Que faire suite à une attaque de ransomware dans son entreprise ?
Il n’existe pas de potion magique qui permet la disparition d’une attaque de ransomware sans laisser d’impact sur l’organisation touchée, mais il reste possible d’atténuer la gravité du problème en suivant attentivement certaines procédures éprouvées et fiables immédiatement après une attaque.
La Cybersecurity and Infrastructure Security Agency (CISA) et le Multi-State Information Sharing & Analysis Center (MS-ISAC) ont publié conjointement un guide détaillé comprenant des recommandations pour diminuer les risques d’être la prochaine victime du ransomware, mais aussi une liste de contrôle, étape par étape, pour savoir comment réagir.
Les premières étapes à suivre sont :
- Déterminer les systèmes touchés et les isoler immédiatement,
- Dans le cas d’une incapacité de déconnecter les périphériques du réseau, les mettre hors tension afin d’éviter la propagation de l’infection causée par le ransomware,
- Trier les systèmes impactés pour la restauration et la récupération,
- Discuter avec son équipe afin de développer et documenter une compréhension initiale de l’incident,
- Impliquer les équipes ainsi que les parties prenantes internes et externes avec une compréhension de ce qu’elles peuvent fournir pour aider à atténuer, à répondre et à récupérer le système après l’incident.