Les cyberpirates font appel à différentes techniques pour arriver à leurs fins. C'est pourquoi les victimes de cyber-malveillance doivent être informées sur les menaces existantes. Voici les attaques les plus répandues et des conseils pour savoir quelle agression vous subissez.

La 10e édition du baromètre CESIN nous éclaire à ce sujet en partageant les données 2024 relatives aux cyber-menaces les plus souvent constatées au sein des entreprises

• La technique basée sur l’envoi d’un e-mail d’hameçonnage, aussi appelée phishing, se positionne en tête de ce classement puisque 60 %des attaques sont effectuées avec ce procédé.
• La faille de sécurité est classée 2e. Dans 47 % des cas, les hackers profitent d’une faiblesse du système pour entrer dans le système d’information d’une entreprise.
• Les attaques par déni de service arrivent en 3e position, puisqu’elles représentent 41 % des attaques. Il s’agit d’une forme de malveillance faisant appel à l’envoi d’un grand nombre de requêtes à un système d’information. Provenant d’un ou plusieurs endroits, elle a pour but de bloquer le réseau de l’entreprise. 

D’autres méthodes sont utilisées par les hackers, notamment les attaques par malware et par ransomware. Ces techniques utilisent des codes ou logiciels malveillants afin de bloquer les accès ou neutraliser les systèmes. Dans le cas d’un ransomware, l’opération consiste à chiffrer vos données pour rendre un appareil ou des fichiers inaccessibles et pour obtenir de l’entreprise le paiement d’une rançon en l’échange du décryptage.

Si vous pensez qu’une cyberattaque a eu lieu, dès les premiers signes, suivez ces étapes :

• Constater où les problèmes sont localisés.

• Les comptes en ligne de votre entreprise (mail, réseaux sociaux…) sont peut-être bloqués ?
• Les ordinateurs, serveurs, équipements de sécurité affichent-ils un message d’alerte ?
• Vous a-t-on alerté d’une fuite de données personnelles ou stratégiques, ou le site internet de votre entreprise est-il hors service ?

• Dresser l’inventaire des données compromises.
• Prendre les mesures nécessaires pour endiguer les conséquences de l’attaque.
• Déterminer la ou les sources possibles de violation. 

1. Le piratage d’un compte peut être dû à un mot de passe trop faible ou à de l’hameçonnage.

    

2. Le chiffrement des données est sans doute causé par un rançongiciel, mais il s’agit peut-être d’un acte facilité par une personne en interne.

    

3. Une faille de sécurité dans les logiciels peut aussi être à l’origine d’une attaque.

En cas de besoin, rendez-vous sur Diagnostic 17Cyberun service gouvernemental qui vous aidera à déterminer la source du problème et à obtenir une assistance adaptée en fonction du type d'attaque.

Prendre les mesures nécessaires (par exemple : isolation du réseau, renforcement des pare-feux). Face à une cyberattaque, vous devez agir dans les plus brefs délais pour en minimiser les impacts sur votre matériel et vos activités. Soyez à la fois méthodique et rigoureux.

Voici les étapes essentielles pour minimiser les dégâts d'une opération de malveillance :

1. Mettre en quarantaine les équipements concernés en les déconnectant du réseau et en coupant les liens avec le reste du parc informatique. Par contre, ne coupez pas l’alimentation. L’équipement doit rester accessible.
2. Protéger le reste de vos actifs informatiques en les isolant. Débrancher l’ensemble des câbles réseau. Cela permet de freiner l’éventuelle propagation d’un virus ou d’un code malveillant.
3. Conserver les preuves de l’attaque : message piégé, copies physiques des serveurs touchés, fichiers chiffrés, etc., pour documenter votre dossier. Vous pouvez faire des captures d'écran, lister les problèmes rencontrés, que ce soit sur le matériel potentiellement infecté, mais aussi sur les autres machines. L'important est de noter tout ce qui vous semble suspect.
4. Passer au crible les journaux de connexions pour déceler toute anomalie.
5. Consigner dans un registre ; la chronologie et le détail des événements, les actions menées après l’attaque, l’étendue des dommages. Vous aurez ainsi une trace écrite qui sera utile pour les démarches ultérieures auprès d’une assurance, de la CNIL, de votre banque ou de tout autre organisme.
6. Préparer la suite, notamment l’analyse des failles de sécurité et le renforcement des pares-feux (dispositifs de sécurité efficaces pour contrôler le trafic sur le réseau et contrer les intrusions).
7. Consolider également les procédures internes.

Important
Si les cybercriminels vous menacent en demandant une rançon, ne leur cédez surtout pas.

Selon le type d’attaque qui a eu lieu sur votre entreprise, d’autres actions peuvent être prises pour en limiter les conséquences :

• Appeler vos prestataires spécialisés en cybersécurité pour obtenir des conseils, au besoin.
• Faire une copie des équipements touchés.
• Effectuer un scan antivirus complet des appareils ciblés par l’attaque.
• Réinstaller le système à partir d’une sauvegarde récente.
• Changer tous les mots de passe.
• Mettre à jour l’ensemble des équipements.
• Prévenir les personnes dont les données personnelles ont été divulguées.

Pour toute information complémentaire sur la marche à suivre en cas de cyberattaque, n’hésitez pas à contacter l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou à visiter le site du gouvernement sur la cyber-malveillance.

L’importance de la sauvegarde

En matière de sécurité informatique, la sauvegarde est une pratique qui peut sauver votre entreprise en cas d’attaque et limiter la perte financière. La planification de sauvegardes régulières du réseau informatique de l’entreprise, notamment des données personnelles et sensibles, est indispensable. 

La sauvegarde peut se faire sur vos serveurs, ou sur le cloud. D’ailleurs, en passant par un cloud, vous bénéficiez des protections mises en place par le fournisseur. Le principe est de ne pas tout sauvegarder au même endroit, car une cyberattaque peut aussi cibler vos sauvegardes. Prévoyez de copier vos données sur une source non connectée au réseau local. En matière de sauvegarde, on parle souvent de la règle 3-2-1, soit 3 copies des données, sur 2 supports distincts, dont 1 support non connecté. 

Qui contacter en cas de cyberattaque ?

La communication de crise est importante pendant une attaque numérique. En interne et en externe, vous devez prévoir diverses actions pour rassurer vos équipes, vos clients et vos partenaires.

Alerter les équipes compétentes en cas de cyberattaque 

Communiquer avec les parties touchées avec transparence. Alerter le prestataire de service concerné par l’attaque, pour qu’il intervienne dans les plus brefs délais.

• Déposer une plainte auprès d’un service de police ou de gendarmerie, notamment en cas de fuite de données importantes. Dans ce cas, ne touchez pas au matériel avant l’intervention du spécialiste en cybercriminalité, car les enquêteurs auront peut-être besoin de collecter des preuves.
• Prévenir l’ensemble de vos collaborateurs et prestataires pour qu’ils n’utilisent pas le matériel endommagé (réseau jugé peu fiable ou comptes e-mails corrompus). Les encourager signaler tout événement informatique suspect vécu récemment (messages suspects, etc.).
• Signaler l'événement dans les plus brefs délais (moins de 72 h) à la CNIL ,si vous pensez qu’une fuite de données sensibles est en cours.
• Mentionner cette attaque à votre banquier et faire une déclaration à votre assureur.
• Composer une équipe de gestion de crise (si ce n’est pas déjà prévu dans votre stratégie de cybersécurité). Cela vous permettra de déployer un plan d’action, d’informer les équipes et de reprendre les activités au plus vite.

Redémarrer le système en toute sécurité et reprendre les activités

Une fois l’attaque contenue, vous devez planifier la reprise d'activité.

Réanimer les systèmes étape par étape 

Faire les corrections nécessaires pour remettre sur pied le système infecté.

• Mettre en place une surveillance pour identifier toute menace potentielle.
• Remettre le système en activité graduellement et effectuer des tests pour s’assurer que tout est en ordre.
• Communiquer avec les différents acteurs de l’entreprise, vos sous-traitants, vos partenaires d’affaires et vos clients pour les informer de la remise en service progressive de vos activités et des éventuels impacts.
• Sensibiliser vos équipes aux bonnes pratiques de la cybersécurité.
• Pour ce qui est des parties prenantes, parler ouvertement des solutions mises en place pour pallier les problèmes éventuels.S'excuser pour les désagréments que les attaques ont pu causer et les actions menées pour obtenir réparation, le cas échéant.

Faire l’autopsie du cyber-incident

La poussière est retombée, vous pouvez maintenant penser à la suite. En organisant un post-mortem, vous pourrez faire le point sur la situation et mettre en place un plan d’action préventif pour éviter que cela ne se reproduise.

Effectuer une veille proactive des nouvelles menaces

Une fois la source de l’attaque identifiée et les dommages réparés, analysez les raisons qui ont mené votre entreprise à cette situation. 

L’erreur humaine est en cause ? Peut-être que votre plan de formation en cybersécurité n’est pas au point. Ou, il est peut-être temps de consolider votre politique de sécurité numérique et d'augmenter vos investissements techniques.  Peu importe la raison, des améliorations sont toujours possibles. Il faut tirer des enseignements de l'incident pour renforcer votre sécurité informatique et peaufiner vos plans de continuité et de reprise d'activités (PCA-PRA).

Pour vous y aider, l’Agence nationale de la sécurité des systèmes d'information partage des informations sur les piliers de la cybersécurité : gouvernance, protection, défense, résilience. Ces axes peuvent vous aider à monter une stratégie solide qui vous permettra de faire face à la menace croissante. Par exemple, en mettant en place un comité de gouvernance, vous pourrez assigner des rôles et donner des missions claires aux membres de vos équipes. 

La veille fait partie des missions que vous pouvez confier à un tel comité au même titre que la formation et l’évaluation. Cela vous permettra d'être prêt pour une prochaine crise.

Imprimez l’affiche sur la conduite à tenir en cas d’attaque de l’organisation gouvernementale cybermalveillance.gouv pour l’apposer sur les murs des bureaux de vos collaborateurs. Cet outil contient 5 consignes à suivre dès le début de l’attaque : 

• Ne pas éteindre l’équipement ciblé par l’attaque. En effet, une cyberattaque laisse des traces de son passage. C’est souvent grâce à cela que les spécialistes peuvent la désamorcer ou réparer les dégâts.
• Retirer les branchements qui relient l’appareil à un réseau ou à un wifi.Cela permet d’isoler l’équipement victime de l’attaque et de contenir la propagation du code malveillant à d’autres machines.
• Ne plus tenter quoi que ce soit sur l’ordinateur ou autre outil piraté. Vos manipulations pourraient détruire des preuves.
• Appeler l'assistance informatique afin qu’il prenne le relai au plus vite et déploie un plan d’action pour contrer l’attaque.
• Passer le mot aux collègues afin qu’ils cessent leurs activités et qu'ils protègent leurs outils de travail également. 

Une bonne préparation est le meilleur moyen de se prémunir contre les risques informatiques. Avoir une stratégie de cybersécurité peut permettre à votre entreprise d’éviter les préjudices que cause une cyberattaque. Pour ce faire, il est important de se munir d’une politique de sécurité numérique, de former les dirigeants et les équipes SI à la cybersécurité et de sensibiliser les employés aux règles numériques. Par ailleurs, si vous êtes à la tête d’une entreprise, il est désormais essentiel de souscrire une cyberassurance qui vise à vous protéger des cyber-risques et qui sera à vos côtés en cas de problème. Prenez le temps de choisir un niveau de couverture adapté à vos besoins.