Attaque informatique : les gestes qui sauvent

Partager :
Copied!

gestes header

 

Votre poste de travail est infecté. La stratégie en place de détection des intrusions a fonctionné et une menace a été identifiée. Et ensuite ? Repérer l’attaque informatique n’est que la première étape. Encore faut-il savoir ensuite organiser la réponse à incident. Et les premiers gestes ont ici une importance capitale. Pour éviter que la situation ne s’aggrave tout d’abord, mais aussi pour permettre de récolter un maximum d’informations sur l’attaque. Les collaborateurs d’une entreprise n’étant pas censés être tous des experts en sécurité informatique, la formation et la sensibilisation sont des missions clés des RSSI. Pour les aider, le CERT-FR a dressé une liste des bons réflexes à adopter.

7 gestes de premiers secours à connaître face à une attaque informatique

1 – Déconnecter la machine du réseau

Isolez immédiatement la machine concernée du réseau afin de stopper l’attaque. Le hacker n’aura plus d’accès et ne pourra plus récupérer, consulter ou modifier de fichiers.

2 – Ne pas éteindre ou redémarrer la machine

La machine doit être maintenue sous tension afin d’identifier les processus actifs au moment de l’intrusion. Redémarrer risque de détruire des informations utiles à l’analyse de l’attaque.

3 – Prévenir le responsable sécurité

Alertez tout de suite le responsable sécurité et votre hiérarchie, par téléphone ou de vive voix. N’utilisez pas une autre machine du réseau pour envoyer un courrier électronique. !.’.intrus est peut-être capable de les lire.

4 – Avertir le CSIRT / CERT

Si votre organisation est rattachée à un CSIRT (Computer Security Incident Response Team) ou à un CERT (Computer Emergency Response Team), contactez-le sans attendre. Les administrations et opérateurs d’importance vitale peuvent s’adresser au CERT-FR.

5 – Faire une copie physique du disque

Effectuez une copie de bas niveau du disque, y compris des secteurs non occupés, avant que les procédures d’analyse n’altèrent les données. Vous pourriez en avoir besoin plus tard, notamment en cas de procédure judiciaire. À aucun moment cette image ne doit être stockée sur le disque à étudier.

6 – Suivre les traces

Des traces de l’intrusion doivent exister sur d’autres équipements du réseau (pare-feu, routeurs, outils de détection d’intrusion, etc.). Recherchez, copiez, datez et enfin signez numériquement ces traces.

7 – Ne pas essayer de contacter l’attaquant

Si vous l’identifiez, n’essayez pas d’entrer en contact directement avec l’administrateur de la machine dont semble provenir l’attaque. Vous risqueriez de fournir au pirate des informations importantes. Laissez intervenir le CERT.

Continue Reading
Aimeriez-vous lire davantage de contenus similaires ?
Tous les commentaires sont soumis à l'équipe de modération. Les commentaires sans rapport avec la publication et les demandes de services ne seront pas publiés, tout comme les contenus jugés inappropriés, incluant sans s'y limiter, les commentaires promotionnels ou offensants. Merci de publier vos questions techniques sur le forum dédié au support ou de contacter le support DELL EMC pour le service client et le support technique.