également crucial d’informer l’assureur du système d’information dès que l’incident est détecté. L'assureur peut fournir un soutien dans la gestion de la crise et activer la couverture de l’assurance pour les pertes subies.
Conclusion
Face à une intrusion sur un système d’information, la rapidité et l’efficacité de la réaction sont primordiales pour minimiser les dégâts. Les entreprises doivent mettre en place des procédures rigoureuses pour détecter, qualifier et réagir face aux incidents. En outre, faire appel à des experts externes et respecter les obligations légales de déclaration sont des étapes cruciales pour assurer une gestion efficace de la crise. En suivant ces étapes, les organisations peuvent mieux se préparer à faire face aux cyberattaques et renforcer leur résilience face aux menaces numériques.