Actualités
Conseils pratiques, bonnes pratiques IT et actualités en infogérance informatique.
Conseils pratiques, bonnes pratiques IT et actualités en infogérance informatique.
Il est 8h30, vous arrivez au bureau et vos postes de travail affichent un message de rançon. Ou bien un collaborateur signale que ses fichiers sont illisibles. Dans les deux cas, chaque minute compte, les premières décisions que vous prendrez dans les heures suivantes détermineront l'étendue des dégâts et la rapidité de votre reprise. Voici le protocole que nous appliquons systématiquement avec nos clients lors d'un incident ransomware.
La première priorité absolue est d'empêcher le ransomware de se propager. Débranchez physiquement du réseau les machines affectées (câble Ethernet et désactivation du Wi-Fi), sans les éteindre si possible, certains forensiques peuvent récupérer des données utiles depuis la mémoire vive. Si plusieurs machines semblent touchées, isolez le segment réseau entier en déconnectant le switch ou en bloquant les VLAN concernés. Ne touchez à aucun fichier, ne tentez pas de décrypter vous-même : vous risqueriez d'aggraver la situation ou de détruire des preuves.
Appelez votre prestataire d'infogérance immédiatement, c'est précisément pour ce type de situation qu'il existe. S'il n'est pas joignable rapidement, c'est un signal que votre contrat de support n'est peut-être pas adapté. Pendant ce temps, documentez tout : photographiez les écrans affectés, notez l'heure de découverte, les premiers symptômes observés, les utilisateurs concernés, les dossiers partagés potentiellement touchés. Ces informations seront précieuses pour l'analyse forensique et les déclarations réglementaires.
Une fois les machines isolées, votre prestataire doit procéder à un inventaire rapide : quels systèmes sont affectés ? Les sauvegardes sont-elles intactes et isolées du réseau principal ? Le contrôleur de domaine a-t-il été compromis ? L'identité de la souche ransomware peut être déterminée via des sites comme ID Ransomware (nomoreransom.org), certaines souches ont des outils de déchiffrement gratuits. Ne payez pas la rançon sans avoir exploré toutes les alternatives : le paiement ne garantit pas la récupération des données et finance la criminalité.
Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte de l'incident si des données personnelles ont pu être compromises (noms, emails, données clients, données RH, etc.). Cette déclaration est obligatoire même si vous n'êtes pas sûr de l'étendue de la compromission, l'incertitude elle-même justifie la notification. Si les personnes concernées risquent un préjudice élevé (vol d'identité, données de santé), vous devez également les en informer directement. L'absence de notification peut entraîner des sanctions CNIL indépendamment de l'incident lui-même.
La restauration ne doit commencer qu'une fois la source de l'infection identifiée et éliminée, reconstruire sur un système encore compromis revient à repeindre une maison en feu. Utilisez uniquement des sauvegardes dont vous êtes certain qu'elles sont antérieures à l'infection et non contaminées. Effectuez la restauration sur un réseau propre et isolé, vérifiez chaque système avant de le réintégrer au réseau principal, et changez tous les mots de passe après la reprise.
Si votre entreprise n'a pas encore de plan de reprise après sinistre (PRA) formalisé, c'est le moment d'en élaborer un. Chez WAYTIC, nous accompagnons nos clients Boost dans la création et le test régulier de leur PRA, contactez-nous pour en savoir plus.
Nous vous proposons des solutions personnalisées pour optimiser vos systèmes informatiques, réduire les temps d'arrêt et améliorer votre efficacité.
