Diagnostic terminé
AU REGARD DE VOS ÉLÉMENTS, VOUS SEMBLEZ ÊTRE VICTIME D’UN
Piratage d’un système informatique
De quoi s'agit-il ?Plusieurs solutions s'offrent à vous
Prestation payante
De quoi s'agit-il ?
QUE DOIS-JE FAIRE ?
Contactez au plus vite le service ou prestataire informatique de votre organisation afin qu’il puisse intervenir et prendre les mesures nécessaires si besoin.
Confinez, déconnectez du réseau et mettez en quarantaine les postes ou équipements informatiques concernés par l’incident. Coupez tous les accès réseaux pour stopper l’incident. De même, écartez et conservez les supports informatiques concernés par l’incident (clefs USB, disques durs, CD, DVD, etc.).
Identifiez les origines possibles de l’intrusion au niveau des équipements touchés par l’attaque et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. L’intrusion peut, par exemple, provenir du piratage d’un de vos comptes d’administration suite à un message d’hameçonnage ou d’identifiants de connexion trop faibles, ou encore, par l’utilisation d’un mot de passe par défaut qui n’aurait pas été changé. Elle peut également être la résultante de l’ouverture d’une pièce jointe, d’un clic sur un lien malveillant contenu dans un message (mail) ou bien encore de la navigation sur un site malveillant. Il peut également s’agir d’un logiciel ou d’un équipement non mis à jour d’une faille de sécurité qui aurait été utilisée par des cybercriminels. Cela peut également provenir d’une mauvaise configuration de l’équipement touché (port serveur non fermé ou peu sécurisé, mots de passe trop simples, etc.), etc. Enfin, si l’origine de l’intrusion est interne, identifiez les personnes ayant accès aux données et aux équipements concernés.
Ces activités inhabituelles peuvent être de différentes natures : création de comptes administrateurs, ajout d’un fichier dans le système, lancement et/ou exécution de programmes ou de processus inconnus, existence d’une activité réseau inhabituelle ou inconnue, modification suspecte du registre Windows, etc.
Évaluez et vérifiez l’étendue de l’intrusion à d’autres appareils ou équipements de votre système informatique. Par ailleurs, mesurez les dégâts causés et identifiez les éventuelles informations perdues ou compromises.
Récupérez les fichiers de journalisation (logs) de vos pare-feu, des serveurs mandataires (proxys), des postes ou serveurs touchés qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.
Réalisez une copie complète (copie physique) de la machine attaquée et de sa mémoire. Effectuez la même opération sur tous les équipements qui ont été touchés. Si vous n’êtes pas en mesure de réaliser une copie physique des équipements touchés, conserver leurs disques durs à disposition des enquêteurs car ils seront utiles pour leurs investigations.
En parallèle de vos investigations techniques, déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez. Tenez à disposition des enquêteurs tous les éléments de preuves techniques en votre possession. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.
La brigade numérique de la Gendarmerie nationale peut vous apporter une assistance en ligne 24h/24 dans vos démarches. Cliquez ici.
Réalisez une analyse complète de votre équipement avec votre antivirus afin de vérifier qu’il n’est pas confronté à un virus informatique. Au préalable, n’oubliez pas de mettre à jour votre antivirus. Si votre antivirus a détecté des logiciels malveillants sur votre appareil, il vous proposera de les « mettre en quarantaine », c’est-à-dire de les empêcher d’agir, ou mieux, de les supprimer directement lorsque cela est possible. Redémarrez votre équipement après cette opération.
Supprimez tous les fichiers malveillants installés par le cybercriminel si l’antivirus ne les a pas détectés et que vous en avez découvert, ainsi que les accès aux comptes impliqués dans l’incident.
Réinstallez complètement votre système à partir de sauvegardes réputées saines.
Changez tous les mots de passe d’accès aux équipements suspectés touchés (retrouvez tous nos conseils pour gérer au mieux vos mots de passe). Modifiez également tous les mots de passe des utilisateurs ayant accès au système et qui ont pu être compromis.
Après la réinstallation de votre système et avant de le remettre en service, mettez à jour l’ensemble de vos logiciels et de vos équipements au plus vite pour sécuriser votre système informatique et éviter une nouvelle intrusion. Appliquer les mises à jour de sécurité est indispensable si le cybercriminel a utilisé une faille de sécurité connue. Retrouvez tous nos conseils pour gérer au mieux vos mises à jour.
En cas de violation de données à caractère personnel et selon les risques pour les personnes dont les données ont été compromises, vous pourriez être dans l’obligation de notifier l’incident à la CNIL. Vous devrez notamment préciser :
– la nature de la violation,
– les catégories et le nombre approximatif de personnes concernées par la violation,
– les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
– les conséquences probables de la violation de données,
– les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.