Concrètement, que faire en cas de cyberattaque ?

Dès que vous avez connaissance de la cyberattaque, prévenez votre service informatique, qu’il soit interne ou externe. Il est nécessaire de prendre rapidement des mesures d’endiguement adaptées à la situation. Par exemple, vous pouvez effectuer des coupures de réseau (connexion à Internet et au réseau local), éteindre des machines, bloquer les accès à distance ou mettre une copie des sauvegardes importante en sûreté. L'idéal est de pouvoir contacter le plus en amont possible votre service informatique afin d'isoler au maximum l'attaque et de sauvegarder vos actifs. 

Il est primordial d'identifier et de qualifier l'incident afin d'avoir une pleine visibilité sur ce qui a pu se passer et sur ce qui a été touché.

Dans un second temps, il convient de procéder à la mise en place d’une équipe dite de crise : service informatique, service juridique ou conseil externe, service communication, service RH et service financier. Cette équipe sera chargée de coordonner les différentes actions, à savoir :

1. Sécuriser le système d'information
2. Notifier la cyberattaque auprès des différentes instances concernées, c'est-à-dire :
   1. Déposer plainte auprès des forces de l'ordre et/ou directement auprès du procureur de la république,
   2. Déclarer l'incident à votre assureur (si possible assureur cybersécurité),
   3. Si des données personnelles sont touchées, notifier la cyberattaque auprès de la CNIL (sous 17h à compter de la connaissance des faits),
   4. Si des données financières peuvent être concernées, prévenir vos établissements bancaires,
3. Informer et rassurer (en cas de cyberattaque, vous avez des obligations d'information) :
   1. Au titre du RGPD, vous devez informer les personnes (clients, salariés, prestataires et fournisseurs), en prenant soin d'être transparent, sans pour autant les inquiéter,
   2. Si vous êtes une entité manipulant des données classifiées (par exemple secret défense), disposant d'un statut d'Organisme d'Importance Vitale (OIV), d'Opérateur de Service Essentiel (OSE) ou de Fournisseur de Service Numérique (FSN), si vous êtes prestataire de services de confiance ou responsable d'un produit ou d'un service qualifié par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Informations), vous devez notifier sans délai tout incident de sécurité au CERT-FR (centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques).

A l'issue de l'incident, il est recommandé de faire un état des lieux de ce qui s'est passé et de mettre en place des procédures afin de :

1. Réduire les risques (amélioration de son système informatique),
2. S'organiser de manière anticipée dans le cas d'un nouvel évènement (mise en place d'un arbre décisionnel : qui contacter ? quand ?),
3. Sensibiliser ses collaborateurs.