Malheureusement, les cyberattaques se multiplient et chacun y sera confronté un jour ou l’autre. Ces derniers temps, de grandes entreprises que nous considérons comme technophiles sont venues grossir les rangs des victimes. De grands noms tels que Google, Facebook, Twitter et Target en font partie, ce qui confirme – s’il le fallait – que personne n’est totalement à l’abri de ces attaques.

Pour autant, même si une majorité d’entre nous se préparent en mettant en place les meilleures défenses imaginables, il est possible que vous ne disposiez pas d’un plan de reprise. Or, préparer une stratégie pour répondre aux attaques est presque aussi important que les prévenir.

Que devrait inclure un tel plan ? Voyons cela de plus près :

Étape 1 – Contenir la brèche

La toute première mesure à prendre suite à une cyberattaque est d’évaluer l’étendue des dégâts. Identifiez les serveurs qui ont été compromis et trouvez des moyens de les contenir le plus rapidement possible. Cela devrait vous permettre d’empêcher que l’infection se propage à d’autres appareils ou serveurs.

Autres mesures possibles, se déconnecter d’Internet et désactiver toutes les formes d’accès à distance. Ensuite, il convient de vérifier les paramètres de votre pare-feu et d’installer toutes les mises à jour ou correctifs de sécurité en attente.

Une autre étape importante consiste à changer immédiatement tous les mots de passe. Pensez à ne pas utiliser le même mot de passe pour plusieurs systèmes afin de limiter les dommages en cas de violation. Oui, la foudre peut frapper deux fois au même endroit.

Étape 2 – Évaluation des dégâts

Que vous soyez une victime isolée ou que vous fassiez partie d’un groupe de victimes, l’une des étapes les plus cruciales consiste à déterminer la cause profonde ayant permis l’attaque. Cela vous permettra de prévenir la récurrence future d’un événement similaire.

Parmi les questions à traiter figure l’identité des personnes qui ont accès aux appareils ou serveurs affectés. Demandez-vous comment l’attaque a pu être lancée et quels réseaux étaient actifs à l’époque.

Pour répondre à ces questions, vous pouvez consulter les données de votre programme antivirus et, éventuellement, consulter les logs de sécurité des fournisseurs de messagerie ou de pare-feu. Si vous n’êtes pas en mesure de déterminer la source et la cause de l’intrusion, faites appel à un expert.

Étape 3 – Analyse des impacts

Ensuite, renseignez-vous sur les personnes affectées par l’attaque, des employés et des clients aux fournisseurs tiers et aux entités externes. Si vous avez été victime d’une violation généralisée ayant touché plusieurs organisations, tenez-vous au courant de tous les développements.

Déterminez quelles sont les informations que les hackers ciblaient afin de connaître la gravité de la violation de données, le cas échéant.

Même si les membres de votre personnel sont au courant des politiques de cybersécurité de votre entreprise, prenez le temps de les sensibiliser de nouveau aux bonnes pratiques. Préparez-les à une future attaque et, surtout, mettez en place des mesures pour éviter que la même attaque ne puisse se reproduire.

En outre, vous devez ajuster vos systèmes de sécurité pour remédier aux failles exploitées par les hackers. Veillez à communiquer tout nouveau protocole de sécurité à l’ensemble des employés. Par mesure de précaution, limitez au maximum l’accès aux données des salariés sur la base de leurs fonctions.

Étape 4 – Communication

La prochaine étape est toujours la plus difficile : se préparer à la reprise au lendemain de l’attaque. Comme beaucoup s’accorderont à le dire, il est toujours tentant de balayer les problèmes sous le tapis et de prétendre que tout va bien. Une telle attitude peut être lourde de conséquences.

Prenez le problème à bras-le-corps en communiquant avec toutes les parties prenantes concernées. Commencez par les membres du personnel, en expliquant ce qui s’est passé et en vous assurant que tout le monde est sur la même longueur d’onde. Vient ensuite la partie la plus difficile : informer vos clients.

Vous souhaiterez peut-être obtenir une assistance juridique pour définir la meilleure façon de communiquer la mauvaise nouvelle aux clients. Agir en toute transparence est le meilleur moyen de surmonter l’incident et de maintenir un état d’esprit positif.

Une excellente idée consiste à mettre en place une ligne téléphonique pour répondre aux interrogations des personnes touchées. La communication peut être la clé pour maintenir de bonnes relations professionnelles avec les clients.

Et ne tentez jamais de transformer l’incident en opportunité commerciale. Lorsque la société Equifax a subi une fuite de données en 2017, elle a tenté d’en tirer profit en facturant aux clients le gel de leur dossier. La société a commencé par dire à ses clients que s’ils renonçaient à porter plainte, ils obtiendraient en échange un an de services gratuits. Les résultats ont été dévastateurs, nuisant à la relation client sur le long terme.

Étape 5 – Récupération

Si vous disposez d’une assurance contre les cyber-risques, informez votre assureur dès que possible après l’intrusion. Voyez l’aide qu’il peut vous apporter dans le cadre de votre processus de reprise. Vous pourriez être agréablement surpris par les dispositifs d’aide proposés.

Étape 6 – Évaluation et amélioration

La prochaine étape importante consiste à passer en revue tout ce qui s’est produit depuis l’attaque et durant le processus de reprise. Il est probable que vous trouverez des enseignements à tirer des événements.

Utilisez ces leçons pour améliorer votre stratégie de sécurité et d’intervention afin de mieux vous préparer à de nouvelles attaques, qui finiront immanquablement par survenir.

Choses à éviter

Nous avons expliqué la marche à suivre lorsqu’une cyber-attaque se produit, voyons à présent ce qu’il faut éviter à tout prix.

  • Réagir dans la précipitation

Après une intrusion, on peut être tenté de chercher à rectifier les problèmes le plus rapidement possible. Mais attention, une réaction précipitée pourrait aggraver les choses. Même s’il est normal de réagir ainsi, évitez de paniquer. Gardez votre calme et suivez scrupuleusement votre plan de reprise. En l’absence d’un tel plan, commencez par en élaborer un puis suivez-le à la lettre.

  • Étouffer l’affaire

Vous imaginez peut-être que personne n’est au courant et que vous pourriez garder le silence. Mais le risque d’une telle tactique l’emporte sur ses avantages supposés.

  • Clôturer l’incident prématurément

Après avoir suivi les étapes décrites ci-dessus, il peut être tentant de clôturer l’incident et de reprendre le cours normal de vos activités. Ce serait prématuré. Continuez à surveiller le réseau pour vous assurer que l’incident est réellement terminé.

Si la bataille est terminée, la guerre reste ouverte

Un piratage témoigne de la présence de failles dans votre système de sécurité. Mais le simple fait que vous l’ayez gérée efficacement, de votre point de vue, ne signifie pas qu’à présent tout est rentré dans l’ordre. La cyberguerre est une réalité permanente, alors ne baissez jamais votre garde dans l’espoir que les malfaiteurs soient passés à une autre cible.