Comment détecter les cyberattaques – et y réagir de manière appropriée

Une fois que des cybercriminels ont réussi à s’introduire dans une entreprise, il est essentiel de réagir de manière appropriée. Cette check-list vous aidera à identifier les attaques et à réagir de manière appropriée et surtout à temps pour limiter les dommages.

Vous ne devriez pas attendre qu’un ransomware ait déjà crypté toutes vos données pour réagir à une cyberattaque. Mais, si c’est le cas, il ne vous reste alors plus qu’à minimiser les dommages. Plus tôt vous identifiez une intrusion, plus vous avez de temps pour réagir et empêcher une panne de vos systèmes informatiques ou un vol de données. «Intrusion» signifie dans ce cas que les pirates sont déjà parvenus à accéder à votre système informatique.

Il se peut que des cybercriminels se soient infiltrés dans votre système informatique pendant des semaines ou des mois sans que vous ayez remarqué quoi que ce soit au quotidien. Les intrus mettent à profit ce temps pour inspecter impassiblement votre infrastructure et prendre le contrôle de tous les systèmes possibles.

Avant que les criminels n’attaquent et cryptent toutes les données, peut-être ont-ils déjà récupéré des documents professionnels importants. Les assaillants donnent ainsi encore plus de poids à leur demande de rançon au moyen de ransomware.

En raison de la dissimulation pratiquée par les cybercriminels, il est souvent difficile de détecter à temps les intrusions. Ces astuces vous fournissent des pistes et vous montrent comment bien réagir à une attaque intrusive.

Détecter les cyberattaques au quotidien

Différents indices montrent que votre PME est en train de subir une cyberattaque. Vous devez examiner les indices suivants pour en déterminer la cause, car mieux vaut une fausse alerte de trop qu’une attaque non décelée. Faites éventuellement appel à votre partenaire informatique ou à la personne interne responsable du contrôle.

Indicateurs critiques: agir immédiatement

Les signes suivants renvoient assez clairement à une cyberattaque. En particulier si vous ne pouvez pas en justifier leur cause par votre propre activité.

• La connexion Internet est incroyablement lente et vous constatez un fort trafic Internet sortant («outbound Traffic») au tableau de bord du routeur.
• Des copies masquées de Windows (Volume Shadow Copies) ont été supprimées. Il s’agit d’une fonction de sauvegarde intégrée à Windows qui crée un instantané du système ou des données d’application.
• Des messages d’erreur dans les fichiers journaux de serveurs et NAS, comme le nombre de tentatives d’accès défectueuses ou d’accès réussies d’un administrateur, qui restent inexplicables (par exemple en dehors des heures de travail).
• Des Processus d’arrière-plan avec des noms ou des désignations inhabituels, souvent cryptés ou aléatoires qui ressemblent à un service légitime. Si ces services génèrent une charge élevée sur le processeur ou un trafic réseau important, cela peut être le signe de la présence d’un logiciel malveillant. Il peut s’agir par exemple d’un ransomware qui crypte les données ou d’un cheval de Troie d’accès à distance (RAT) qui permet à l’assaillant d’accéder à l’ordinateur à distance.
• De nouveaux comptes d’administrateur ou membres de groupes suspects indiquent que les assaillants ont créé des «comptes de sauvegarde» pour sécuriser l’accès.
• Vous recevez des e-mails d’avertissement indiquant qu’un compte en ligne, par exemple sur Microsoft 365 ou un compte Google, a été consulté à partir d’un nouvel appareil ou d’un lieu inconnu. Cela indique que les cybercriminels détiennent les données d’accès.

Indicateurs importants: vérifier

Les signes suivants peuvent provenir d’une cyberattaque, mais aussi avoir d’autres causes telles que des erreurs logicielles, des problèmes de connexion, etc.

• Vous recevez des messages d’erreur lors des mises à jour de Windows ou de votre logiciel antivirus, comme Microsoft Defender. Celui-ci signale par exemple qu’il est désactivé. Les assaillants essaient souvent de désactiver et de neutraliser ces mesures de protection.
• Un mot de passe n’est pas accepté en cas de connexion, même si vous avez vérifié à plusieurs reprises que vous avez bien saisi le bon mot de passe. C’est un signal d’avertissement, en particulier pour les accès administrateur: les pirates ont, en tout état de cause, modifié les données d’accès (le mot de passe).
• Les entrées de journal suspectes telles que l’échec de la connexion, l’installation de services Windows, la modification d’autorisations ou la suppression de fichiers journaux peuvent constituer des traces de l’activité de cybercriminels.
• Des connexions réseau inhabituelles vers des pays avec lesquels vous n’avez rien à faire ou vers des services Internet (ports) que vous n’utilisez pas (par exemple l’accès à distance) sont des indices de la présence de logiciel malveillant. Ce dernier reçoit souvent ses «ordres» d’un serveur de commande et de contrôle (C2) de l’assaillant.

Réagir de manière appropriée à une cyberattaque

Les étapes suivantes expliquent la manière de remédier à l’attaque. Vous devez les appliquer en concertation avec des spécialistes ou confier immédiatement la tâche à ces derniers. Impliquez également votre service informatique ou votre partenaire informatique. Dans de telles situations, Swisscom emploie une équipe de spécialistes en cybersécurité qui vous assiste 24h/24, 7j/7 en cas d’urgence.

Enrayer l’incident:

1. En cas de soupçon de cyberattaque, isolez les systèmes compromis (infectés par des logiciels malveillants) afin d’éviter toute nouvelle propagation. Déconnectez les appareils du réseau, mais ne les éteignez pas. Lors de l’arrêt, les précieuses traces des assaillants, qui ne sont stockées que temporairement dans la mémoire vive (RAM), risquent d’être perdues.

Analyse de l’incident:

2. Début de l’analyse: Quelles données et quels systèmes sont concernés? De quel type d’attaque s’agit-il?
3. Sécurisez les preuves sur les systèmes infectés (investigation forensique) et documentez les procédures.
4. Vérifiez si possible si des données sensibles, par exemple des données personnelles, ont été volées. Une déclaration au Préposé fédéral à la protection des données (PFPDT) est éventuellement recommandée ou nécessaire.
5. Signalez l’incident à la police et à l’Office fédéral de la cybersécurité (OFCS). Vous soutenez ainsi plus généralement la lutte contre les cybercriminels. Portez plainte.

Restauration des systèmes:

6. Si vous êtes victime de chantage par un gang de ransomware et souhaitez négocier: faites appel à des spécialistes de la police ou d’un partenaire informatique. Mais vérifiez d’abord si vous êtes en mesure de restaurer les données sans les décrypter, par exemple à partir d’une sauvegarde.
7. Nettoyez les systèmes en supprimant le logiciel malveillant ou en réinstallant complètement les appareils. Le cas échéant, vous pouvez également réinitialiser le système d’exploitation, les applications et les données à partir d’une sauvegarde.
8. Si vous êtes sûr que les pirates ne sont plus présents dans le réseau: modifiez si possible tous les mots de passe, et au moins les mots de passe administrateur.
9. Informez les membres du personnel et les clients concernés. Les membres du personnel peuvent être informés dès qu’une cyberattaque est confirmée et que l’entreprise passe en «mode d’urgence».

Suivi de l’incident et étapes suivantes:

10. Lorsque tout fonctionne à nouveau, analysez, éventuellement avec les spécialistes de la sécurité informatique et votre partenaire informatique, comment améliorer la protection de votre système informatique. Une approche moderne consiste à tester chaque accès aux applications et aux données, aussi bien localement que dans le cloud. Nous espérons que vous n’aurez plus jamais besoin de cette check-list.

Prévenir ou endiguer les futures cyberattaques

Les mesures de protection qui s’imposent pour mieux protéger l’entreprise contre les cyberattaques à l’avenir dépendent de la situation individuelle. Il existe toutefois quelques mesures «classiques» qui ont un effet certain:

• Protéger les comptes à l’aide d’une authentification à deux facteurs (2FA) ou une connexion sans mot de passe.
• En cas de mots de passe, fixer des règles claires: il faut des mots de passe sûrs, un mot de passe distinct pour chaque compte, pas de mots de passe partagés.
• Configurer les droits d’accès aux archives en ligne de telle sorte que les membres du personnel ne puissent accéder qu’aux données dont ils ont besoin dans leur travail quotidien («principe du moindre privilège»).
• Protection efficace pour le réseau et les appareils, capable de détecter les activités suspectes et de les bloquer à temps. Par exemple, un pare-feu de nouvelle génération au bureau ou beem pour une protection de tous les appareils et accès indépendamment du lieu.
• Stratégie de mise à jour, éventuellement avec votre partenaire informatique: installez au moins les mises à jour de sécurité le plus rapidement possible après leur publication.