Comment se protéger contre les menaces informatiques ?

Au-delà des actions préventives, se protéger contre les menaces informations passent par 2 axes : limiter la propagation du virus, ransomware, ver, etc., et assurer une reprise après incident rapide pour ne pas impacter lourdement l’activité de l’organisation.

En cas de cyberattaque sur un ordinateur, un objet connecté ou un serveur, la première mesure à prendre est de débrancher la machine ou à défaut de l’isoler complètement du réseau. Il faut aussi immédiatement bloquer les accès à distance et mettre en sûreté une copie des sauvegardes importantes, dont les journaux (logs) retraçant l’attaque.

Ces logs serviront à qualifier l’alerte et à affiner son signalement pour prendre des décisions sur sa gestion, alerter des responsables (RSI, DSI, etc.) ou des prestataires externes en cybersécurité.

L’objectif est de déterminer :

• la description précise de l’incident ;

• le type d’attaque et si possible l’identité des hackers ;

• les données en danger (sensibles, personnelles, etc.) ;

• le périmètre concerné ;

• les différents sous-systèmes touchés et leurs liens ;

• le cheminement de l’attaque (sa propagation) ;

• les obligations contractuelles ou réglementaires.

L’analyse des logs vous permettra aussi d’obtenir toutes les preuves techniques nécessaires pour un dépôt de plainte. Cette plainte doit intervenir avant la restauration du système afin que l’attaque puisse être constatée, d’où l’intérêt d’avoir des systèmes de sauvegarde pour ne pas paralyser l’entreprise durant cette période.

Enfin, la dernière étape consiste à remettre en état le système en suivant le PRA (Plan de Reprise d’Activité) ou les politiques de sauvegarde et restauration. Dès que le système est préinstallé, faites une analyse antivirus complète pour vérifier qu’il ne reste aucune trace, accès ou logiciels malveillants.