Voici comment détecter les cyberattaques – et réagir correctement

Une fois que des cyber-criminels ont réussi à s’introduire dans une entreprise, il est essentiel de réagir correctement. Cette check-list vous aidera à identifier les attaques et à réagir correctement et surtout à temps pour limiter les dégâts.

Vous ne devez pas réagir à une cyberattaque seulement si un ransomware a déjà crypté toutes les données. Dans ce cas, il ne vous reste plus qu’à minimiser les dommages. Plus tôt vous identifiez une attaque réussie, plus vous avez de temps pour réagir et empêcher une panne de vos systèmes IT ou un vol de données. «Réussie» signifie dans ce cas que les pirates sont déjà parvenus à accéder à votre système IT.

Il se peut que des cybercriminels se soient infiltrés dans votre IT pendant des semaines ou des mois sans que vous ayez remarqué quoique que ce soit au quotidien. Les intrus mettent à profit ce temps pour inspecter impassiblement votre infrastructure et prendre le contrôle d’autant de systèmes que possible. Avant que les criminels n’attaquent et cryptent toutes les données, peut-être ont-ils déjà récupéré des documents professionnels importants. Les assaillants donnent ainsi encore plus de poids à leur demande de rançon au moyen de rançongiciel (ransomware).

En raison de la dissimulation exercée par les cyber-criminels, il est souvent difficile de détecter à temps les attaques réussies. Ces astuces vous fournissent des pistes et vous montrent comment bien réagir à une attaque fructueuse.

Identifier les cyberattaques au quotidien

Différents indices montrent que votre PME est en train de subir une cyberattaque réussie. Vous devez tracer les indices suivants pour en déterminer la cause, car mieux vaut une fausse alerte de trop qu’une attaque non découverte:

• L’ordinateur fonctionne lentement et on entend fréquemment le bruit des ventilateurs, même lorsque vous n’effectuez pas de tâches à forte intensité de calcul.
• L’accès aux systèmes (locaux), tels qu’un serveur ou un NAS, est lent et le système se comporte anormalement. Par exemple, des messages d’erreur surgissent fréquemment.
• La connexion Internet est incroyablement lente et vous constatez un fort trafic Internet sortant au tableau de bord du routeur.
• L’ordinateur n’en fait qu’à sa tête: les fenêtres s’ouvrent et se ferment sans aucune action de votre part, et même le curseur de la souris se déplace tout seul.
• Vous recevez des alertes de votre logiciel antivirus suivant lesquelles un fichier suspect a été trouvé et/ou bloqué.
• Vous recevez des messages d’erreur lors des mises à jour de Windows ou de votre logiciel antivirus, comme Microsoft Defender. Celui-ci signale par exemple qu’il est désactivé.
• Vous recevez des e-mails d’avertissement indiquant qu’un compte en ligne, par exemple Microsoft 365 ou un compte Google, a été consulté à partir d’un nouvel appareil ou d’un lieu inconnu.

• En cas d’utilisation de l’authentification à deux facteurs, vous recevez un code SMS ou l’indication vous demandant de confirmer l’accès dans l’application d’authentification ou via Mobile ID, même si vous-même ou vos collaborateurs n’avez effectué aucune connexion.
• Un mot de passe n’est pas accepté en cas de connexion, même si vous avez vérifié à plusieurs reprises que vous avez bien saisi le bon mot de passe.
• La page d’accueil du navigateur Web a changé sans votre intervention ou des pop-ups publicitaires apparaissent régulièrement.

Identifier les cyberattaques en tant qu’administrateur

La personne responsable IT – un partenaire informatique, un collaborateur ou vous-même – dispose/disposez d’autres sources qui donnent des indications d’une cyberattaque. L’une des tâches d’un administrateur est de veiller aux effets suivants:

• Messages d’erreur dans les fichiers journaux de serveurs et NAS, comme le nombre de tentatives d’accès défectueuses ou d’accès réussies (d’un administrateur), qui restent inexplicables (par exemple en dehors des heures de travail).
• Processus en arrière-plan avec des noms inhabituels, souvent cryptés.
• Des copies masquées de Windows (Volume Shadow Copies) ont été supprimées.
• Modifications au niveau des sauvegardes de données ou réglages de back-up.
• Forte charge du réseau, de la mémoire et du processeur sans raison explicable.
• L’espace mémoire disponible se modifie de façon frappante ou des supports de stockage se remplissent soudainement.

Réagir correctement à une cyberattaque

Si vous-même ou votre responsable IT constatez/constate une cyberattaque réussie, la règle la plus importante est la suivante: Essayez de rester calme et lucide. Si vous agissez à la hâte, vous risquez d’accroître les dégâts ou de détruire des preuves précieuses pour les poursuites pénales.

Voici les étapes recommandées après une cyberattaque réussie avec un malware, tel qu’un ransomware:

• Activez votre plan d’urgence ou de crise. Dans l’idéal, il comprend déjà les étapes suivantes.
• Faites appel au rapidement que possible à des spécialistes en cybersécurité. Ceux-ci peuvent endiguer et analyser l’attaque et indiquer à vous-même ou à votre responsable IT des recommandations d’action pour la suite des opérations. Pour de telles situations, Swisscom emploie une équipe de spécialistes en cybersécurité qui vous assistent 7 x 24h/24 en cas d’urgence.
• Appelez la police (117).

Remédier aux conséquences d’une cyberattaque

Les étapes suivantes traitent de la manière de remédier à l’attaque. Vous devez les appliquer en concertation avec des spécialistes ou confier immédiatement la tâche à ces derniers.

• Isolez les systèmes compromis (infectés par un malware) afin d’éviter toute autre propagation. Déconnectez les appareils du réseau, mais ne les éteignez pas pour éviter d’effacer les pistes.
•  Sécurisez les preuves sur les systèmes infectés (forensique).
• Nettoyez les systèmes en supprimant le malware ou en réinstallant complètement les appareils. Le cas échéant, vous pouvez également remettre en état le système d’exploitation, les applications et les données à partir d’une sauvegarde.
• Modifiez si possible tous les mots de passe, mais au minimum les mots de passe administrateur. Activez l’authentification à deux facteurs partout où cela est possible.
• Vérifiez si possible si des données sensibles, par exemple des données personnelles, ont été volées.
• Portez plainte.
• Signalez l’incident à l’Office fédéral de la cybersécurité (OFCS). Vous soutenez ainsi plus généralement la lutte contre les cyber-criminels.

Lorsque tout fonctionne à nouveau, analysez, éventuellement avec les spécialistes de la sécurité IT et votre partenaire informatique, comment améliorer la protection de votre IT. Nous espérons que vous n’aurez plus jamais besoin de cette check-list.