Malgré les mesures de protection et la sensibilisation face à cette menace qui pèse sur les entreprises, certaines d’entre elles subissent encore des attaques via des ransomwares. Quelles sont leurs options pour minimiser les impacts et tenter de revenir à la normale ? Après un premier article dont l’objectif était de prévenir, ce nouvel épisode vise à aider le dirigeant d’une PME victime d’un ransomware, pour prendre les bonnes décisions afin de minimiser l’impact de l’attaque pour le présent comme pour le futur.
L’attaque a démarré, que faire ?
Système bloqué ou ralenti, données cryptées ou inaccessibles, affichage d’une demande de rançon… sont les signes que l’entreprise vient d’être victime d’un ransomware. Surtout, éviter de céder à la panique en payant la rançon, car d’une part il n’y aucune garantie que la clé de décryptage soit envoyée ou que le cyberattaquant demande plus, et d’autre part se soumettre à ses exigences ne ferait que le motiver pour réitérer ses attaques sur d’autres victimes.
Capture d’écran d’une demande de rançon via le ransomware REvil, en bas à droite on peut voir le montant de la demande : 50 millions de dollars
Première priorité : déconnecter du réseau l’ordinateur ou le serveur contaminé afin de contenir la propagation du ransomware. Si l’entreprise a élaboré un plan d’action suite à une attaque, elle devra s’y référer. Dans le cas contraire, il est impératif de consulter des experts en réponse à incident pour être aidé dans la remédiation du système. En attendant leur arrivée, il est impératif de porter plainte auprès du commissariat ou de la gendarmerie, une formalité à ne pas négliger pour faire jouer les assurances.
Choisir son prestataire de réponse à incident
La mission d’une telle équipe est bien entendu d’accompagner le support IT dans la remédiation du système d’information (identification de la source, du type de ransomware, des ramifications de l’infection…) mais également d’apporter des recommandations stratégiques en fonction de la situation. Avec les équipes IT, l’équipe travaillera sur les aspects techniques, mais avant toute action, validera avec la direction les investissements financiers qui devront être engagés.
C’est pourquoi, il est intéressant de faire intervenir un prestataire qui combine à la fois expertises techniques et compétences business. Celui-ci aura en effet une vraie valeur ajoutée pour communiquer efficacement auprès de la direction générale et l’aider dans ses choix, parfois difficiles. En effet, une fois l’analyse de la situation réalisée (impacts sur l’activité, actions nécessaires pour la remédiation, délai de mise en œuvre, …), des recommandations stratégiques et financières seront fournies en fonction du contexte de l’entreprise. Savoir que le montant des pertes peut s’avérer être supérieur au chiffre d’affaires de son entreprise si l’on ne met pas en place le plan de remédiation ou une nouvelle politique de sécurité, peut permettre de prendre la bonne décision.
Et ensuite ?
Dans l’épisode 3, nous traiterons en détails la mise en place d’une opération de réponse à incident suite à une attaque…
Metsys, intégrateur de solutions de cybersécurité, d’infrastructure et de cloud, s’appuie sur la mise en œuvre de moyens informatiques et humains pour vous aider à relever vos défis en matière de sécurité informatique.
