Que faire en cas de cyberattaque ? Votre plan en 4 étapes

La journée avait débuté sans fausse note… Mais soudain, certains textes sur votre écran commencent à être convertis en suites de caractères aléatoires illisibles. Rapidement, tel un effet domino, le phénomène se répand sur la totalité de l’interface de votre logiciel. Tout est brouillé, incohérent. Et la fonction Alt+Ctrl+suppr ne donne rien. Le coup de fil que vous donnez à votre collaborateur en charge des questions informatiques ne vous rassure pas : il rapporte que plusieurs collaborateurs sont victimes de la même anomalie, alors que personne n’a rien fait d’inhabituel. Il évoque un possible piratage… Incrédule, vous commencez à envisager le pire : votre PME réunionnaise est la cible d’une cyberattaque. Que faut-il faire ? Voici un guide en 4 étapes pour vous en sortir et limiter les dégâts.

Quel est le but d’une cyberattaque ?

Votre entreprise est victime d’une cyberattaque lorsque des pirates informatiques tentent d’accéder à vos données sur vos appareils ou votre réseau informatique contre votre gré.

Cette intrusion est rendue possible par la présence d’une faille informatique que les pirates auront trouvée.

Dans certain cas, les attaquants ont introduit un virus ou tout autre logiciel malveillant (malware) dans les pièces-jointes d’un mail pour déclencher l’attaque.

Il existe une vaste gamme de logiciels malveillants :

  • Certains enregistrent les frappes de touches de clavier de vos collaborateurs pour révéler l’identifiant et mot de passe sur un site ou applicatif particulier (keyloggers) ;
  • D’autres sont des logiciels-espions, destinés à divulguer toutes les données et activités réalisées sur vos postes de travail ;
  • Mais le plus fréquent désormais (et sans doute aussi, le plus redoutable), est le rançongiciel (ou ransomware), dont l’objectif consiste à bloquer le système informatique de votre société pour vous extorquer une rançon.

Les cybercriminels peuvent avoir plusieurs objectifs :

  • Ils cherchent à voler des données sensibles (informations personnelles, plans, prototypes, contrats commerciaux, etc.) qu’ils pourront ensuite revendre ;
  • Ils cherchent à accéder à des identifiants de connexion pour avoir accès à vos comptes bancaires et financiers afin de vous voler de l’argent ;
  • Ils cherchent à accéder aux identifiants d’un collaborateur et à dérober des données dans le cadre de la préparation d’une attaque de plus grande ampleur, au cours de laquelle ils se feront passer pour ce collaborateur ;
  • Ils cherchent à accéder à vos identifiants de connexion (sur les réseaux sociaux, par exemple) pour s’y connecter en votre nom, et publier des commentaires non éthiques afin d’entacher la réputation de votre entreprise ou d’un collaborateur.

Une cyberattaque aboutit donc souvent à une violation et un vol de données (identifiants et mots de passe, numéros de sécurité sociale, numéros de comptes bancaires, etc.) pour les revendre ou pour les utiliser pour commettre d’autres attaques.

Dans certains cas, les pirates dégradent le système informatique ou les données.

Lorsqu’elles ne sont pas préparées à ce type d’attaque, les entreprises victimes ne parviennent pas toujours à surmonter les dégâts qui en découlent. Et malheureusement, dans ce cas, le piratage aboutit souvent au dépôt de bilan.

cyber attaque

Quels sont les signes que vous êtes victime d’une cyberattaque ? 

Des anomalies de connexion 

  • Votre mot de passe ne vous permet plus de vous connecter au compte concerné.
  • Un site sur lequel vous avez un compte vous adresse une notification vous indiquant que vous vous y connectez alors que ce n’est pas le cas.
  • Votre historique de connexion mentionne des connexions à des comptes dont vous n’êtes pas l’initiateur.
  • Vous recevez un email vous notifiant un changement de mot de passe que vous n’avez pas sollicité.
  • Vous ne parvenez plus à vous connecter au réseau de votre société.
  • Vous trouvez des messages ou d’autres publications (photos, article relayé, etc.) dont vous n’êtes pas l’auteur sur des forums auxquels vous êtes inscrit, ou des réseaux sociaux dont vous êtes abonné.

Des anomalies d’email

  • Dans le dossier “messages envoyés” de votre email, vous trouvez des mails que vous n’avez jamais adressés.
  • Vous recevez des courriels de réponse à des messages alors que vous n’avez adressé aucune demande aux expéditeurs.
  • Vous recevez des messages anormaux ou incompréhensibles.
  • Vous recevez une très grande quantité d’emails de spam.
  • Votre messagerie semble bloquée, vous ne parvenez plus à envoyer ou recevoir d’emails.

Des anomalies du système informatique

  • Votre antivirus vous adresse une notification vous indiquant que votre système est infecté.
  • Vous ne parvenez plus à travailler sur un poste de travail ou un pan de votre système informatique, il semble planté.

Des signes témoignant d’une violation de données 

  • Vous retrouvez des données personnelles (photos, numéros de compte, emails, etc.) ou des données confidentielles en libre accès en ligne.

Un signe qu’il s’agit d’une attaque DDoS (Distributed Denial of Service, déni de service distribué) 

  • Personne ne peut plus rien faire sur le site internet de votre entreprise : il ne réagit plus aux requêtes (commandes) que les utilisateurs lui adressent, ou sa vitesse de réaction est anormalement lente.

Des signes qu’il s’agit d’une attaque de ransomware (rançongiciel)

  • Non seulement l’écran de l’un (ou plusieurs) poste(s) de travail est figé, mais vous n’avez plus accès à vos fichiers.
  • Alternativement, vous avez accès aux fichiers et commandes habituelles, mais tout est brouillé, les éléments textuels sont remplacés par des chaînes de texte incohérentes.
  • Un ou plusieurs écran(s) de poste(s) de travail affiche(nt) un message vous demandant de payer une rançon en échange du déblocage de votre système informatique.
ransomware

Comment réagir à une cyberattaque

Bloquez l’attaque et demandez de l’assistance

  • Déconnectez les machines en cause de votre réseau informatique. Pour ce faire, désactivez le Wi-Fi. Si les postes de travail concernés sont raccordés au réseau par une connexion filaire, débranchez leur câble Ethernet. De cette manière, avec de la chance, vous pourrez circonscrire l’attaque et la réduire à ces appareils.
  • Contactez votre service informatique, si votre entreprise en a un, ou le prestataire en charge de l’infogérance ou de l’assistance informatique de votre entreprise.
  • Si vous n’avez pas de service informatique et que vous n’avez signé aucun contrat avec un prestataire, contactez un prestataire référencé sur cybermalveillance.gouv.fr pour qu’il relance vos opérations et qu’il sécurise votre système.
  • Contactez la police ou la gendarmerie pour signaler l’incident et porter plainte.
  • Conservez toutes les traces de l’attaque (emails, messages sous d’autres formes). Ce sont autant d’éléments qui pourront être utilisés pour étayer votre plainte à la police. Ils vous aideront aussi à obtenir une indemnisation si vous avez souscrit une police d’assurance pour les risques de cybersécurité.
  • De même, si une boîte de dialogue avec une demande de rançon s’est affichée sur un écran, prenez-la en photo avec votre smartphone.
  • Effectuez une copie intégrale de la mémoire de l’ordinateur ou du serveur touché par l’attaque. En cas d’impossibilité, mettez son disque dur de côté.
  • Tentez de récupérer les logs (fichiers de journalisation) de votre pare-feu et des appareils affectés par la cyberattaque.

Limitez l’ampleur de l’attaque (et des dégâts)

  • Ouvrez votre antivirus, et vérifiez qu’il est à jour. Installez la mise à jour la plus récente si ce n’est pas le cas et lancez un scan complet de votre appareil / système informatique. Si vous n’avez pas d’antivirus, trouvez-en un de bonne qualité.
  • Connectez-vous à vos comptes bancaires et vérifiez qu’aucune opération dont vous ne seriez pas l’initiateur a été enregistrée. Si c’est le cas, contactez l’établissement et demandez-lui immédiatement de suspendre tout mouvement jusqu’à nouvel ordre.
  • Si les cybercriminels ont modifié des mots de passe, connectez-vous aux comptes affectés avec la fonctionnalité “mot de passe oublié ?” et veillez à changer le mot de passe en choisissant un mot de passe d’au moins 8 caractères (lettres, chiffres et caractères spéciaux mêlés).
  • S’il semble qu’il s’agit d’une attaque DDoS, contactez l’hébergeur de votre site internet pour l’en informer. Il sera alors en mesure de détecter la partie attaquée de votre site, et d’analyser le mode opératoire de l’attaque (adresses IP d’où proviennent les demandes de connexion, protocoles employés, notamment).
  • Faites le tour de votre système d’information pour détecter d’éventuels violations et/ou vols ou dégradations de données critiques. Si vous détectez une violation, avertissez la CNIL immédiatement (vous disposez d’un délai de 72 heures pour le faire).
  • Connectez-vous au site have I Been Pwned ?. Ce site collecte des masses d’informations transférées sur le net pour les analyser et recenser les violations de données. Indiquez votre adresse email pour être averti en cas d’apparition de celle-ci dans sa base de données.
  • Connectez-vous à vos boîtes mail et vérifiez le dossier des messages envoyés pour détecter l’envoi de spam à votre nom. Parfois, les emails ne sont pas visibles dans ce dossier, et c’est en trouvant des courriels de réponse dans votre boîte de réception que vous comprendrez que des messages de spam ou de phishing ont tout de même été adressés en votre nom. Dans ce cas, avertissez immédiatement le destinataire que vous êtes victime d’une tentative de piratage et que vous n’êtes pas l’émetteur du message qu’il a reçu.

Rétablissez votre système informatique

  • Allez dans la section “paramètres de compte” des comptes en ligne dont le mot de passe a été cracké et vérifiez que les hackers n’ont rien modifié (adresse mail, numéro de téléphone, comptes bancaires, le cas échéant).
  • Faites de même avec tous les autres comptes que vous détenez sur des sites critiques. N’oubliez pas vos applications et les réseaux sociaux auxquels vous vous connectez (dont LinkedIn), qui peuvent constituer des sources d’information pour lancer des attaques plus sophistiquées (spear phishing ou attaques de whaling).
  • S’il s’agit d’une attaque par ransomware, ne payez pas la rançon. Connectez-vous au site nomoreransom.org. Ce site recense les rançongiciels les plus courants pour lesquels une clé de décryptage est disponible. Il pourra vous la remettre pour vous permettre de retrouver l’accès à vos fichiers. Hélas, il n’est pas exhaustif, et parfois, il ne pourra pas vous aider. Dans ce cas, vous devrez renoncer aux données perdues si vous n’avez pas de sauvegarde exhaustive et récente pour les restaurer.
Etre reactif

Évitez toute une attaque ultérieure

Toute entreprise peut être la cible des pirates, c’est pourquoi il est important de connaître les techniques de piratage et de prendre des mesures pour améliorer la sécurité informatique et prévenir les attaques.

  • Informez les tiers en contact avec votre entreprise du piratage, surtout s’ils disposent d’une connexion informatique avec votre entreprise. Les pirates profitent souvent de ces liens pour créer des portes dérobées qui leur permettront de répandre l’infection. Ils peuvent aussi utiliser votre email pour adresser du spam ou des emails de phishing. Avertir vos partenaires leur permettra de se montrer plus vigilants.
  • Changez éventuellement d’antivirus si l’antivirus actuel ne s’est pas montré assez performant. Les solutions gratuites ont parfois leurs limites, sachez ne pas lésiner à la dépense lorsque c’est nécessaire.
  • Adoptez un excellent logiciel de sauvegarde et effectuez des sauvegardes quotidiennes, si possible.
  • Mettez en place un plan de reprise d’activité pour être mieux préparé en cas de nouvelle attaque. Si votre entreprise s’est avérée très vulnérable (sécurisation très faible, antivirus pas à jour, etc.), les cybercriminels peuvent songer à lui infliger une nouvelle attaque à l’avenir. Ne faites pas l’erreur de croire que tout va s’arrêter là.
  • Prenez des mesures de prévention :
    • Adoptez des mots de passe forts et uniques sur tous vos comptes, et changez-les régulièrement.
    • Dès que c’est possible, adoptez l’authentification à double facteur.
    • Appliquez la politique du “Zéro Trust” : Personnalisez les identifiants d’accès à vos comptes / logiciels pour restreindre l’accès de vos collaborateurs aux informations. Ils ne doivent pouvoir consulter et éditer que les données sur lesquelles ils sont appelés à travailler. Seuls, de très rares “administrateurs” pourront avoir accès à l’ensemble de votre système d’information.
    • Privilégiez le chiffrement des données. Par exemple, il existe des messageries électroniques chiffrées adaptées aux usages professionnels.
    • Examinez quotidiennement les logs de vos outils de sécurité.
    • Formez vos collaborateurs aux rudiments de la cybersécurité et aux mesures les plus élémentaires. Ils ne doivent pas cliquer systématiquement sur les liens et fichiers fournis dans les emails. Dans certains cas, un coup de fil à l’expéditeur permettra de vérifier qu’il n’y a aucun risque.

 

Tout cela vous semble bien compliqué, ou vous n’avez pas de temps à y consacrer ? Réalisez que cette passivité fait de votre entreprise réunionnaise une cible de choix. Les pirates détecteront rapidement ses lacunes en termes de mesures de sécurité. Ne croyez pas que cela n’arrive qu’aux autres et n’attendez pas de voir vos écrans se bloquer pour agir ! À La Réunion, Youtell est une entreprise de services numérique qualifiée “ExperCyber” par Cybermalveillance.gouv.fr.

Appelez-nous dès maintenant pour que nous mettions immédiatement en place les mesures les plus urgentes pour mettre votre société à l’abri de ces cybermenaces. Vous savourerez votre tranquillité retrouvée et pourrez communiquer sur vos initiatives qui seront très appréciées par vos clients et vos fournisseurs.

Vous êtes à la recherche d'accompagnement pour votre entreprise ?