La réponse à incident c’est quoi ?
Il s’agit d’une réponse de la victime ou de son prestataire à un incident de sécurité informatique. En clair, c’est une somme d’opérations ou d’actions en réaction à l’incident de sécurité informatique. Ces dernières vont permettre de sortir de la crise. Cela consiste à mettre en oeuvre trois étapes que sont l’adoption des premiers réflexes, le pilotage de la crise et la gestion de sortie de crise.
Agir rapidement !
Dans le cas d’un incident, vous devez agir rapidement et effectuer les constatations techniques dans les meilleurs délais. A ce propos, les équipes de CHACK sont formées afin de vous accompagner en cas de crise (voir notre méthode). Idéalement c’est le moment de sortir votre plan de gestion de crise si vous en avez un.
Adoptez les premiers réflexes
- Alertez immédiatement votre support informatique ou votre prestataire.
- Isolez les systèmes attaqués du réseau sans les éteindre (pour pouvoir collecter les preuves) dans la mesure du possible.
- Constituez une équipe de gestion de crise et leurs responsabilités (décideurs, RH, finance, communication, etc).
- Tracer dans un registre l’ensemble des actions réalisées.
- Préserver les preuves ce qui nécessite parfois de réaliser des actions de sauvegardes ou de copies avant de remettre en état les systèmes.
Piloter la crise
- Mettez en oeuvre vos plans de reprise d’activité si vous en avez ou vos sauvegardes.
- Déclarer le sinistre auprès de votre assureur (cette étape peut avoir lieu avant en fonction de votre capacité à intervenir).
- Alerter votre banque si des informations permettant de réaliser des transferts de fonds ont pu être dérobées.
- Déposer plainte et éventuellement la primo-déclaration à la CNIL (vous pourrez compléter ultérieurement).
- Identifiez et analyser avec précision l’origine de l’attaque afin de corriger et ainsi éviter un nouvel incident.
- Gérer votre communication avec le bon niveau d’informations auprès de vos clients, partenaires, fournisseurs, médias etc.
Sortir de la crise
- Redémarrer progressivement en vous assurant d’avoir corrigé les vulnérabilités ou défauts de sécurité éventuels. Superviser finement et activement le système pour détecter toute nouvelle cyberattaques.
- Tirez les enseignements de l’incident en définissant des plans d’actions sécurité, des plans de reprise, des investissements d’outils de détection et blocage, investissements RH, le tout pour éviter tout nouvel incident voire mieux gérer la prochaine crise et en minimiser l’impact.
Les premiers intervenants doivent limiter les dommages et préserver les traces utiles.
Police Nationale – Sous direction de la lutte contre la cybercriminalité
Notre méthode
Une intervention rapide et à vos côtés
Vous l’avez compris les premières heures sont cruciales, nous intervenons à vos côtés et vous guidons pour adoptez les premiers réflexes essentiels. Dans le cadre d’un contrat de RSSI à temps partagé, vous bénéficiez déjà des contacts et d’une priorité.
Piloter la crise
Premièrement, les actions doivent s’enchaîner rapidement mais sereinement, c’est pourquoi nous mettons en place notre protocole d’intervention. Puis nous définissons les personnes clés, et intervenons directement sur votre système avec ou sans vos équipes pour analyser la cause et effectuer la remédiation. Par la suite, nous vous conseillons également sur votre communication et les autres démarches administratives.
Et Ensuite ?
Nous nous assurons que les systèmes affectés sont sains, corrigés, éventuellement durcis, que les vulnérabilités et défauts de sécurité éventuels soient corrigés avant de les redémarrer. Enfin, nous supervisons également vos systèmes et équipements afin de détecter et bloquer toute nouvelle tentative d’attaque.
Contacts Utiles
Conseil et assistance avec cybermalveillance.gouv.fr
Notification de violation de données auprès de la CNIL
Police ou
Gendarmerie
Faire le 17
