Comment une entreprise doit réagir face à une cyberattaque

Publié le 27/07/2022 à 16h24

BFM Business Par François-Pierre Lani, avocat associé du cabinet Derriennic Associés

Les cyberattaques se multiplient contre les entreprises. - Kirill KUDRYAVTSEV / AFP

[AVIS D’EXPERT] Face à l’augmentation constante du nombre de cyberattaques à l’encontre des entreprises, ces dernières doivent avoir les clés pour détecter les menaces et limiter les conséquences dommageables. Décryptage avec notre expert François-Pierre Lani, avocat associé du cabinet Derriennic Associés.

Plus d’une entreprise sur deux a subi une cyberattaque en 2021 selon le baromètre du CESIN et le gendarme des données personnelles, la CNIL, a enregistré 5037 notifications de violation de données en 2021, soit une hausse de 79% sur un an.

Qu’il s’agisse de grandes entreprises, d’ETI, de PME ou de TPE, aucune n’est épargnée par les cybermenaces. S’il est indispensable de mettre en œuvre des mesures préventives, ces dernières sont parfois insuffisantes et n’empêchent pas une cyberattaque.

Partant de ce constat, il faut pouvoir reconnaître les signes d’alerte et savoir comment réagir face à une cyberattaque.

Les signes d’alerte d’une cyberattaque

Pour limiter les conséquences d’une cyberattaque, il faut être en mesure de réagir à temps. Si, en raison de la multiplicité des attaques, de nombreux signes existent, certains sont plus fréquents.

Il s’agit, entre autres, de l’impossibilité de se connecter à un outil informatique, de connexions ou d’activités inhabituelles, d’effacements de fichiers, une suractivité informatique, l’envoi ou la réception non désirée de fichiers, la présence d’un logiciel malveillant détectée par un antivirus ou votre prestataire de sécurité informatique (SOC), la réception d’un email douteux sur lequel un clic a été effectué, etc.

En cas de présence de l’un de ces signes, ou de doute sur une cyberattaque, contactez rapidement votre service informatique ou un prestataire informatique externe.

5 étapes pour réagir à une cyberattaque

Il est possible de scinder la réaction à une cyberattaque en 5 temps. Chaque attaque étant unique, et chaque entreprise ayant ses spécificités et son fonctionnement, il est probable que ces temps doivent être mis en œuvre concomitamment ou selon une chronologie différente.

C’est la raison pour laquelle il est nécessaire de prévoir, en amont, un protocole de gestion de crise et la création d’une cellule de crise impliquant toutes les entités capables de gérer l’atteinte (Direction, Responsable de crise, DSI, experts …).

Sécuriser ses systèmes informatiques. Après avoir contacté le service ou le prestataire informatique et la cellule de crise interne prévue à cet effet, il est recommandé de déconnecter les équipements suspects du réseau tout en les laissant allumés et de ne connecter aucun nouvel appareil sur le réseau. L’expert informaticien procédera, ensuite, à la décontamination du système tout en tentant de sauvegarder le plus d’éléments sains possibles.

Sauvegarder les éléments de preuve et documenter la violation. Cette étape, indispensable et à réaliser au plus tôt, passe par le recours à un expert informatique, accompagné d’un huissier, qui sauvegardera intégralement le système informatique et aura pour mission d’identifier, dans un rapport, les éléments de preuve quant à l’origine des attaques et aux potentiels responsables.

Communiquer, d’une part, aux salariés, certains devant être avertis de l’existence de restrictions d’utilisation et pouvant établir des attestations et témoignages et, d’autre part, aux tiers (clients, prestataires externes …) qui sont susceptibles d’être touchés par l’attaque.

Notifier l’incident. Si vous avez souscrit une police cyber, ou si une autre police d’assurance (notamment votre RC Pro ou une assurance IARD) peut s’appliquer, veillez à déclarer le sinistre à votre assureur dans le délai imparti. De même, si la cyberattaque porte sur des données personnelles et engendre un risque pour la vie privée des personnes concernées, veillez à notifier la CNIL dans les 72 heures et notifier les personnes concernées si ledit risque est élevé.

Déposer une plainte auprès d’un service compétent, par exemple le procureur de la république (pôle cybercriminalité), la gendarmerie (C3N) ou la police nationale (SDLC/OCLOCTIC). Le dépôt de plainte, fondé sur des infractions telles que l’intrusion ou la suppression frauduleuse, l’escroquerie ou l’usurpation d’identité, est souvent un prérequis indispensable pour que l’assurance cyber soit activée.

Même si l’attaque a déjà eu lieu, il n’est jamais trop tard pour s’entourer de spécialistes (experts techniques, assureurs, avocats…) qui seront d’une aide précieuse pour faire face aux conséquences de l’attaque (litiges avec les clients, fournisseurs et prestataires informatiques, récupération des données, demandes d’indemnisation...).