Rançongiciels : que faire en cas de cyberattaque et comment l'anticiper ?

Rançongiciels : que faire en cas de cyberattaque et comment l'anticiper ?

Par Stéphane Astier et Anne-Charlotte Andrieux

Hameçonnage, rançongiciels, cryptolocker … pas une semaine ne passe sans qu’une nouvelle cyber-attaque ne défraye la chronique. Avec les malware de nouvelle génération et des modes opératoires disponibles « clés en main » sur le darknet, c’est une explosion du nombre d’attaques à laquelle les acteurs tant privés que publics doivent faire face.

La plateforme cybermalveillance.gouv.fr avait déjà enregistré un pic de visites de près de 600% dans les premières semaines de confinement en 2020. 2021 est une nouvelle fois à la hausse.

Les attaques visent désormais tous types d’entreprises et d’organisations, de la PME à la multinationale, et cherchent le plus souvent à obtenir le paiement d’une rançon ou des données à caractère personnel afin de les exploiter ou de les revendre (données de paiement, identifiants et mot de passes, etc.).

Depuis quelques mois, une typologie de cyberattaque semble sortir du lot : l’attaque par rançongiciel ou ransomware.

A l’instar de l’ANSSI qui  constate une augmentation de plus de 255% des attaques informatiques entre 2019 et 2021, le politique s’est récemment emparé du sujet. Face à ce constat, le Gouvernement a annoncé une stratégie nationale et un plan d’1 milliard d’euros pour faire émerger des champions français de la cybersécurité avec des objectifs à horizon 2025…

Dans ce contexte, il est essentiel pour les décideurs (chef d’entreprise, Dirigeants d’établissements public ou d’association), non seulement d’être sensibilisés à ce risque particulier mais également de disposer d’informations utiles et pertinentes permettant d’évaluer le niveau d’exposition de leur structure, leur capacité de résilience ainsi que les responsabilités en cause.

Or, de manière très concrète, se pose rapidement la question du budget à allouer à ce sujet spécifique. Bon nombre de décideurs sont ainsi confrontés à la nécessité de concilier ce risque nouveau avec le poids économique des nombreuses sources de dépenses associées à son anticipation : renforcement des systèmes d’information, souscription à des assurances spécifique, sensibilisation du personnel aux enjeux de la cyber sécurité, consolidation des procédures internes etc.

S’agit-il réellement de coûts ? Ne devrait-on pas plutôt parler d’investissements ?

Une fois percutée par un rançongiciel, la structure mal préparée peut tout simplement disparaître : production à l’arrêt, perte de confiance des clients, des investisseurs et des salariés, perte des données stratégiques et des possibilités de poursuite d’activité.

Anticiper une telle attaque consiste en définitive à renforcer l’organisme de manière transversale tout en donnant au dirigeant des leviers efficaces de gouvernance et de protection de l’activité. En effet, la question n’est pas de savoir si vous serez concernés, mais quand vous serez concernés par une cyber attaque. Et le moment venu, mieux vaut être préparé.

A partir des bonnes pratiques recommandées par l’ANSSI et la CNIL peuvent être dessinés plusieurs axes destinés à renforcer votre résilance aux cybermenaces.

Phase 1 : Anticiper le risque cyber

Conformément aux dispositions de l’article 32 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de disposer d’un niveau de sécurité adapté au risque, et garantir la confidentialitél’intégritéla disponibilité des données.

Mesures à adopter.

  • Définir des procédures de gestion de crise adaptées

Qui prévenir ? Comment informer lorsque l’ensemble des postes informatiques sont hors-services ? Quels canaux de communication employer ?

L’objet de Politique de gestion des incidents est justement de prévoir la réponse à ces questions en amont de la crise. Face à la recrudescence des attaques ce document est devenu un indispensable pour les DSI et les équipes dirigeantes et doit s’insérer dans le référentiel sécurité de votre organisme.

  • Effectuer une revue contractuelle stricte

Clauses des contrats de travail, Règlement intérieur, accords sur la protection des données passés avec les prestataires sous-traitants, revue détaillée de la couverture assurantielle : il est impératif d’opérer un contrôle strict des garanties, engagements et dispositifs mis en place à la fois au sein de l’organisme (en coordination avec la DRH) et auprès de ses prestataires fournisseurs (en coordination avec la Direction Juridique, le DPO et la DSI)

  • Sensibiliser et challenger ses équipes

L’ANSSI recommande l’organisation régulière d’exercices de gestion de crise cyber.

Cet exercice permet une montée en compétence et un gain d’efficacité dans la gestion des cas réels en permettant aux équipes de maîtriser les réflexes fondamentaux et d’adopter une posture de gestion de crise :

  • Tant d’un point de vue technique : qualification de la situation, établissement rapide de l’état de connaissance de l’évènement, partage d’informations aux bonnes personnes ;
  • Que sur le plan juridique : documentation de l’évènement, préparation des notifications obligatoires, qualification juridique des faits, dépôt de plainte, etc. La qualification et la documentation de l’évènement sont autant d’éléments cruciaux dans l’hypothèse d’une procédure judiciaire civile ou pénale.

L’entraînement à la gestion de crise revêt aussi un aspect humain et comportemental crucial pour perfectionner la gestion du stress et la prise de décision en situation complexe. La préparation à la gestion d’une crise cyber et la communication sur cette préparation constitue également un vecteur de confiance, tant sur le plan interne que vis-à-vis des clients et partenaires.

  • Tester régulièrement la résilience de ses procédures et de ses installations

Les modes opératoires des cyberattaquants évoluant continuellement, aucun système informatique n’est infaillible. Il existe néanmoins des méthodes permettant de maitriser le périmètre de ses systèmes et d’évaluer efficacement leur niveau de résilience.

Pentest, stress-test, exercices de récupération, sont autant d’exercices qui, s’ils sont réalisés régulièrement, permettront à votre structure de disposer de systèmes robustes et de limiter considérablement les risques d’intrusion ou de violation de données.

Ces exercices permettent :

  • De maitriser le périmètre de vos systèmes d’information: si la connaissance des systèmes semble aller de soi, les pratiques dites de Shadow IT existent dans tous les organismes, et nul n’est à l’abris d’un serveur oublié ou d’un port réseau resté malencontreusement ouvert.

 

  • D’adopter des mesures correctrices adaptées à vos systèmes: chaque système d’information dispose d’une architecture qui lui est propre. Dès lors, le déploiement de mesures de protection et de sécurité génériques s’avère parfois insuffisant. Un diagnostic de sécurité spécifique à vos systèmes permettra de déployer des dispositifs de sécurité sur mesure.

Phase 2 : Les actions immédiates

Comment réagir dans les heures qui suivent une intrusion ou une attaque ?

Des actions techniques immédiates sont cruciales pour neutraliser au maximum les conséquences de l’attaque :

  • Alerter immédiatement le service informatique

Lorsque vous détectez une activité suspecte ou inhabituelle, il convient de s’en remettre aux équipes qualifiées pour investiguer sur la cause de cet évènement et prendre les mesures de sécurité immédiates les plus appropriées.

  • Isoler les machines infectées

Lorsque des machines ont été infectées le risque principal est la propagation à d’autres composant du système informatique. Il est primordial de définir le périmètre des systèmes infectés pour les isoler et endiguer la propagation.

En parallèle du travail de cantonnement technique de l’attaque, les actions juridiques et de communication de crise ne sont pas à négliger. Quand bien même vous résoudriez rapidement les conséquences techniques de l’attaque, une communication mal gérée ou le non-respect des obligations de notification applicables pourraient avoir un effet réputationnel dévastateur et/ou faire encourir un risque de contrôle par les autorités compétentes.

A l’instar des recommandations de la CNIL, il est fortement conseillé :

  • De se constituer des preuves techniques: logs, copie physique des postes et serveur touchés.
  • De déposer plainte rapidement auprès des services de police ou de gendarmerie.
  • Ne pas prendre de décision hâtive: la décision de négocier ou non avec les attaquants est souvent abordée dans les premières heures suivant une attaque par ransomware. Cette décision doit cependant faire l’objet d’une réflexion mûrie et dépend du contexte spécifique de chaque attaque. Il est important d’avoir à l’esprit que le paiement d’une rançon :
    • Ne garantit en rien la restitution des données
    • Ne garantit pas que les attaquants se soient retirés des systèmes
    • N’immunise pas contre une seconde attaque et pourrait même avoir l’effet inverse…

En pratique, de nombreux organismes ne disposent pas des compétences internes pour réagir en situation de crise et faute de procédures définie ou de formation de leurs équipes font appel à des ressources expertes pour les accompagner, et le cas échéant pour enclencher des négociations.

Comment réagir dans les quelques jours qui suivent l’attaque ?

Notifier la violation de données

Conformément aux dispositions du RGPD, la notification d’une violation de données à la CNIL peut résulter d’une perte, d’une destruction, d’une divulgation, d’un accès illégitime aux données ou encore d’une indisponibilité des données (Art. 33 RGPD).

Dans cette hypothèse l’organisme concerné dispose d’un délai de 72 heures pour effectuer une première notification de l’incident auprès de la CNIL. Cette première notification pouvant être complétée par la suite.

Par ailleurs, lorsque la violation implique un risque élevé pour les droits et libertés des personnes, il convient d’informer les personnes concernées dans les meilleurs délais. (Art.34 RGPD)

La réglementation implique donc d’être en mesure de qualifier juridiquement la violation de données dans un délais court et de déterminer à qui incombe la charge de notifier l’incident auprès des autorités compétentes puis des personnes concernées.

Mettre en place une communication de crise adaptée

Pour prévenir les risques réputationnels liés à un incident ou une violation de données, il convient d’être proactif dans la définition d’une stratégie de communication tant pour informer les personnes concernées via un communiqué, que pour prévenir d’éventuels propagations de fausses informations dans les médias ou sur les réseaux.

Au stade de la communication de crise il est important de ne pas négliger les aspects juridiques de la communication. A cet égard, l’intervention du professionnel du droit consistera à s’assurer que les éléments de langage et de communication adoptés ne soient pas préjudiciables aux futures actions qui pourront être intentées.

Pour plus d’information sur ces question vous pouvez consulter notre vidéo.

 

Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 20 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin