Les 48 premières heures après la découverte d’une cyberattaque sont les plus critiques. Chaque décision prise ou non prise dans ce laps de temps influence directement l’étendue des dégâts, la capacité de récupération et les conséquences juridiques et réglementaires de l’incident. Pourtant, la majorité des PME du Grand Ouest n’ont aucun plan de réponse aux incidents et improvisent dans la panique quand l’attaque survient. Voici le guide des actions essentielles pour gérer les premières heures d’une crise cyber.

Heure 0 à 2 : détection et confinement immédiat

Le tout premier réflexe est de confiner l’attaque pour stopper sa propagation, sans détruire les preuves. Isolez les machines visiblement compromises du réseau en débranchant le câble réseau ou en désactivant le Wi-Fi, mais ne les éteignez pas : la mémoire vive contient des preuves forensiques précieuses qui seront perdues à l’extinction. Coupez les accès VPN et les connexions distantes si vous suspectez que l’attaquant utilise ces vecteurs. Changez immédiatement les mots de passe des comptes d’administration, en commençant par les comptes de domaine Active Directory. Prévenez votre prestataire de cybersécurité et activez votre cellule de crise. Documentez précisément les actions réalisées et les constats : heure de détection, symptômes observés, machines affectées, actions prises. Cette chronologie sera indispensable pour l’investigation et les déclarations aux autorités.

Heure 2 à 12 : évaluation de l’impact et investigation

Une fois le confinement initial réalisé, l’investigation forensique commence. L’objectif est de comprendre le vecteur d’entrée de l’attaquant, l’étendue de la compromission, les données potentiellement exfiltrées et la persistance mise en place par l’attaquant dans l’environnement. Les experts forensiques analysent les journaux système, les logs réseau, les traces mémoire et les artefacts sur les machines compromises. Cette phase détermine si l’attaquant est toujours présent dans le réseau et quelles ressources sont réellement affectées. L’évaluation de l’impact guide les décisions de communication : faut-il prévenir les clients, les partenaires, les autorités ? Des données personnelles ont-elles été compromises, déclenchant l’obligation de notification à la CNIL sous 72 heures ? L’activité de l’entreprise peut-elle continuer partiellement ou est-elle totalement arrêtée ?

Heure 12 à 48 : remédiation, communication et reprise

La phase de remédiation vise à éradiquer la présence de l’attaquant et à préparer la reprise d’activité. Les machines compromises sont reconstruites à partir d’images saines. Les comptes compromis sont désactivés et recréés. Les vulnérabilités exploitées par l’attaquant sont corrigées avant la remise en service. Les sauvegardes sont vérifiées pour s’assurer qu’elles ne contiennent pas de traces de l’attaque avant restauration. La communication de crise est lancée : notification à la CNIL si des données personnelles sont concernées, information des clients et partenaires impactés, dépôt de plainte auprès du procureur de la République. La reprise d’activité se fait progressivement, en commençant par les systèmes les plus critiques et en maintenant une surveillance renforcée pour détecter tout signe de persistance de l’attaquant.

L’importance d’un plan de réponse aux incidents préparé à l’avance

Les entreprises qui disposent d’un plan de réponse aux incidents (PRI) préparé et testé avant l’attaque limitent considérablement l’impact de l’incident. Le PRI définit à l’avance les rôles et responsabilités de chaque membre de la cellule de crise, les procédures de confinement pour chaque type d’incident, les contacts d’urgence (prestataire cyber, assureur, avocat, ANSSI, forces de l’ordre), les procédures de communication interne et externe, et les critères de décision pour les actions critiques. Un PRI doit être testé au moins une fois par an lors d’un exercice de crise simulé pour vérifier que les procédures sont opérationnelles et que les équipes savent les exécuter sous pression.

Le CSIRT Ealison : intervention d’urgence 24/7

La cellule CSIRT (Computer Security Incident Response Team) d’Ealison est disponible 24 heures sur 24 pour les entreprises du Grand Ouest. En cas d’incident, nous intervenons en moins de 2 heures sur site à Nantes, Rennes, Le Mans, Angers, Laval et La Roche-sur-Yon. Notre équipe de réponse aux incidents prend en charge le confinement, l’investigation forensique, la remédiation, l’accompagnement juridique et la reprise d’activité. Nous aidons également les entreprises à construire leur PRI et à l’éprouver par des exercices de crise réalistes. Notre taux de récupération des données après un ransomware est de 98 %.

Ne laissez pas l’improvisation dicter votre réponse à une cyberattaque. Contactez Ealison pour construire votre plan de réponse aux incidents ou appeler notre CSIRT en urgence.