L’essentiel des publications en matière de cybersécurité concerne la prévention des risques et l’appel à la vigilance face aux cyberattaques. Mais puisque le risque zéro n’existe pas, il est particulièrement important de savoir quoi faire en cas d’attaque informatique. Et seule une préparation en amont permettra au personnel de l’entreprise d’avoir les bons réflexes au moment de la cyberattaque et de limiter les impacts sur l’entreprise.
Comment détecter une intrusion ou une cyberattaque
On considère qu’il y a une intrusion dans un système d’information lorsque une personne a réussi à s’introduire sans y être autorisée. Evidemment, si elle parvient à obtenir des droits d’administrateur elle sera encore en bien meilleure position pour en tirer profit. Compte tenu du développement de la cybercriminalité, les fournisseurs de sécurité ont également développé une offre abondante d’outils permettant de détecter les intrusions.
Utiliser les outils de détection d’intrusion
Il existe deux grandes catégories d’outils permettant la détection des intrusions informatiques :
- ceux qui analysent le trafic en certains points du réseau
- ceux qui analysent les événements se produisant sur les équipements
Chaque catégorie d’outils a ses avantages et ses inconvénients, tant et si bien qu’il est recommandé d’utiliser une combinaison de ces deux types d’outils pour parvenir à une protection optimale. Aussi perfectionnés soient ils, ces outils ne peuvent être réellement efficace que si ils sont couplés à une surveillance humaine.
Utiliser la surveillance humaine et les CERT
En complément des outils de détection de fraude, qui fournissent des informations sur le système d’information de l’entreprise, il est également possible que l’attaque aie été repérée par des organismes externes de surveillance tel que les CERT. Acronyme pour Computer Emergency Response Team, un CERT est centre d’alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Son rôle principal est de centraliser les demandes d’assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents. Il met à jour les bases de données des vulnérabilités et peut ainsi fournir des informations précieuses aux entreprises qui soupçonnent avoir été victime d’une attaque.
Repérer les comportements inhabituels d’une machine
Le dernier moyen pour détecter est une attaque est la détection par l’utilisateur lui même. Voici une liste des signes qui devraient mettre la puce à l’oreille de tout utilisateur :
- Des fichiers ont disparu
- Il est impossible de se connecter à la machine
- Le système de fichier est endommagé
- Il y a eu des modifications de fichier de mot de passe
- La signature de binaire a été modifiée
- Il y a des connexions ou des activités inhabituelles
- Il y a la création ou la destruction de compte
- Des fichiers ont été créé, il comprit des fichiers cachés
On ne saurait trop recommander aux PME de former les utilisateurs à la détection des signes d’activité suspects.
Que doit-on faire immédiatement si on constate une intrusion
L’utilisateur lambda est le plus souvent désemparé lorsqu’il se rend compte qu’il a été victime d’une cyberattaque. Et les premiers réflexes ne sont pas toujours les meilleurs, car ils peuvent mener à la destruction des éléments qui permettent précisément de comprendre l’origine de l’attaque, sa portée , le mode opératoire utilisé.
1/ Déconnecter la machine du réseau, sans l’éteindre
En maintenant la machine sous-tension l’utilisateur va permettre de conserver les traces de la cyberattaque et notamment les processus qui étaient actifs au moment de l’intrusion. Si l’attaque est toujours en cours, le fait de déconnecter la machine du réseau empêchera l’intrus d’avoir un contrôle sur votre machine, et empêchera l’attaque de se propager.
2/ Prévenir votre hiérarchique et le responsable sécurité
Il est préférable de prévenir votre hiérarchie et votre responsable sécurité par téléphone de vive voix, étant entendu que le pirate à potentiellement la capacité de lire les courriers électroniques que vous pourriez envoyer. Il faut aussi prévenir le CERT dont vous dépendez.
3/ Faire une copie physique du disque
Cette copie aura toute son importance si vous décidiez de lancer une procédure judiciaire. Elle servira à montrer l’état du système au moment de la découverte de l’intrusion. En Effet, dans certains cas, l’analyse des données pourra provoquer l’effacement ou l’altération de certaines données rendant ainsi la procédure impossible. La copie physique permet en particulier d’avoir l’intégralité des informations.
4 / Rechercher les traces disponibles sur l’ensemble du réseau
Lorsqu’un système est attaqué, les traces laissées par les pirates ne le sont pas que sur la machine de l’utilisateur. Un pirate laisse également des traces sur l’ensemble des équipements du réseau : firewall, routeurs….. Seule une recherche méthodique et exhaustive permettra d’exploiter les informations laisser parler criminels pour comprendre le procédé utilisé et remédier aux failles de sécurité qui ont été exploitées .
5/ Ne pas rentrer en contact directement avec le pirate
Toute tentative d’entrer en contact avec le pirate, pourra au mieux être inutile, et au pire lui fournir des informations qui pourront l’aider.
Il est de toute façon préférable prendre contact avec un CERT qui se chargera de cela. Les CERT sont plus crédibles et pris au sérieux par les pirates.
6/ Porter plainte après une intrusion
Cette plainte ne peut être portée que par la direction de votre entreprise. Il faut vous rapprocher de la gendarmerie.et le pôle judiciaire de la gendarmerie nationale. et le Centre de lutte contre les criminalités numériques.
Que faire pour remédier au problème et éviter une nouvelle cyberattaque
Une fois l’attaque constatée et les premières mesures prises, plusieurs actions pourront être menées de manière à mieux comprendre la portée de l’attaque, et faire le nécessaire pour éviter qu’elle ne se reproduise.
Faire une analyse détaillée de l’incident
L’analyse d’un incident couvre 6 domaines principaux :
- Les modifications du système et les fichiers de configuration des celui-ci
- Les modification de données
- L’analyse des outils utilisés et des données laissées par le pirate au cours de l’intrusion
- La revue des fichiers de journalisation
- La recherche de la présence d’un logiciel d’écoute des mots de passe sur le réseau (sniffeur)
- La vérification des autres machines connectées sur le réseau
- Il est conseillé de ne commencer l’analyse de l’incident, qu’après avoir réalisé une copie physique du disque dur. Dans le cas d’un dépôt de plainte, cette copie servira pour la procédure, au cas ou des données auraient été altérées par l’analyse.
Réinstaller complètement le système d’exploitation à partir d’une version saine
Lorsqu’une machine a été piratée, les modifications peuvent avoir concerné l’ensemble des parties du système d’information. Il serait donc illusoire et dangereux de vouloir simplement traiter la vulnérabilité qu’a exploitée le pirate. Seule un réinstallation complète à partir d’une version réputée saine est valable.
Appliquer les correctifs de sécurité ou patches
Il convient également d’appliquer tous les correctif de sécurité avant de rebrancher la machine et de la connecter au réseau. Ces correctifs sont à télécharger directement sur les sites des éditeurs de logiciels.
Modifier les mots de passe du système d’information
Les pirates peuvent avoir installé un renifleur de mot de passe pour les récupérer à l’insu des utilisateurs. Il est donc fortement conseillé le modifier l’intégralité des comptes du système pour parer à toute éventualité.
Tirer les conclusions pour améliorer la sécurité après une intrusion
Si une intrusion est toujours dommageable pour une entreprise, c’est aussi un moment de vérité qui permet d’évaluer son niveau de préparation et sa capacité de réaction face à ce type d’incident. Il convient donc de faire un véritable retour d’expérience et d’identifier ce qui a manqué, pour détecter plus vite la cyberattaque, mieux protéger le SI et réagir plus rapidement et de manière plus adéquate.
- Quels sont les outils de protection ou de filtrage
- Quels sont les outils de détection d’intrusion
- Quels sont les outils de journalisation de connexion
- Une procédure de recherche régulière des intrusions existe-t-elle et a-t-elle suivi ?
- La marche à suivre en cas d’intrusion est-elle connue et communiquée aux acteurs de l’entreprise ?
- Les différentes personnes à impliquer connaissent-elles le rôle qu’elle doit jouer ?
Compte-tenu de la recrudescence d’attaques informatique, et de l’absence de risque zéro, les PME doivent impérativement mettre en place des politiques de sécurité de manière à prévenir ces attaques, mais aussi et surtout savoir quoi faire si elles se produisent. L’accompagnement d’un prestataire spécialisé en sécurité informatique permettra de bénéficier des meilleures pratiques en la matière. Il est bien entendu possible d’éviter une cyberattaque et de faire réaliser un test d’intrusion voire un audit de sécurité.