Que se passe-t-il en cas de cyberattaque ?
Réagissez rapidement et correctement si vous êtes confronté à un cyberincident. Nous énumérons les étapes les plus importantes :
Étape 1 : Avertissez tout le monde
Dans le plan cyber de votre entreprise, désignez un collègue qui a la responsabilité d’être le premier à agir en cas de cyberattaque. Ce collègue informe immédiatement toutes les personnes qui gèrent vos systèmes informatiques de l’infection afin que tous les ordinateurs et serveurs touchés puissent être déconnectés du réseau. Déconnectez également les disques durs externes pour éviter toute nouvelle infection.
Attention : n’éteignez pas les ordinateurs. Si vous le faites, vous risquez de perdre des données importantes nécessaires pour arrêter l’attaque.
Étape 2 : Prévenir les autorités
Signalez-le à la police locale dès que possible. Indiquez ensuite le numéro du rapport de police à votre banque et à votre assureur. Remplissez également un formulaire complet de l’équipe fédérale d’intervention en cas d’urgence informatique (CERT). De cette façon, les services qui enquêtent sur la cybercriminalité en Belgique sont immédiatement et en détail informés. Le signalement d’un incident au CERT se fait par le signalement d’un incident.
Étape 3 : Trouver la cause
Essayez de comprendre d’où vient l’attaque le plus rapidement possible. Posez les questions suivantes :
- Un employé a-t-il cliqué sur un lien dans un e-mail ?
- Les systèmes d’exploitation, applications ou autres logiciels ne sont-ils pas à jour ?
- Quelqu’un a-t-il installé un virus (sans le savoir) ?
Étape 4 : Nettoyez l’infection
Recherchez des traces et exécutez une analyse antivirus. Vérifiez également si le même incident se produit sur tous les autres systèmes de votre environnement informatique. Par exemple, pouvez-vous trouver un logiciel qui donne un accès à distance ? Mais que personne n’a installé dans votre équipe ? Vérifiez ensuite s’il se trouve également sur d’autres ordinateurs ou serveurs.
Avez-vous découvert d’où vient l’infection ? Effectuez ensuite à nouveau une analyse antivirus. Mettez à jour les systèmes d’exploitation et les logiciels de tous les systèmes de votre réseau.
Étape 5 : Redémarrer à partir de la sauvegarde
La reconnexion des systèmes infectés au réseau est risquée. Si l’infection peut se propager encore plus (par exemple, avec un ransomware), il est préférable de ne pas le faire. Souvent, une réinstallation et un redémarrage complets des systèmes infectés sont nécessaires. Réinstallez la dernière version du logiciel. Remarque : si vous n’avez pas sauvegardé tous les fichiers, vous les perdrez après la réinstallation.
Étape 6 : Changer les mots de passe
Vérifiez les accès. Les cybercriminels utilisent parfois d’anciens comptes avec des mots de passe faibles pour y accéder. Veillez à vérifier quels utilisateurs ont accès aux services cloud auxquels votre organisation est abonnée. Vérifiez tous les comptes et refusez l’accès si nécessaire. Modifiez les mots de passe de tous les comptes. Astuce : utilisez un gestionnaire de mots de passe.
Étape 7 : surveiller votre environnement
L’attaque a-t-elle cessé ? Redoublez de vigilance et gardez un œil sur votre environnement informatique à tout moment. Si vous remarquez que l’attaque redémarre, c’est que l’infection n’a pas été complètement éliminée.
Source : VLAIO
Auteur
Francisca Akkermans
14 avril