Les petites et moyennes entreprises (PME) sont de plus en plus souvent la cible de cyber-attaques. Les données des clients et autres données sensibles sont souvent volées, modifiées, effacées ou cryptées. Comment les entreprises doivent-elles réagir à une cyber-attaque ?
Premiers pas après une cyber-attaque
En cas de cyberattaque, le Office fédéral de la sécurité dans la technologie de l'information (BSI), la procédure suivante :
- Déconnectez vos appareils ou l'informatique de votre entreprise d'Internet.
Pour certains appareils, cela peut impliquer de les débrancher ou de désactiver les services WLAN.
Dans le cas de l'informatique d'entreprise, cela peut se faire via les composants réseau ou le pare-feu de l'entreprise.
Cela empêche l'attaquant de lancer son attaque, par exemple une RansomwareLes données peuvent être contrôlées par l'utilisateur et une éventuelle exfiltration de données est empêchée. - N'éteignez pas et ne modifiez pas les ordinateurs et les appareils concernés par l'attaque. Cela pourrait entraver le travail des experts en informatique ou des enquêteurs appelés ultérieurement.
Ne pas répondre aux demandes de rançon des cybercriminels
"Si une rançon est demandée, n'y répondez jamais", avertit le BSI.En effet, il n'est pas garanti que le concernés entreprise reçoit effectivement une clé de décryptage après paiement de la rançon.
Il est plus important de découvrir d'abord comment les pirates ont obtenu l'accès au système. Cet accès doit être fermé, sinon la cyberattaque peut se reproduire.
Une fois la porte d'entrée trouvée et fermée, les sauvegardes des données de l'entreprise peuvent être restaurées. Il est bien sûr important que la sauvegarde des données soit effectuée régulièrement. L'entreprise peut maintenant reprendre ses activités.
Ce qui reste : Si des données sensibles de clients ont été volées, elles peuvent se retrouver sur le Darknet ou être transmises à d'autres criminels.
Conseil de lecture : Opération Endgame - le plus grand coup contre la cybercriminalité
Après une cyberattaque : établir un journal de bord de l'incident de sécurité
Le BSI recommande également de créer un journal de bord. Toutes les actions et événements liés à l'incident de sécurité devraient y être documentés. Chaque entrée du document devrait contenir au moins les informations suivantes :
- Heure et date de l'événement
- le nom de la personne qui a effectué l'action ou qui a été informée de l'événement
- la description de l'action ou de l'événement.
Conseil de lien : Aides du BSI en cas d'incident de sécurité informatique
Aspects juridiques d'une cyber-attaque
Important pour les entreprises qui données à caractère personnel traitent des données personnelles et sont soumis au RGPD : ils doivent informer les délégués à la protection des données compétents et leurs clients en cas d'incident de sécurité.
Idéalement, il existe déjà un concept de communication interne et externe qui s'applique en cas d'incident de sécurité.
En outre, il est important de porter plainte après une cyber-attaque. Les services centraux de lutte contre la cybercriminalité (ZAC) des autorités de police compétentes sont de bons interlocuteurs à cet égard.
German 
English 
Italian 
French