Votre PME a été hackée ? Plan d’action des 24 premières heures
En cas de cyberattaque, il est crucial d’agir rapidement et de manière structurée. Les 24 premières heures sont décisives pour limiter les dommages et sécuriser vos données. Voici un guide pratique et optimisé pour vous aider à naviguer ce processus délicat.
Identification des systèmes touchés
Agir dès la détection
Dès que vous détectez une attaque, commencez par identifier rapidement les systèmes affectés. Si un serveur critique, tel que celui de facturation, ne répond pas, isolez immédiatement la machine. Cela préviendra la propagation de l’attaque à d’autres systèmes.
Importance des journaux d’activité
Copiez tous les journaux d’activité dès que possible. Conserver ces informations peut s’avérer vital pour comprendre l’attaque et restaurer vos services. Assurez-vous également que les données financières restent intactes, même si cela retarde temporairement votre service.
Analyse des postes de travail
Vérification des erreurs
Si les postes de travail affichent des erreurs ou deviennent instables, il est essentiel de vérifier les fichiers ouverts et les applications en cours. La présence d’un virus ou d’un cheval de Troie peut se masquer dans votre messagerie interne, ralentissant les communications et perturbant votre planning.
Documentation des anomalies
Notez toutes les anomalies observées: heure, type d’incident et utilisateur concerné. Cette documentation est importante pour une éventuelle enquête future et pour identifier rapidement les failles dans votre sécurité.
Gestion des accès à distance
Identifier les échecs de connexion
Les accès à distance peuvent également être affectés. Vos équipes peuvent rencontrer des difficultés pour se connecter à des services essentiels tels que les VPN ou les cloud. Gardez une trace de chaque tentative bloquée pour tenir informés tous les utilisateurs concernés.
Protection des données critiques
Blocage des accès non essentiels
Pour les services critiques, comme les bases de données clients, bloquez tout accès non essentiel. Parallèlement, sauvegardez toutes les copies de données non touchées. Cela vous permettra de restaurer rapidement vos services après l’incident.
Faire appel à des experts
N’hésitez pas à consulter un prestataire labellisé ExpertCyber via Cybermalveillance.gouv.fr pour évaluer l’ampleur de l’incident et sécuriser vos traces avant toute restauration. Vous pouvez également contacter le 17Cyber pour obtenir des conseils et déterminer le type de cyberattaque dont vous êtes victime.
Notification des autorités
Engagement des démarches légales
Si des données personnelles sont compromises, engagez sans délai les notifications requises à la CNIL. Préparez vous également à déposer une plainte auprès des autorités compétentes. Ces démarches garantissent la conformité réglementaire de votre entreprise tout en protégeant vos clients.
Priorisation de la reprise d’activité
Ordre critique de restauration
Lors de la reprise d’activité, priorisez les services essentiels à la production ou aux ventes avant de remettre en ligne les outils secondaires. Avant la restauration, surveillez attentivement les journaux et sauvegardes pour détecter toute présence résiduelle de malware.
En conclusion, chaque minute compte lors d’une cyberattaque. Suivre ces étapes vous aidera à naviguer efficacement dans cette crise tout en protégeant vos données et celles de vos clients.
About the Author
