Sachez réagir en cas de cyberattaque

Partager

Toute entreprise sera un jour victime d’une cyberattaque selon les experts en sécurité. Pourtant, encore trop peu de TPE et PME sont sensibilisées et préparées à ce risque. Comment réagir en cas de piratage ?

Une réalité inévitable et coûteuse

Chaque jour, près de 200 000 cyberattaques ont lieu dans le monde (1). L’entreprise doit donc se préparer à cette menace, quelle que soit sa taille. Pourtant, d’après une récente enquête, seuls 38 % des décideurs de TPE et PME françaises évaluent le risque de cyberattaque « important » (2), alors que plus d’une entreprise sur deux a déjà été piratée.

En cas de cyberattaque, l’entreprise risque de perdre la confiance de ses clients et partenaires, voire de ses actionnaires. En décembre 2016, Yahoo reconnaît une attaque de grande ampleur et le vol de millions de données d’utilisateurs datant de 2013. Le cours de l’action subit alors immédiatement une baisse à la bourse de New York.

Le risque est aussi financier : selon le cabinet de sécurité informatique NTT Com Security, les entreprises françaises évaluent à 9 semaines et 773 000 € en moyenne le temps et le coût pour se « remettre » d'une attaque informatique (3). Un montant qui varie selon l’activité de l’entreprise : dans l’informatique, la grande distribution ou la logistique, les pertes sont plus graves (perte d’informations, vol d’informations stratégiques, interruption de l’activité, retard dans les livraisons, etc.).

Bâtir un plan d’attaque

Pour se préparer à l’éventualité d’une cyberattaque et réagir rapidement le cas échéant, voici un plan d’action en 6 étapes.

1. Monter une cellule de crise
Avant toute attaque, nommez un responsable qui saura :

  • qui contacter,
  • quelles actions réaliser,
  • comment préserver les données,
  • qui prévenir, clients ou partenaires éventuellement concernés.

Ce pilote agira dans le cadre d’une cellule de crise qui comprendra des représentants des Directions et des ressources opérationnelles (Métiers en fonction de la nature de la crise, Communication, RH, SI, Juridique, Gestion des risques…). Une cartographie du SI pourra également être réalisée pour savoir comment limiter l’impact d’une cyberattaque.

2. Récolter des informations sur l'attaque et l'attaquant
N’éteignez pas un ordinateur infecté : vous effaceriez des informations permettant de remonter jusqu’au pirate. Au contraire, branchez l’alimentation d’un portable en attendant que des experts puissent l’analyser. Rassemblez toutes les informations relatives à l’attaque : heure, logiciels utilisés, e-mails ou fichiers ouverts juste avant l’attaque…

3. Déconnecter les terminaux infectés
Déconnectez les terminaux infectés du réseau afin de confiner l’attaque et de couper l’accès au pirate. Pour cela, stoppez toute connexion (câble, wifi, bluetooth, NFC, réseau mobile…). Isolez également les zones de stockage qui communiquaient avec les terminaux touchés.

4. Déposer une plainte
Porter plainte permettra peut-être de retrouver les pirates et vous servira de preuve auprès de votre assureur. Cela montrera également à vos partenaires et clients que vous avez pris les choses en main. Déposez votre plainte auprès de la gendarmerie ou du commissariat, voire, si le préjudice est important :

  • à la Brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI) en région parisienne, 
  • à la Sous-direction de lutte contre la cybercriminalité (SDLC, qui relève de la Direction centrale de la police judiciaire) hors région parisienne, 
  • à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) sur tout le territoire français.

5. Renforcer la sécurité informatique
Après avoir récolté tous les indices et obtenu le feu vert de votre assureur si vous étiez couvert pour le risque de cyberattaque, réinitialisez les terminaux infectés. Tirez des enseignements de l’attaque : installez les correctifs de sécurité si l’attaque a mis en avant une faille logicielle et changez tous les mots de passe – y compris ceux des collaborateurs. Si un manque flagrant de sécurité a été mis en évidence, faites appel à un prestataire spécialisé pour envisager de nouvelles mesures (réseau privé virtuel, équipements sécurisés, stockage des données dans un data center sécurisé, etc.).

6. Communiquer sur la crise
Communiquez en toute transparence sur les événements et les mesures prises. Toute dissimulation inquiète les clients, partenaires et actionnaires bien plus que la réalité… ou que les informations erronées qui pourraient se répandre sur les réseaux sociaux. Si des tiers ont été victimes (par exemple, via le vol de leurs données personnelles), le service juridique de l’entreprise évaluera le préjudice et le gérera au cas par cas.

La sécurité, une obligation légale

A compter du 25 mai 2018, un nouveau règlement européen entrera en application, renforçant les obligations des entreprises en matière de sécurité informatique. En effet, les failles de sécurité devront être systématiquement notifiées :

  • à l’autorité de contrôle (la CNIL en France) dans les 72 heures,
  • à la/aux personne(s) concernée(s) en cas d’atteinte grave à la vie privée.

 

Par ailleurs, les sanctions infligées par la CNIL pourront atteindre 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise. Une raison supplémentaire d’anticiper, et de déployer dès à présent une politique de cybersécurité efficace !

Le texte officiel
Le décryptage de la CNIL

 

 

Sources

(1) The Global State of Information Security® Survey 2016, PwC, CIO & CSO, octobre 2015
(2) Les entreprises françaises face aux cyber-attaques, Denjean & Associés, décembre 2016
(3) Entreprises, une cyberattaque coûte en moyenne 773 000 euros !, L’usine digitale, février 2016

Pour aller plus loin

>> Tous concernés par la cybersécurité
>> Cybersécurité : les apparences sont trompeuses !