Plan de gestion des incidents de sécurité, détaillant les étapes à suivre en cas d'incident. Procédures de notification, d'investigation, de résolution et de suivi des incidents.
Les TPE et PME ont tout avantage à identifier préalablement des prestataires spécialisés dans la réponse aux incidents de sécurité.
Pour les TPE et les PME (mais aussi les particuliers et les collectivités), le gouvernement a mis en place la plateforme Cybermalveillance.gouv.fr.
Après avoir réalisé un diagnostic en ligne, les victimes accèdent à des conseils personnalisés leur permettant de résoudre leur problème.
Elles peuvent également être mises en relation avec des professionnels de proximité pour les assister.
N'hésitez pas à vous rapprocher de votre chambre des métiers (CMA) ou de votre chambre du commerce (CCI) : leurs experts peuvent vous orienter vers une assistance appropriée.
Sur le plan technique, sauvegardez toutes les données de votre entreprise, sans oublier de sauvegarder également les logiciels installés sur votre système d’information (Portée ).
Quand un rançongiciel aura chiffré vos données, seule l’existence de sauvegardes intègres vous permettra de redémarrer rapidement votre activité !
Le premier réflexe à avoir en cas d’incident concernant un système d’information est de déconnecter son équipement ou son SI d’entreprise d’Internet.
Pour un équipement individuel, cela peut se traduire par la déconnexion de la prise réseau ou la désactivation des services WiFi.
Pour un SI d’entreprise, l’action peut être menée sur l’équipement réseau ou le pare-feu d’entreprise.
Cela permettra de contenir les actions de l’attaquant et réduira en particulier ses capacités d’exfiltration de données.
Ne pas éteindre ni modifier les ordinateurs et matériels affectés par l'attaque :
ils seront utiles aux enquêteurs.
En cas de rançongiciel, ne payez jamais la rançon demandée, des solutions de déchiffrement existent : vous serez assisté par les policiers ou les gendarmes.
Vos sauvegardes vous permettront de retrouver une activité normale (Portée ).
Il est recommandé d’ouvrir une main courante pour tracer les actions et les événements liés à l’incident.
Chaque entrée de ce document doit contenir, a minima : ▶ l’heure et la date de l’action ou de l’événement ▶ le nom de la personne à l’origine de cette action ou ayant informé sur l’événement ▶ la description de l’action ou de l’événement.
La tenue d’une main courante régulièrement alimentée tout au long de l’incident va considérablement faciliter l’intervention du prestataire et la résolution du problème.
Pour une PME, il convient de concevoir et de déployer un dispositif de communication (messages, communication interne, communication partenariale, réseaux sociaux, relations presse, etc.). Ce dispositif doit être proposé par le service communication (en lien avec les experts techniques) et porté par les dirigeants de l'entreprise.
La charte informatique peut également informer les collaborateurs de la bonne attitude à avoir en cas d'incident avéré.
Les entreprises traitant des informations personnelles, relevant du Règlement général sur la protection des données personnelles (RGPD) sont soumises au respect des exigences de ce texte.
En cas d’incident, elles sont également tenues d’informer la CNIL et leurs clients.