Vous vous êtes fait hacker. Vos données sont compromises. On vous réclame une rançon ? Les règles générales à suivre quand on s’est fait hacker.
Ne jamais payer un hacker
Ne cliquez jamais sur le lien qui vous incite à payer la rançon. Changez (ou faites changer) votre mot de passe et rendez-le complexe. Gardez en tête que le hacker cherche à jouer avec vos nerfs en créant un climat de panique.
Alerter la hiérarchie
Faites remonter l’information : échelons hiérarchiques, Directeur des Services de l’Information (DSI) et Data Protection Officer (DPO) *.
Déconnectez l’entreprise du réseau public et sauvegardez
Pour mettre un terme à la propagation, déconnectez l’entreprise du réseau informatique. Les hackers ne doivent plus accéder à votre entreprise. Vous arrêtez le routeur ou la box qui relie le réseau interne au réseau public. Vous retirez si nécessaire le câblage qui relie l’entreprise au réseau. Si un poste est particulièrement ciblé on l’éteint électriquement. Vous êtes incapable de connaitre le poste source ? Éteignez tout et débrancher tout électriquement. Parallèlement, vous vous empressez de sauvegarder toutes vos données importantes sur des disques durs externes et vous les placez en lieu sûr.
Enquêter en interne pour évaluer le piratage
Vous allez tenir un cahier, que vous appelez cahier d’événements de crise. Vous allez retracer les actions et les évènements liés à l’incident.
Chaque entrée de ce cahier d’évènement doit contenir, a minima :
- l’heure et la date de l’action ou de l’évènement ;
- le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement ;
- la description de l’action ou de l’évènement.
Ce cahier dit « d’événements » sera votre journal de crise. Consignez tous les éléments que vous jugerez utiles.
Qui a vu dans l’entreprise quelque chose d’anormal ? Quel est son poste ? Quels sont ses droits ? A-t-il prévenu quelqu’un par mail ? Quels étaient le jour et l’heure ? Avec ces dernières données, on va remonter dans les accès au réseau (logs) et suivre la piste vers « l’endroit » de la connexion initiale du hacker et voir si on retrouve des traces de ce dernier.
C’est une réelle enquête comme après un cambriolage. On note tout pour ne rien oublier. On interroge toutes les personnes concernées.
Ce cahier vous permettra à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises (Source ANSSI).
Une cellule d’évaluation pour mesurer les dégâts et agir
En même temps, vous créez une cellule d’évaluation pour mesurer l’ampleur des dégâts. En fonction de vos compétences, vous le faites vous-même ou vous appelez des personnes d’expérience. Elles peuvent vous conseiller, vous guider dans la mise en œuvre des procédures ad hoc.
Dans le cas présent, Nemausys (ou tout autre prestataire qualifié) intervient sur site. Le travail d’un spécialiste consiste alors à :
- Vous aider à tracer l’attaque et évaluer la nature, l’intensité et l’ampleur de la compromission de données opérée par les cybercriminels.
- Trouver le point d’entrée de l’attaque et sécuriser à nouveau le réseau.
- Neutraliser le ou les attaquants.
- Etablir un plan de continuité informatique (ou le mettre en œuvre s’il existe)
- Fournir les informations nécessaires aux assureurs et aux banques pour le dédommagement.
- Initier le plan de reprise informatique : Restaurer le système d’exploitation, les progiciels, les données pour favoriser la reprise d’activité.
Faire l’inventaire de ce qui a été pris ou détruit par le hacker
Une fois qu’on sait ce qui a été volé ou détruit. On doit évaluer la perte et l’impact sur l’entreprise. C’est aussi le moment de vérifier la couverture assurance cyber (si existante) c’est-à-dire : assistance juridique, couverture financière du ou des préjudices (matériel, immatériel). Banques et assurances deviennent des interlocuteurs incontournables.
Porter plainte
On porte plainte quand on a suffisamment de matière.
- Au nom de l’entité juridique (prévoir délégation de pouvoir si c’est un tiers collaborateur qui en est chargé)
- Police ou Gendarmerie selon le siège social de votre entreprise
- Signalement ANSSI (selon le cas) et CNIL (toujours)
- Informer banque et assureur (si contrat cyber)
*Infos sur pilote et DPO (CNIL)