Phase 1 : évaluation
Étape 1 : confirmer l’ampleur de l’attaque
Évaluez l’ampleur d’une attaque par rançongiciel en portant une attention particulière aux éléments qui ont été chiffrés et/ou qui ont fait l’objet d’une exfiltration. Il est essentiel d’adresser ce point pour activer un plan de réponse.
Ce dernier fournira également des renseignements utiles concernant les questions internes et externes que votre direction, vos employés et vos clients pourraient avoir.
Il peut s’avérer difficile de mettre un plan de réponse en place si vous ne connaissez pas l’ampleur de l’attaque. Essayez de répertorier les données qui se trouvaient sur les périphériques chiffrés et celles qui ont potentiellement fait l’objet d’une exfiltration.
Remarques et recommandations clés :
– La reconstruction des systèmes n’est PAS la première étape de votre plan de réponse.
Phase 2 : contrôle des dégâts
Étape 2 : isoler les périphériques affectés
Lorsqu’un rançongiciel frappe une entreprise, il est essentiel d’isoler les appareils affectés, dans la mesure du possible, pour éviter toute propagation. Il faut partir du principe que les agresseurs sont déjà bien infiltrés dans votre environnement au moment où ils lancent leur attaque par rançongiciel : il est donc très important d’agir rapidement pour limiter l’impact.
Commencez par isoler les périphériques infectés et déconnectez-les du réseau. Débranchez les câbles réseau et désactivez les connexions (y compris les réseaux Wi-Fi).
Si votre réseau le permet et qu’il est correctement segmenté, vous pouvez également déconnecter le segment du réseau infecté.
Remarques et recommandations clés :
– Isolez autant que possible les périphériques touchés pour éviter toute propagation.
– N’ÉTEIGNEZ PAS les appareils infectés et évitez d’arrêter les systèmes.
– Ne lancez PAS les opérations de récupération tant que vous ne connaissez pas l’étendue de l’attaque.
Étape 3 : configurer un canal de communication distinct
Les communications sensibles concernant l’évolution de l’incident doivent se faire sur un canal distinct et sécurisé.
Partez du principe que les systèmes de messagerie (s’ils sont encore opérationnels) sont également corrompus et que le pirate y a accès : toute communication doit donc être limitée au strict minimum. Analysez les systèmes qui pourraient être utilisés pour communiquer en interne et en externe. Mettez en place un canal de communication sécurisé avec votre équipe technique et votre équipe de direction.
Nous vous conseillons d’utiliser temporairement un système de conférence externe (outil de communication sécurisée) et de créer des groupes séparés. Vous pouvez configurer un groupe composé de responsables techniques, un groupe pour les chargés de communication et un groupe dédié aux dirigeants. Lorsqu’il s’agit de remédier à un incident causé par un rançongiciel, la moitié du travail consiste à assurer la coordination et la communication.
Étape 4 : mettre en place une équipe de gestion de crise
Il est nécessaire de créer une équipe de gestion de crise qui conviendra des priorités de l’entreprise, de la stratégie de communication, des questions juridiques et contribuera à résoudre les conflits de priorité lors de la restauration des fonctions opérationnelles.
Nommez un gestionnaire de crise qui assurera la liaison avec vos équipes techniques et l’équipe de gestion de crise.
Phase 3 : atténuation de l’attaque
Étape 5 : contacter l’équipe de réponse aux incidents cybernétiques
Vérifiez que votre contrat d’assurance inclut un plan de réponse aux incidents.
Étape 6 : communiquer aussi souvent que possible
En cas d’indisponibilité des systèmes de communication, envisagez des solutions temporaires telles que la création d’une page Web de communication ou le déploiement de systèmes de notification de masse par ou SMS.
Étape 7 : faire face à ses obligations légales
Prenez en compte toutes les obligations contractuelles auxquelles la société Penta pourrait être soumise.
Étape 8 : évaluer l’intégrité des sauvegardes
Si le système de sauvegarde est sécurisé (ce qui signifie que vous possédez une copie indépendante et avérée de vos données), il est vivement recommandé d’éviter de payer la rançon. Vous devriez recevoir une confirmation attestant que les sauvegardes n’ont pas été compromises ou que personne n’y a eu accès (les sauvegardes immuables étant indispensables).
Étape 9 : organiser une réponse à l’attention de l’agresseur
Il est fortement déconseillé de payer l’agresseur, ou vraiment en dernier ressort.
Étape 10 : mettre en œuvre des mesures d’atténuation
Ne réactivez pas la connexion Internet de tous les utilisateurs. Privilégiez d’abord les utilisateurs qui en ont besoin pour rétablir les opérations informatiques de votre service de gestion de crise.
Appliquez des correctifs, réinitialisez et mettez à jour les systèmes vulnérables touchés par l’attaque. Effectuez une réinitialisation complète de tous les mots de passe et, si ce n’est pas déjà fait, instaurez une authentification multifacteur. Concentrez-vous d’abord sur les comptes et services privilégiés (comptes administrateurs, services d’administration).
Déployez des services de surveillance de la sécurité (services SOC), activez une solution de détection des points d’accès (Endpoint Detection) aux systèmes critiques, tels que les systèmes d’authentification et d’autorisation, les systèmes connectés à Internet. Le but est d’avoir une (meilleure) visibilité sur les activités qui se déroulent au sein de votre réseau.
Phase 4 : reconstruction du système
Étape 11 : lancer la reconstruction du système
Ne restaurez pas un système à partir de sauvegardes qui ont été exécutées immédiatement avant ou après l’attaque.
Effectuez d’abord les opérations citées précédemment. Puis, et seulement à ce moment-là, lancez la reconstruction de votre système à partir des sauvegardes.
Veillez à ne pas réinfecter les systèmes qui ont été nettoyés pendant la récupération. Une fois restauré, assurez-vous de vérifier qu’il ne reste aucun programme malveillant sur le système avant de le reconnecter à votre réseau. Reconstruisez vos systèmes selon l’ordre de priorité des services critiques. Restaurez d’abord les serveurs, puis les points de terminaison. Il est également recommandé de conserver une copie de vos données chiffrées. Un outil de déchiffrement gratuit permettant de contrer la souche de rançongiciel dont vous avez été victime pourrait être disponible à l’avenir.
Supprimez ou isolez complètement les anciens systèmes et protocoles.
Phase 5 : améliorer le niveau de maturité de la stratégie de cybersécurité
Étape 12 : vérifier les mesures de protection et en ajouter d’autres
Prenez le temps d’analyser et de documenter l’attaque en détail, et mettez en place de nouveaux contrôles, de nouvelles procédures et solutions pour prévenir une attaque future.