Sinistre / crise

Imaginez que vous ne puissiez plus accéder à vos données parce qu’elles sont cryptées. C’est le chaos, personne ne sait ce qu’il faut faire. C’est un scénario d’horreur qui s’est malheureusement produit trop souvent dans un passé récent, dans les grandes entreprises comme dans les plus petites. Nous souhaitons montrer ce qui peut être fait en amont.

De quelles informations avez-vous besoin pour prendre des mesures immédiates en cas de crise ? Pour cela, il vaut la peine d’avoir ce que l’on appelle un concept de continuité des activités. On y consigne les étapes à suivre dans un tel cas et qui a quel rôle. Les données de contact nécessaires (par exemple les numéros de téléphone des personnes compétentes, éventuellement aussi des principaux clients) sont également insérées dans ce document. Ce document est imprimé et conservé à différents endroits (dans l’entreprise et à la maison). Souvent, de telles urgences éclatent juste avant un jour férié ou un week-end, afin de réduire la capacité d’action des entreprises concernées. Un tel document doit également indiquer quelles personnes internes sont compétentes et quels prestataires externes doivent être appelés. Cette équipe (appelée « Security Incident Response Team ») prend le relais dans ce cas. Il s’agit souvent du propriétaire et d’un prestataire de services externe. Ce dernier a certes un tarif horaire élevé, mais la perte d’exploitation est généralement plus chère de plusieurs facteurs. Certaines entreprises n’ont pu reprendre leur activité correctement qu’après plusieurs semaines. Et ces prestataires de services sont des professionnels, car ils ont déjà accompagné des entreprises dans de tels cas à plusieurs reprises.

Les questions suivantes peuvent aider :

  • Où se trouve votre document imprimé sur ce qui doit être fait en cas d’urgence ?
  • Avez-vous déjà évalué qui vous soutiendrait en cas d’urgence (prestataire de services externe) ?
  • Les chaînes de notification et l’équipe de crise sont-elles clairement définies ?
  • Les collaborateurs savent-ils comment se comporter en cas d’urgence informatique ?
  • D’un point de vue économique, la question se pose de savoir s’il faut ou non payer une rançon. L’Office fédéral de la cybersécurité le déconseille, car cela ne fera qu’aggraver le problème à l’avenir.

La crise survient, quelles sont les recommandations à ce sujet ?

  • Déconnecter les appareils infectés du réseau afin d’éviter la propagation. Toutefois, les cybercriminels sont souvent actifs sur le réseau depuis un certain temps déjà.
  • Activer l’équipe de crise (voir document qui a quel rôle). Il convient d’informer tous les responsables et de procéder selon le plan d’urgence.
  • Appeler un prestataire de services externe.
  • Contacter la police.

De plus amples informations peuvent être trouvées auprès de l’Office fédéral de la cybersécurité :
https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-unternehmen.html

Il existe des entreprises qui simulent une telle situation d’urgence afin d’être prêtes à y faire face en cas de besoin. 

Dans un deuxième temps, il s’agit d’évaluer les dommages : Quels systèmes et fichiers sont concernés par la cyber-attaque ? Quelles sauvegardes peuvent encore être utilisées puisqu’elles ne sont pas encore infectées ? Comme les cybercriminels sont souvent actifs dans les systèmes pendant des semaines et des mois, les sauvegardes sont souvent aussi concernées. Il s’agit d’utiliser et d’importer la dernière sauvegarde encore en fonction afin de pouvoir continuer à travailler. Il ne faut pas sous-estimer l’effort nécessaire à cette étape, car les données et les systèmes restaurés doivent être contrôlés quant à l’absence de logiciels malveillants avant d’être remis en service. Les systèmes restaurés doivent être exempts de logiciels malveillants. Cela devrait être testé avant que l’exploitation ne soit complètement lancée. Cela permet de voir si les tâches préparatoires ont été réalisées correctement : 

  • Les sauvegardes ont été enregistrées de manière actuelle, complète et sûre.
  • Les processus de récupération ont été testés au préalable.

Lorsque le dommage a pu être réparé (espérons-le) et que le système fonctionne à nouveau, il s’agit d’analyser les causes et les points faibles afin d’éviter qu’un tel cas ne se reproduise. 
Les questions suivantes peuvent vous aider : 

  • Quelles sont les vulnérabilités qui ont permis l’attaque ?
  • Qu’est-ce qui doit être amélioré ?
  • Comment le plan d’urgence doit-il être amélioré ?
  • Comment préparer les collaborateurs aux nouvelles exigences en matière de sécurité ?
Qui sommes-nous?
Médias
Accès rapide
Partner

© AM Suisse 2025