L’essentiel des publications en matière de cybersécurité se concentre généralement sur la prévention des risques et l’appel à la vigilance face aux cyberattaques. Cependant, comme le risque zéro n’existe pas, il est crucial de savoir comment réagir en cas d’attaque informatique. Seule une préparation en amont permet au personnel de l’entreprise d’adopter les bons réflexes lors d’une cyberattaque et de limiter ainsi les impacts sur l’organisation.
Comment détecter une intrusion ou une cyberattaque
Une intrusion dans un système d’information se produit lorsqu’une personne parvient à s’introduire sans autorisation. Si cette personne obtient des droits d’administrateur, elle se trouve alors dans une position idéale pour exploiter le système. Face à l’essor de la cybercriminalité, les fournisseurs de sécurité proposent aujourd’hui une large gamme d’outils pour détecter ces intrusions.
Utiliser les outils de détection d’intrusion
Il existe deux catégories principales d’outils permettant de détecter les intrusions informatiques :
- Ceux qui analysent le trafic à certains points du réseau.
- Ceux qui analysent les événements sur les équipements.
Chaque catégorie présente ses avantages et ses inconvénients. Il est donc recommandé d’utiliser une combinaison de ces deux types d’outils pour garantir une protection optimale. Toutefois, même les outils les plus perfectionnés restent efficaces uniquement lorsqu’ils sont accompagnés d’une surveillance humaine.
Utiliser la surveillance humaine et les CERT
En complément des outils de détection, des organismes externes comme les CERT (Computer Emergency Response Teams) peuvent également repérer l’attaque. Ces centres d’alerte et de réaction aux attaques informatiques, destinés aux entreprises et administrations, centralisent les demandes d’assistance suite aux incidents de sécurité. Ils analysent les symptômes, corrigent les incidents et mettent à jour les bases de données des vulnérabilités. Ces informations peuvent fournir une aide précieuse aux entreprises suspectant une cyberattaque.
Repérer les comportements inhabituels d’une machine
Le dernier moyen de détecter une attaque consiste à observer soi-même la machine. Voici quelques signes qui devraient alerter tout utilisateur :
- Disparition de fichiers.
- Impossibilité de se connecter à la machine.
- Système de fichiers endommagé.
- Modifications suspectes des fichiers de mots de passe.
- Modification des signatures de fichiers binaires.
- Connexions ou activités inhabituelles.
- Création ou destruction de comptes.
- Apparition de fichiers cachés.
Nous recommandons vivement aux PME de former leurs utilisateurs à détecter ces signes d’activité suspecte.
Que faire immédiatement si on constate une intrusion
L’utilisateur lambda se retrouve souvent désemparé lorsqu’il réalise qu’il a été victime d’une cyberattaque. Les premiers réflexes ne sont pas toujours les meilleurs et peuvent, dans certains cas, détruire les éléments permettant de comprendre l’origine de l’attaque, sa portée et le mode opératoire utilisé.
1/ Déconnecter la machine du réseau sans l’éteindre
En maintenant la machine allumée, l’utilisateur conserve les traces de l’attaque, notamment les processus actifs au moment de l’intrusion. Si l’attaque est en cours, cette action empêche l’intrus de garder le contrôle et freine la propagation de l’attaque.
2/ Prévenir la hiérarchie et le responsable sécurité
Il est essentiel de prévenir immédiatement la hiérarchie et le responsable sécurité, de préférence par téléphone, car un pirate peut potentiellement lire les courriers électroniques envoyés. Il faut également avertir le CERT dont l’entreprise dépend.
3/ Faire une copie physique du disque
Cette copie sera précieuse si une procédure judiciaire est lancée. Elle permettra de montrer l’état du système au moment de la découverte de l’intrusion. L’analyse des données pourrait altérer ou effacer certaines informations, rendant ainsi la procédure impossible. La copie physique garantit l’intégrité des informations.
4 / Rechercher les traces disponibles sur l’ensemble du réseau
Une attaque ne laisse pas seulement des traces sur la machine de l’utilisateur. Elle se retrouve également sur tous les équipements du réseau : firewalls, routeurs, etc. Seule une recherche exhaustive et méthodique permet de comprendre la méthode utilisée par les criminels et de remédier aux failles de sécurité exploitées.
5/ Ne pas rentrer en contact directement avec le pirate
Toute tentative de contact avec l’intrus peut être contre-productive, voire fournir des informations qui l’aideraient. Il est préférable de contacter un CERT, qui saura gérer cette situation de manière plus efficace.
6/ Porter plainte après une intrusion
Seule la direction de l’entreprise peut porter plainte. L’entreprise doit se rapprocher de la gendarmerie et du pôle judiciaire de la gendarmerie nationale, ainsi que du Centre de lutte contre la criminalité numérique.
Que faire pour remédier au problème et éviter une nouvelle cyberattaque
Une fois l’attaque identifiée et les premières mesures prises, plusieurs actions doivent être entreprises pour mieux comprendre la portée de l’attaque et éviter sa répétition.
Faire une analyse détaillée de l’incident
L’analyse de l’incident doit couvrir six domaines principaux :
- Les modifications du système et des fichiers de configuration.
- Les modifications des données.
- L’analyse des outils utilisés et des données laissées par le pirate.
- La revue des fichiers de journalisation.
- La recherche d’un logiciel d’écoute des mots de passe sur le réseau (sniffeur).
- La vérification des autres machines connectées sur le réseau.
Il est important de commencer l’analyse seulement après avoir réalisé une copie physique du disque dur. Cela permettra de conserver les données intactes, en particulier en cas de dépôt de plainte.
Réinstaller complètement le système d’exploitation à partir d’une version saine
Lorsque le système est compromis, il est illusoire et risqué de simplement réparer la vulnérabilité exploitée. Une réinstallation complète à partir d’une version saine est indispensable.
Appliquer les correctifs de sécurité ou patches
Avant de reconnecter la machine au réseau, il est impératif d’appliquer tous les correctifs de sécurité disponibles. Ces patchs doivent être téléchargés directement sur les sites des éditeurs de logiciels.
Modifier les mots de passe du système d’information
Les pirates peuvent avoir installé un outil pour espionner les mots de passe. Il est donc essentiel de changer tous les mots de passe des comptes du système pour éviter toute fuite d’informations.
Tirer les conclusions pour améliorer la sécurité après une intrusion
Bien qu’une intrusion soit un événement néfaste, elle offre aussi l’opportunité de mesurer la préparation et la capacité de réaction de l’entreprise. Il est crucial d’effectuer un retour d’expérience pour identifier ce qui a manqué, pour mieux protéger le SI et réagir plus rapidement lors de futurs incidents.
Voici quelques questions à se poser :
- Quels outils de protection et de filtrage sont utilisés ?
- Quels outils de détection d’intrusion sont déployés ?
- Existe-t-il une procédure de recherche régulière des intrusions ?
- La marche à suivre en cas d’intrusion est-elle connue et communiquée aux acteurs de l’entreprise ?
- Les personnes impliquées connaissent-elles leur rôle ?
Compte tenu de la recrudescence des attaques informatiques et de l’absence de risque zéro, les PME doivent impérativement mettre en place des politiques de sécurité pour prévenir ces attaques. Elles doivent également savoir comment réagir si elles se produisent. L’accompagnement d’un prestataire spécialisé en sécurité informatique est recommandé pour bénéficier des meilleures pratiques. Il est également conseillé de réaliser un test d’intrusion ou un audit de sécurité pour renforcer la protection de l’entreprise.
