Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Piratage d’un système informatique (professionnels)

Publié le 27 mai 2021

piratage informatique Que faire en cas de piratage Qui contacter en cas de piratage informatique

5328 Temps de lecture : 13 min

Un système informatique (ou système d’information) désigne tout appareil, équipement ou ensemble de ces matériels, permettant de traiter et stocker des données. L’intrusion dans un système informatique se définit comme l’accès non autorisé à ce système par un tiers. Cela peut concerner un ordinateur, un appareil mobile, un objet connecté, un serveur ou le réseau d’une organisation. En pratique, les pirates peuvent recourir à différentes méthodes pour s’introduire dans un système informatique comme l’utilisation d’une faille de sécurité ; la mauvaise configuration d’un logiciel ou d’un équipement ; l’infection par un logiciel malveillant (virus informatiques) ; la récupération d’identifiants de connexion par le biais d’un appel ou d’un message frauduleux (hameçonnage) ; etc.
L’origine de l’intrusion peut être interne (un collaborateur mécontent ou négligeant ou bien encore un prestataire) ou bien externe (cybercriminels). Par la suite, le cybercriminel peut chercher à se propager dans les autres équipements du réseau attaqué. Le piratage d’un système informatique peut donc être d’une grande gravité pour l’organisation qui en est victime puisqu’elle peut entraîner le vol, voire la perte totale, des informations du système touché.

But recherché

Le piratage d’un système informatique vise à prendre le contrôle ou utiliser les ressources d’un appareil ou d’un équipement pour en faire un usage frauduleux : gain d’argent, espionnage, sabotage, revendication, chantage ou vandalisme.

1. Quelles sont les mesures préventives ?

  • Utilisez, paramétrez et mettez à jour régulièrement votre antivirus et les équipements de sécurité

    de votre système informatique (pare-feu, etc.).

  • Mettez à jour régulièrement les appareils, les systèmes d’exploitation ainsi que les logiciels installés

    de vos équipements.

  • N’installez pas de logiciels, programmes, applications ou équipements « piratés »

    ou dont l’origine ou la réputation est douteuse.

  • N’utilisez les comptes administrateurs qu’en cas de nécessité.

  • Limitez les privilèges

    et les droits des utilisateurs au strict nécessaire.

  • Vérifiez régulièrement les fichiers de journalisation

    de vos équipements afin d’identifier toute activité inhabituelle.

  • Utilisez des mots de passe suffisamment complexes et changez-les au moindre doute.

  • Faites des sauvegardes régulières

    et déconnectées de vos données et de votre système pour pouvoir le réinstaller dans son état d’origine au besoin.

  • N’ouvrez pas les messages suspects, leurs pièces jointes et ne cliquez pas sur les liens

    provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu mais dont le contenu est inhabituel ou vide.

  • En complément, appliquez et diffusez les 42 mesures du guide d’hygiène de l’ANSSI accessible sur ce lien.

2. Piratage d’un système informatique : que faire si vous êtes victime ?

  1. Confinez, déconnectez du réseau et mettez en quarantaine les postes ou équipements informatiques concernés par l’incident. Coupez tous les accès réseaux pour stopper l’incident. De même, écartez et conservez les supports informatiques concernés par l’incident (clefs USB, disques durs, CD, DVD, etc.).

  2. Identifiez les origines possibles de l’intrusion au niveau des équipements touchés par l’attaque et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. L’intrusion peut, par exemple, provenir du piratage d’un de vos comptes d’administration suite à un message d’hameçonnage ou d’identifiants de connexion trop faibles, ou encore, par l’utilisation d’un mot de passe par défaut qui n’aurait pas été changé. Elle peut également être la résultante de l’ouverture d’une pièce jointe, d’un clic sur un lien malveillant contenu dans un message (mail) ou bien encore de la navigation sur un site malveillant. Il peut également s’agir d’un logiciel ou d’un équipement non mis à jour d’une faille de sécurité qui aurait été utilisée par des cybercriminels. Cela peut également provenir d’une mauvaise configuration de l’équipement touché (port serveur non fermé ou peu sécurisé, mots de passe trop simples, etc.), etc. Enfin, si l’origine de l’intrusion est interne, identifiez les personnes ayant accès aux données et aux équipements concernés.

  3. Identifiez toute activité inhabituelle au sein de votre système informatique. Ces activités inhabituelles peuvent être de différentes natures : création de comptes administrateurs, ajout d’un fichier dans le système, lancement et/ou exécution de programmes ou de processus inconnus, existence d’une activité réseau inhabituelle ou inconnue, modification suspecte du registre Windows, etc.

  4. Évaluez et vérifiez l’étendue de l’intrusion à d’autres appareils ou équipements de votre système informatique. Par ailleurs, mesurez les dégâts causés et identifiez les éventuelles informations perdues ou compromises.

  5. Récupérez les fichiers de journalisation (logs) de vos pare-feux, des serveurs mandataires (proxys), des postes ou serveurs touchés qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.

  6. Réalisez une copie complète (copie physique) de la machine attaquée et de sa mémoire. Effectuez la même opération sur tous les équipements qui ont été touchés. Si vous n’êtes pas en mesure de réaliser une copie physique des équipements touchés, conserver leurs disques durs à disposition des enquêteurs car ils seront utiles pour leurs investigations.

  7. En parallèle de vos investigations techniques, déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez. Tenez à disposition des enquêteurs tous les éléments de preuves techniques en votre possession. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.

    La brigade numérique de la Gendarmerie nationale peut vous apporter une assistance en ligne 24h/24 dans vos démarches : cliquez ici.

  8. Réalisez une analyse antivirale complète (scan) des équipements touchés avec votre antivirus afin de vérifier qu’ils ne sont pas confrontés à un virus informatique. Au préalable, n’oubliez pas de mettre à jour votre antivirus. Si votre antivirus a détecté des logiciels malveillants sur vos appareils, il vous proposera de les « mettre en quarantaine », c’est-à-dire de les empêcher d’agir, ou mieux, de les supprimer directement lorsque cela est possible. Redémarrez vos équipements après cette opération.

  9. Supprimez les fichiers malveillants installés par le cybercriminel si l’antivirus ne les a pas détectés et que vous en avez découvert, ainsi que les accès aux comptes impliqués dans l’incident.

  10. Réinstallez le système à partir de sauvegardes antérieures à l’incident et réputées saines.

  11. Changez au plus vite tous les mots de passe d’accès aux équipements suspectés touchés. Modifiez également tous les mots de passe des utilisateurs ayant accès au système et qui ont pu être compromis.

  12. Après la réinstallation de votre système et avant de le remettre en service, mettez à jour l’ensemble de vos logiciels et de vos équipements au plus vite pour sécuriser votre système informatique et éviter une nouvelle intrusion. Appliquer les mises à jour de sécurité est indispensable si le cybercriminel a utilisé une faille de sécurité connue.

  13. En cas de violation de données à caractère personnel et selon les risques pour les personnes dont les données ont été compromises, vous pourriez être dans l’obligation de notifier l’incident à la CNIL. Vous devrez notamment préciser :
    – la nature de la violation,
    – les catégories et le nombre approximatif de personnes concernées par la violation,
    – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
    – les conséquences probables de la violation de données,
    – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

  14. Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en sécurité informatique susceptibles de vous apporter leur assistance technique.
être mis en contact avec un prestataire labellisé ExpertCyber
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

• L’infraction d’atteinte à un système de traitement automatisé de données (STAD) peut être retenue. Les articles 323-1 à 323-7 du Code pénal disposent que : « le fait d’accéder ou de se maintenir frauduleusement » dans un STAD, « la suppression ou la modification de données contenues dans le système », ou « l’altération du fonctionnement de ce système » sont passibles de deux à sept ans d’emprisonnement et de 60 000 à 300 000 euros d’amende.

• La tentative de cette infraction est également punissable (article 323-7 du Code pénal) : « La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines ».

Le piratage d’un système informatique (professionnels)
Le piratage d’un système informatique (professionnels)

Téléchargez notre fiche réflexe sur le piratage d’un système informatique (pro) au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.

Publié le 27/05/2021PDF 113 KoTélécharger

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

Avez-vous trouvé cette fiche intéressante ?
* le commentaire ne sera pas visible aux yeux de tous

Vous pensez être victime d'un acte de malveillance numérique ?

Lancer le diagnostic

Autres Fiches réflexes