Les petites et moyennes entreprises (PME) sont de plus en plus souvent la cible de cyber-attaques. Les données des clients et autres données sensibles sont souvent volées, modifiées, effacées ou cryptées. Comment les entreprises doivent-elles réagir à une cyber-attaque ?
Premiers pas après une cyber-attaque
En cas de cyberattaque, l'Office fédéral de la sécurité des technologies de l'information (BSI) recommande la procédure suivante :
- Déconnectez vos appareils ou l'informatique de votre entreprise d'Internet.
Pour certains appareils, cela peut impliquer de les débrancher ou de désactiver les services WLAN.
Dans le cas de l'informatique d'entreprise, cela peut se faire via les composants réseau ou le pare-feu de l'entreprise.
Cela empêche l'attaquant de diriger son attaque, par exemple un ransomware, et empêche une éventuelle exfiltration de données. - N'éteignez pas et ne modifiez pas les ordinateurs et les appareils concernés par l'attaque. Cela peut entraver le travail des experts en informatique ou des enquêteurs qui seront appelés ultérieurement.
Ne pas répondre aux demandes de rançon des cybercriminels
"Si une rançon est demandée, n'y répondez jamais", avertit le BSI. En effet, il n'est pas garanti que l'entreprise concernée reçoive effectivement une clé de décryptage après le paiement de la rançon.
Il est plus important de découvrir d'abord comment les pirates ont obtenu l'accès au système. Cet accès doit être fermé, sinon la cyberattaque peut se reproduire.
Une fois la porte d'entrée trouvée et fermée, les sauvegardes des données de l'entreprise peuvent être restaurées. Il est bien sûr important que la sauvegarde des données soit effectuée régulièrement. L'entreprise peut maintenant reprendre ses activités.
Ce qui reste : Si des données sensibles de clients ont été volées, elles peuvent se retrouver sur le Darknet ou être transmises à d'autres criminels.
Conseil de lecture : Opération Endgame - le plus grand coup contre la cybercriminalité
Après une cyberattaque : établir un journal de bord de l'incident de sécurité
Le BSI recommande également de créer un journal de bord. Toutes les actions et événements liés à l'incident de sécurité devraient y être documentés. Chaque entrée du document devrait contenir au moins les informations suivantes :
- Heure et date de l'événement
- le nom de la personne qui a effectué l'action ou qui a été informée de l'événement
- la description de l'action ou de l'événement.
Conseil de lien : Aides du BSI en cas d'incident de sécurité informatique
Aspects juridiques d'une cyber-attaque
Important pour les entreprises qui traitent des données à caractère personnel et qui sont soumises au RGPD : elles doivent informer les délégués à la protection des données compétents et leurs clients en cas d'incident de sécurité.
Idéalement, il existe déjà un concept de communication interne et externe qui s'applique en cas d'incident de sécurité.
En outre, il est important de porter plainte après une cyber-attaque. Les services centraux de lutte contre la cybercriminalité (ZAC) des autorités de police compétentes sont de bons interlocuteurs à cet égard.