Votre poste de travail est infecté. La stratégie en place de détection des intrusions a fonctionné et une menace a été identifiée. Et ensuite ? Repérer l’attaque informatique n’est que la première étape. Encore faut-il savoir ensuite organiser la réponse à incident. Et les premiers gestes ont ici une importance capitale. Pour éviter que la situation ne s’aggrave tout d’abord, mais aussi pour permettre de récolter un maximum d’informations sur l’attaque. Les collaborateurs d’une entreprise n’étant pas censés être tous des experts en sécurité informatique, la formation et la sensibilisation sont des missions clés des RSSI. Pour les aider, le CERT-FR a dressé une liste des bons réflexes à adopter.
7 gestes de premiers secours à connaître face à une attaque informatique
1 – Déconnecter la machine du réseau
Isolez immédiatement la machine concernée du réseau afin de stopper l’attaque. Le hacker n’aura plus d’accès et ne pourra plus récupérer, consulter ou modifier de fichiers.
2 – Ne pas éteindre ou redémarrer la machine
La machine doit être maintenue sous tension afin d’identifier les processus actifs au moment de l’intrusion. Redémarrer risque de détruire des informations utiles à l’analyse de l’attaque.
3 – Prévenir le responsable sécurité
Alertez tout de suite le responsable sécurité et votre hiérarchie, par téléphone ou de vive voix. N’utilisez pas une autre machine du réseau pour envoyer un courrier électronique. !.’.intrus est peut-être capable de les lire.
4 – Avertir le CSIRT / CERT
Si votre organisation est rattachée à un CSIRT (Computer Security Incident Response Team) ou à un CERT (Computer Emergency Response Team), contactez-le sans attendre. Les administrations et opérateurs d’importance vitale peuvent s’adresser au CERT-FR.
5 – Faire une copie physique du disque
Effectuez une copie de bas niveau du disque, y compris des secteurs non occupés, avant que les procédures d’analyse n’altèrent les données. Vous pourriez en avoir besoin plus tard, notamment en cas de procédure judiciaire. À aucun moment cette image ne doit être stockée sur le disque à étudier.
6 – Suivre les traces
Des traces de l’intrusion doivent exister sur d’autres équipements du réseau (pare-feu, routeurs, outils de détection d’intrusion, etc.). Recherchez, copiez, datez et enfin signez numériquement ces traces.
7 – Ne pas essayer de contacter l’attaquant
Si vous l’identifiez, n’essayez pas d’entrer en contact directement avec l’administrateur de la machine dont semble provenir l’attaque. Vous risqueriez de fournir au pirate des informations importantes. Laissez intervenir le CERT.
