Chaque crise est différente. Un même rançongiciel n’a pas les mêmes impacts selon la victime : système d’information différent, capacité d’exécution différente, impacts métiers différents… « ça dépend » de nombreux paramètres. Nous tâcherons dans cet article de présenter les points communs et génériques aux crises de type rançongiciel, principalement en moyennes et grandes entreprises, même si certains éléments pourront également être repris pour des organisations plus modestes. Pour ce faire, suivons les moments forts d’une cellule de crise et focalisons-nous en particulier sur les sujets d’investigation et de défense.
1. Le constat
T0 : nos utilisateurs s’affolent, les managers appellent les équipes SSI : nos applications ne répondent plus, nos documents ne s’ouvrent plus, un message de rançon obscur s’affiche sur nos postes de travail… nous venons de subir une attaque par rançongiciel !
Sous le choc, nous devons préparer notre réponse. Mais répondre à quoi… ou à qui ? Notre première étape est d’établir un constat global de la situation : quels sont les dégâts, les priorités à traiter, les forces à disposition ?
1.1 Évaluation des dégâts et des forces en présence
Dès la découverte de l’attaque, il est nécessaire de réaliser un inventaire macroscopique des services toujours opérationnels :
- Quels sont les périmètres touchés ?
- Que nous reste-t-il ?
- Qu’est-ce qui peut tourner en autonomie ?
Nous dressons ainsi l’état des lieux de la situation et pouvons définir nos priorités de traitement entre la préservation des services...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première