Les bons réflexes en cas d’intrusion sur un système d’information

1 – Introduction

Cette page est destinée à vous aider lors de l’identification d’un incident de sécurité informatique sur votre système d’information.

Vous allez trouver dans cette fiche les principales actions pour gérer les premières heures d’un incident. Si l’incident est circonscrit, ce sera tout. Dans beaucoup de cas ce n’est que le début.

2 – Qualifier la détection ou le signalement

La première étape du traitement d’un incident est de le qualifier. Pour ce faire, il est nécessaire d’identifier les sources d’informations et les anomalies qui peuvent y être associées.

L’objectif de cette étape est de définir une vision de la situation la plus fiable possible.

Observer pour caractériser les constats

  • Effectuer une première évaluation de périmètre
    • Détections : que détectent les dispositifs de sécurité du système d’informations
      • journaux : puits de log et SIEM,
      • antivirus et EDR/xDR,
      • supervision de la production ;
    • Dysfonctionnements informatiques
      • identifier le niveau de perturbation des applications et de l’infrastructure,
      • détecter les arrêts de services, de machine, etc.
      • détecter la disparition ou l’impossibilité de lire des fichiers ;
    • Perturbation des métiers
      • quels dysfonctionnements sont constatés ?
  • Déterminer la source précise de l’incident, et éventuellement confirmer le plus en amont possible l’interprétation de la détection ou du signalement ;
  • Déterminer le périmètre concerné.
    • Des systèmes distincts présentent-ils des anomalies, et si oui sont-elles liées ?
    • Qu’est-ce qui relie différents sous-systèmes touchés ? Comment une attaque peut s’y être propagée ?

S’orienter pour identifier les impacts potentiels et les actions à prendre

  • L’incident est-il confirmé ou nécessite-t-il plus de recherches ?
    • S’il ne l’est pas, comment confirmer/infirmer le signalement ?
    • Des collectes d’informations complémentaires sont-elles nécessaires ?
  • Estimer les impacts potentiels de la situation.
    • Le type d’attaque ou d’attaquant peut-il être déterminé ?
    • Les systèmes touchés (ou suspectés de l’être) portent-ils des processus ou des données sensibles ?
    • Les systèmes concernés sont-ils soumis à contraintes réglementaires ou contractuelles ?
    • Les métiers ont-ils une visibilité sur l’incident ? Sont-ils impactés par l’incident ?
  • Qui sont les acteurs déjà impliqués dans l’incident ?
  • Quels sont les actifs à mettre en sûreté en cas d’aggravation de l’incident ?
  • Où sont les traces connues et potentielles laissées par un attaquant ?
  • Identifier les obligations contractuelles ou réglementaires qui s’appliquent sur vous.

3 – Réagir

Décider

  • Synthétiser le sûr et l’incertain sous une forme concise pour les décideurs ;
  • Notifier les décideurs métiers et direction de votre organisation ;
  • Prendre conseil auprès de spécialistes.

Agir

  • Prendre les premières mesures d’endiguement adaptées à la situation, par exemple :
    • Effectuer des coupures de réseau, éteindre des machines, bloquer les accès à distance ;
    • Mettre une copie des sauvegardes importante en sûreté.
  • Préserver les traces :
    • Mettre en sécurité les journaux : effectuez des copies hors ligne ou sur des systèmes isolés ;
    • Prolonger les périodes de rotation des journaux systèmes et équipements ;
    • Penser à tout types de journaux : sécurité et systèmes, serveurs, postes de travail, équipements d’infrastructure.
  • Mobiliser les équipes internes et l’infogérant le cas échéant :
    • Prévenir les équipes et les responsables des ressources humaines d’une possible surcharge ;
    • Identifier les points et moyens de contact.
  • Contacter les propriétaires d’applications concernées.

4 – Obtenir de l’aide

ANSSI/CERT-FR

Le CERT-FR suit et peut apporter son aide au traitement des incidents de sécurité affectant les systèmes d’information d’une importance particulière pour la nation. Le CERT-FR émet et reçoit les signalements, et coordonne les actions de réponses appropriées.

Si votre situation semble rentrer dans ce cadre, contactez le CERT-FR par un des moyens indiqués ici

Prestataires de réponse à incident

Pour les petites organisations, Cyber Malveillance maintient un registre des prestataires aux compétences certifiées (https://www.ssi.gouv.fr/en-cas-dincident/).

Pour les organisations opérant un système d’information complexe, il est recommandé de faire appel à un Prestataire qualifié de Réponse à Incidents de Sécurité (PRIS) dont la liste peut être trouvée ici.

Prestataires SI

Si un incident dure ou atteint une échelle significative, vous aurez sans doute besoin d’augmenter les capacités de votre direction informatique.

Vos prestataires habituels, qui ont la connaissance de vos pratiques et de votre système d’information sont souvent les plus appropriés : prestataires effectuant les services de supervision de production et de sécurité, administrateurs systèmes et réseaux, prestataires d’audit et de conseil en sécurité.

Les contacter au début d’un incident permettra d’évaluer leur capacité à vous aider.

Assureurs

Pensez à notifier l’assureur du SI le plus tôt possible pour :

  • Démarrer la prise en compte de la couverture ;
  • Identifier les prestataires que l’assureur peut recommander ou mandater ;
  • Établir le périmètre et les prestations couverts par votre assurance.

Autre

Pour les incidents complexes, un accompagnement est également recommandé pour :

  • Gérer la crise (en maintenance une cadence dans les prises de décision et en évitant les impasses et paralysies) ;
  • Gérer la communication internet et externe.

5 – Déclarations

ANSSI

Certains opérateurs de services sont astreints à déclarer leurs incidents à l’ANSSI. Ceci concerne notablement : les opérateurs de services qualifiés par l’ANSSI, les Opérateurs de Services Essentiels, les Opérateurs d’Infrastructures vitales, …

Les incidents impliquant des informations classifiées doivent également faire l’objet d’une déclaration à l’ANSSI en complément de celle au FSSI / HFDS…

Si vous avez un doute sur vos obligations, contactez directement le CERT-FR.

Sinon, un formulaire adéquat caractérisant l’incident doit vous avoir été fourni et doit être transmis au CERT-FR.

Dépôt de plainte

Le dépôt de plainte va permettre de tracer le dommage qui vous a été fait et de déclencher une enquête. Elle peut aussi dégager votre responsabilité en cas de propagation de l’attaque à d’autres victimes.

Le dépôt de plainte s’effectue au commissariat ou à la gendarmerie la plus proche qui transmettra au service enquêteur adéquat. Suivant le type d’attaque, votre localisation et l’activité concernée un service différent de la police ou de la gendarmerie sera chargé d’enquêter.

CNIL

Les incidents affectant des données personnelles doivent faire l’objet de déclaration à la CNIL dans un court délais.

Si vous n’êtes pas en mesure d’évaluer l’atteinte à des données personnelles, la CNIL peut enregistrer des déclarations préalables d’incident.

Autres autorités

Si votre organisation est dans un domaine réglementé, vous pouvez être astreint à d’autres obligations de déclaration.

Vous trouverez ici les points de contacts et formulaires pour les principaux cadres.

Dans le doute, consultez votre service juridique.