Attaque Informatique : Comprendre et Organiser la réaction en cas d'incident

Via cette série en partenariat avec ANSSI, Connectikpeople vise à aider les décideurs et entreprises ou les étudiants à mieux appréhender les meilleures règles et notions basiques mais très efficaces d’hygiène informatique dans un environnement où la Cyber guerre, l’espionnage... se font plus véhéments.

 Il s’est avéré que, et ce de manière régulière que les réactions et les solutions des organisations, des entreprises à la suite d’une attaque cybercriminelle, pour essayer de résoudre la compromission, sont souvent mal coordonnées et abordées. Une situation à la longue, coûte très chère.

En fait lors de la découverte de la compromission d’un équipement (ordinateur infecté par un virus par exemple), il faut déterminer rapidement, mais sans précipitation, la démarche qui permet de qualifier la gravité potentielle de l’incident afin d’y opposer les mesures techniques, organisationnelles, d'endiguer l'infection et de nettoyer les machines compromises. Ensuite réfléchir avant d'agir de manière à ne pas prendre dans l'urgence des décisions qui s'avéreront néfastes.

Règle01 - Ne jamais se contenter de traiter l'infection d'une machine sans tenter de savoir si le code malveillant a pu se propager ailleurs dans le réseau.

De nombreuses entreprises, en ne cherchant pas d’emblée à connaître le périmètre réel d’une infection, ont perdu plusieurs semaines, voire plusieurs mois dans le traitement de l’incident.

Règle 02 - Disposer d'un plan de reprise ou de continuité d'activité informatique tenu régulièrement à jour.

L’analyse des conséquences sur l’activité d’un certain nombre d’événements catastrophiques peut être un bon point de départ : que se passe-t-il si l’accès à Internet ne fonctionne plus pendant deux jours ? Que se passe-t-il si un attaquant efface toutes les données stockées sur les serveurs ?

Règle 03 - Mettre en place une chaîne d'alerte connue de tous les intervenants.

Tous les utilisateurs doivent pouvoir s’adresser à un interlocuteur unique pour signaler tout incident et être incités à le faire.