Que faire en cas de cyberattaque de type ransomware en cours ?

Fléau du moment, les attaques par ransomwares se multiplient aussi bien contre les grandes entreprises françaises, les ETI et les ESN que contre les petites et moyennes entreprises ou les organismes publics. Le risque zéro n’existe pas et tout le monde est vulnérable. En cas d’attaque réussie, l’important est de savoir comment réagir et de réagir vite… 

Par Frans Imbert-Vier, Expert en cybersécurité, membre du Cercle We Law Care
et Emmanuelle Hervé, Spécialiste de la gestion de crise, fondatrice de We Law Care

Si vos équipements ont un comportement anormal, répété dans un laps de temps court et sur plusieurs systèmes informatiques, une cyberattaque est certainement en cours. Et si un texte sur fond noir accompagné d’une tête de mort indique que vous devez payer une rançon pour accéder à vos contenus, c’est que vous êtes victime d’un ransomware.

Six règles élémentaires sont alors à exécuter sous peine de complexifier la situation à tout point de vue.

N°1 – APPLIQUER LES PREMIERS RÉFLEXES

D’un point de vue technique, la première chose à faire est de débrancher le câble d’alimentation de votre routeur internet.
À ce stade, on ne touche plus à rien et on n’essaye pas de se connecter via un partage de données par le mobile.
Chaque serveur doit ensuite être débranché pour que la communication avec les postes de travail soit coupée.
Les ordinateurs deviennent alors sourds et muets, ce qui les rend par définition intouchables.
Généralement, le mal sera déjà fait, mais vous empêcherez alors le vol de données (data leaks) qui prend du temps.
En ce qui concerne la gestion de crise, évaluez si la situation nécessite l’ouverture d’une cellule de crise. Si c’est le cas, préparez-vous en listant les participants habituels (directeur, coordinateur, historien, communication, juridique) et en y associant les experts nécessaires : DSI, mais aussi DRH et business.

N°2 – GÉRER LE CHAOS EN INTERNE

Une fois paré au plus urgent, il vous faudra avertir les salariés de ne plus toucher aux ordinateurs, interdire la connexion à distance et contacter vos partenaires et clients pour annuler vos rendez-vous.
Afin de protéger votre marque et votre image, consigne devra être donnée aux collaborateurs de garder le secret.
En cellule de crise, tous les scénarios d’évolution défavorables seront ensuite envisagés : en termes d’exploitation (capacités de production, vente, transports, services aux clients) ; au niveau financier (chute des ventes, coût du ransomware, amendes RGPD…) ; en termes juridiques (RGPD, plaintes de clients mécontents) ; au niveau social (stress induit par la cyberattaque, perte de crédibilité de la marque employeur…) ; et bien sûr en termes humains (piratage informatique d’équipements essentiels conduisant à la perte de vies humaines).

N°3 – VÉRIFIER SON CONTRAT D’ASSURANCE

Une assurance cyberattaque peut être incluse dans vos contrats d’assurance ou être prise à part. Si vous n’en avez pas, contactez quand même votre assurance pour déclarer cette cyberattaque. Plus vous le ferez tôt, plus vous aurez de chance d’être mieux accompagné et couvert. Cette assurance peut couvrir les frais d’avocats, de conseil en cybersécurité, de conseil en gestion et communication de crise.
Une fois les scénarios les plus défavorables listés, il s’agira de préparer des plans de mitigation pour faire baisser la probabilité qu’ils adviennent et pour limiter leur impact dans le cas où ils se produiraient.

N°4 – TROUVER QUI CONTACTER

Vous devrez ensuite contacter votre expert en cybersécurité. Si vous n’en avez pas, appelez votre avocat ou votre agence de gestion de crise qui vous orienteront vers un spécialiste.
N’appelez surtout pas votre prestataire informatique. Ce n’est pas son métier et il va vouloir improviser pour faire au mieux et vous aider. Il est très dangereux de faire intervenir un technicien sans l’expertise très pointue et sensible qu’exige la gestion technique d’une cyberattaque.
Ne vous précipitez pas, attendez de le trouver, c’est lui qui pilotera votre partenaire informatique pour obtenir les informations dont il a besoin pour comprendre comment fonctionne votre organisation.

N°5 – SOIGNER SA COMMUNICATION EN INTERNE ET EN EXTERNE

Afin d’éviter la panique de vos équipes sur la perte ou la fuite de données (données de marché confidentielles, dossiers classés secret défense, données personnelles…), il vous faudra soigneusement réfléchir à la manière dont vous évoquerez le sujet.
Une cyberattaque en entreprise représente une attaque contre soi. C’est perturbant et bouleversant. Cette situation, à laquelle personne n’est préparé, peut engendrer un état de choc chez certains.
Il faut donc avoir une démarche rassurante, expliquer ce qu’il se passe, ce qu’il va se passer et comment cela va être géré. C’est le meilleur moyen de protéger la mobilisation des salariés et cela aidera beaucoup l’équipe de crise.
Un tel secret ne tient jamais bien longtemps. Vos clients, partenaires et fournisseurs remarqueront que vos messageries ne répondent plus. Le « milieu » cyber et certains experts auront en outre repéré la cyberattaque et publié à son propos.
Il vous faudra dérouler le plan de communication externe imaginé en réunion de crise pour éviter l’affolement des marchés et prévoir les réponses à la presse. Votre stratégie de gestion de crise doit penser à protéger votre image.

N°6 – CONTACTER UN AVOCAT SPÉCIALISTE DES CYBERATTAQUES

Dans l’heure même de l’attaque, contactez un avocat spécialiste des enjeux cyber et non votre avocat d’affaires habituel.
C’est lui qui gérera avec vos communicants de crise la relation avec vos clients, vos partenaires et votre image.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !