Les premiers gestes en cas de cyberattaque
En cas de découverte d'un piratage informatique (Ransomware, accès non autorisé, défiguration de site web), la réactivité est primordiale pour limiter les dégâts. Voici les premières actions de confinement :
- Déconnectez les équipements compromis : Coupez la connexion réseau (Wi-Fi, câble Ethernet) des ordinateurs touchés, mais ne les éteignez pas pour préserver les preuves en mémoire vive.
- Isolez le système d'information : Si l'attaque est globale, déconnectez vos serveurs du réseau Internet extérieur.
- Ne payez jamais la rançon : En cas de rançongiciel, payer ne garantit pas la récupération des données et finance les réseaux criminels.
Processus de réponse à incident
Étape 1 : Alerte et mobilisation
Informez immédiatement votre support informatique ou votre prestataire de service (infogérance). Constituez une cellule de crise impliquant la direction, le service IT, le service juridique et la communication.
Étape 2 : Préservation des preuves
Avant toute remise en production ou restauration de sauvegarde, il est crucial de conserver les logs (journaux de connexion) et des copies physiques des systèmes impactés. Ces éléments seront indispensables pour le dépôt de plainte et les investigations des experts judiciaires.
Étape 3 : Notification des autorités (RGPD)
Si la cyberattaque a compromis des données personnelles (fuite, vol, inaccessibilité durable), vous avez l'obligation légale de notifier la CNIL dans un délai maximal de 72 heures (article 33 du RGPD). Si la violation fait peser un risque élevé sur les personnes (vol de mots de passe, données bancaires, données de santé), vous devez également les informer individuellement.
Déposer plainte
Le dépôt de plainte est indispensable pour identifier les auteurs et faire valoir vos droits, notamment auprès de votre assurance cyber. Rendez-vous dans un commissariat de police ou une brigade de gendarmerie, de préférence muni des éléments techniques (rapport d'incident, logs).
Se faire accompagner
L'ANRDI vous recommande de faire appel à des prestataires référencés par le dispositif gouvernemental Cybermalveillance.gouv.fr (Prestataires "Expert Cyber") ou certifiés par l'ANSSI (PRIS) pour vous assister dans la remédiation et la reconstruction sécurisée de votre système d'information.