Comment réagir après une cyberattaque ?

Le téléphone sonne :

– … Allo, ici Thierry [le RSSI].

– Bonjour Thierry, est-ce que tu peux nous dire auprès de qui on doit porter plainte pour l’attaque de la semaine passée sur nos systèmes d’information ?

– Ah ! vous avez donc décidé de porter plainte ?

Pourquoi avoir cette réflexion ? N’est-ce pas normal de porter plainte suite à une attaque ?

Avant toute chose il faut bien comprendre que déposer plainte est un acte juridique, à savoir un signalement à une autorité judiciaire, d’une agression, en la matière sur l’intégrité d’un système de traitement automatisé de données (STAD) ou de façon plus générique sur le patrimoine informationnel de l’entreprise. Ce n’est en aucun cas une remédiation technique qui rétablira la bonne marche du système. Il faut savoir également que seule la victime est en droit de déterminer le bien fondé de déposer plainte ou non. Le signalement de l’agression à l’autorité judiciaire ne conduit donc pas forcement à un dépôt de plainte.

Cet acte doit donc être pris en connaissance de cause et mérite d’y être préparé en se posant quelques bonnes questions :

Quels sont les bons réflexes suite à cette découverte afin de sauvegarder des preuves numériques ?
Auprès de qui porter plainte ?
Comment fournir aux enquêteurs les données nécessaires et comment travailler en bon intelligence avec eux ?
Quelles suites peut-on attendre après le dépôt de plainte ?

La caractérisation d’une attaque se fait souvent par la découverte des conséquences : le service n’est plus opérationnel, des données ont disparues ou ont fuité, etc. Le réflexe naturel est de vouloir rétablir la bonne marche du système, ce qui semble pertinent mais qui va souvent à l’encontre de la démarche de dépôt de plainte pour laquelle il faudra apporter des éléments de preuve. Pour prendre une image, c’est comme si des policiers devaient relever des indices sur une scène de crime qui aurait été piétinée par des dizaines de personnes. Quelles sont les traces de l’agresseur parmi toutes celles que l’on constate ?

La contradiction vient du fait que le temps du judiciaire est beaucoup plus long que le temps opérationnel (business) de l’entreprise. Le rétablissement des applications métiers peut souvent entrainer un risque de déperdition de preuves.

La première conclusion est donc qu’il faut se donner les moyens de déposer plainte : cela doit être anticipé, il faut avoir quelque chose à montrer aux enquêteurs, à savoir des logues, des traces de qui a fait quoi, à quel moment, afin de démêler les actions licites de celles illicites. Il est donc important que les équipes informatiques acquièrent le réflexe lors d’une attaque, de sauvegarder le maximum de données du système par un gel des données, autrement dit par une image du système au moment de la découverte de l’attaque. En l’occurrence, les sociétés qui disposent d’un SOC ou d’un SIEM auront beaucoup plus de données d’analyse à présenter en permettant de remonter dans le temps afin de pouvoir identifier l’origine de l’attaque. Sans ces éléments d’enquête le dépôt de plainte restera sans suites.

Maintenant une question se pose, auprès de qui déposer plainte ? la police, oui mais laquelle ? cela n’est pas si simple et là aussi une anticipation est nécessaire. Même si toutes les forces de l’ordre de proximité sont censées pouvoir recueillir un dépôt de plainte, il est préférable de le faire auprès d’enquêteurs spécialisés. Plusieurs éléments entrent en ligne de compte et en premier lieu la localisation de la victime. Sur Paris intra-muros et la petite couronne l’interlocuteur est la BEFTI ou Brigade d’Enquête sur les Fraudes aux Technologies de l’Information dépendant de la Préfecture de Police de Paris. Sur les grandes villes il faut contacter l’OCLCTIC ou Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication qui dépend de la Direction Centrale de la Police Judiciaire. Partout ailleurs c’est la gendarmerie et ses enquêteurs spécialisés NTECH et au niveau central le C3N ou centre de lutte contre les criminalités numériques qui sont compétents.

En réalité les choses peuvent être plus complexes selon le statut de l’entreprise, en particulier si elle est Opérateur d’Importance Vitale, auquel cas la DGSI ou Direction Générale de la Sécurité Intérieure peut être compétente, ou selon le type d’attaque comme la pédopornographie ou la fraude au président pour lesquelles l’informatique n’est qu’un vecteur d’attaque et pas la cible en elle-même. A retenir que l’ANSSI n’a pas de pouvoir judiciaire et qu’elle ne pourra donc pas recueillir un dépôt de plainte.

Est-ce au RSSI de déposer plainte ?
Non, en général c’est au service juridique, représentant de l’entité légale d’entreprise de déposer plainte. En revanche, celui-ci n’est pas souvent au fait des technologies de l’information et l’assistance d’un sachant de la DSI ou le RSSI lui-même peut être nécessaire lors du dépôt de plainte.

Que se passe-t-il suite à un dépôt de plainte ?
Une collaboration étroite doit être mise en œuvre entre les enquêteurs et les services concernés de l’entreprise afin de recueillir le maximum d’information permettant de caractériser l’attaque, ses origines, sa motivation, ses conséquences techniques et financières. Mais les choses peuvent devenir beaucoup plus complexes s’il s’avère que l’agresseur est un personnel interne. La découverte de l’attaque doit rester dans ce cas très discrète afin de permettre l’établissement de preuves indiscutables voire d’établir un flagrant délit avec les enquêteurs.

En tout état de cause il s’agit pour l’entreprise de bien déterminer les motivations qui vont la pousser à porter plainte. Cette action judiciaire est un acte « positif » de l’entreprise qui recherche à montrer sa bonne foi en particulier si les conséquences ont un impact sur ses clients ou son image, mais également si son SI a pu être utilisé comme rebond pour perpétrer une attaque sur un tiers. Le dépôt de plainte peut également être nécessité vis-à-vis de l’assurance perte d’exploitation de l’entreprise (ou cyberassurance si elle en a une). En revanche, les garanties de remboursement en dommages et intérêts des pertes engagées, si un procès peut avoir lieu sont bien faibles, surtout si l’agression provient de l’étranger, même si en l’état de gros progrès ont été fait pour permettre des poursuites internationales avec la collaboration de services spécialisés de nombreux pays.

LES BONS REFLEXES :

Préserver les éléments de preuve, conserver tout ce qui peut matérialiser l’attaque ;
Garder les élément bruts, l’intégralité des fichiers de logues, pas que des extraits ;
Faire une image disque le plus rapidement possible (minimiser les altérations) ;
Identifier tout ce qui peut matérialiser la chronologie de l’attaque ;
Savoir qui a fait quoi et quand au niveau des équipes internes : avoir une main courante des actions entreprises en interne ;
L’équipe SSI peut commencer l’investigation (mais doit garder des traces).

Liens utiles :

BEFTI : Brigade d’enquête aux fraudes liées aux technologies de l’information
OCLCTIC : Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication
Direction centrale de la police judiciaire : Sous-direction de la lutte contre la cybercriminalité
ANSSI : en cas d’incident

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

La chronique du Cesin : Allo ! La Police ?

Pourquoi avoir cette réflexion ? N’est-ce pas normal de porter plainte suite à une attaque ?

LES BONS REFLEXES :

Suggestion de contenus