Des mesures de prévention adéquates peuvent réduire le risque de cyberattaques. Mais que pouvez-vous faire après que votre société fiduciaire a été victime d’un piratage de données, d’une attaque DDoS ou d’un ransomware? Lisez cet article de blog pour savoir quelles sont les étapes à suivre après une cyberattaque.
Les cyberattaques sont de plus en plus sophistiquées. Au lieu d’envoyer des e-mails de prétendus princes, ils proposent désormais des pièges d’hameçonnage à l’apparence trompeuse, des programmes malveillants sophistiqués et des tentatives d’extorsion perfides. Pendant que les cybercriminels continuent de développer leurs stratégies d’attaque, les sociétés fiduciaires doivent également renforcer leurs mesures de sécurité. La version de base des logiciels antivirus standardisés n’est souvent plus suffisante pour contrer les cybermenaces d’aujourd’ hui. Il vous faut protéger tous les volumes de travail, données et applications de votre société fiduciaire dans plusieurs domaines. Il n’est pas moins important de sensibiliser vos collaborateurs au thème de la cybersécurité.
Conseil de lecture : la première partie de notre rubrique sur la cybersécurité vous indique les cybermenaces actuelles et la deuxième partie vous apporte des conseils pratiques sur la façon de réduire le risque d’attaques de pirates informatiques à l’encontre votre société fiduciaire.
Avec les mesures de sécurité appropriées, le risque d’une cyberattaque réussie diminue. Mais que pouvez-vous faire si votre société fiduciaire a été victime de cybercriminels? À quoi devez-vous faire attention en cas de perte de données, d’attaque DDoS ou d’infestation de ransomware? Dans les paragraphes suivants, vous en apprendrez plus sur les scénarios de cyberattaques les plus courants et sur la manière d’y répondre.
Flux de données après une attaque de piratage: comment minimiser les dommages
Les données sont souvent considérées comme la monnaie la plus importante du monde numérique. Les cyberattaques et les pertes de données associées coûtent des milliards de dollars chaque année dans le monde entier. Si les données de vos clients tombent entre de mauvaises mains, que ce soit intentionnellement ou accidentellement, vous risquez une perte de confiance durable, des amendes et des sanctions. Après une fuite de données, faites vous d’abord une idée de l’étendue des données compromises et du risque associé. Identifiez la faille de sécurité et corrigez-la. Si des données à caractère personnel sont concernées, vous devez le signaler au Préposé fédéral à la protection des données et à la transparence. Informez ensuite vos clients du piratage de données. Excusez-vous sincèrement et informez vos clients que votre société fiduciaire fait tout ce qui est en son pouvoir pour limiter les dommages et empêcher les fuites de données à l’avenir. Ensuite, revoyez fondamentalement votre concept de protection des données.
Les entreprises fiduciaires sont actuellement particulièrement exposées au risque de perdre de précieuses données en cas de piratage. Les failles logicielles, les processus partiellement numérisés et les fichiers stockés localement rendent en effet plus probable la compromission des données lors d’une attaque de piratage. Les logiciels de gestion fiduciaire intelligents peuvent simplifier considérablement la conservation et la sauvegarde des données au sein de votre société fiduciaire. Toutes les données significatives sont conservées sur une plateforme sécurisée à laquelle seuls vous et vos collaborateurs autorisés avez accès. Vous définissez les droits d’accès afin que vous ayez toujours le contrôle sur qui peut consulter et modifier les données. Le fournisseur de la plate-forme prend généralement toutes les mesures de sécurité de base, assure le suivi des sauvegardes de vos données et crée un plan de récupération après sinistre (Disaster Recovery), afin qu’aucune donnée client ne soit perdue, même en cas d’attaques perfides de hackers ou de catastrophes naturelles.
Ce qu’il faut faire en cas d’attaque DDoS
DDoS signifie Distributed Denial of Service (déni de service distribué) et les attaques DDoS font en sorte que vos systèmes ou votre site Web deviennent soit limités, soit indisponibles. «Lors d’une attaque DDoS, il s’agit avant tout de signaler aux attaquants qu’ils n’atteignent pas leur cible. Si vous persévérez suffisamment longtemps, les attaquants se détourneront généralement de vous», écrit le Centre national de cybersécurité (NCSC). Commencez par consigner l’attaque en enregistrant les netflows et les journaux du serveur. Ne supprimez pas les e-mails des racketteurs. Conservez les canaux de communication sélectionnés ouverts et informez vos clients de l’attaque, par exemple via un site Web statique. Proposez des moyens de contact alternatifs tels que l’e-mail, le téléphone ou les SMS.
Ensuite, il s’agit d’analyser l’attaque DDoS et de définir une stratégie de défense. Si l’origine de l’attaque est un nombre limité d’adresses IP, il peut suffire de filtrer ces adresses sur votre routeur ou votre pare-feu. Si le volume de données dépasse la bande passante dont vous disposez, votre fournisseur d’accès Internet doit s’en charger. En cas d’attaques basées sur l’IP, vous pouvez déplacer votre système attaqué vers un autre sous-réseau. S’il s’agit d’une attaque avec de fausses adresses IP source, le filtrage des adresses IP n’a aucun sens et peut même bloquer les utilisateurs légitimes. Contactez votre fournisseur d’accès Internet qui peut rediriger et filtrer ce trafic. Pour ce faire, vous devez savoir quels protocoles sont utilisés dans votre société fiduciaire et lesquels peuvent être filtrés sans dommage. Les attaques DDoS contre les applications prennent souvent la forme d’un grand nombre de requêtes complexes qui paralysent l’application. Selon le NCSC, l’adresse des expéditeurs de ces demandes est difficilement falsifiable et vous pouvez donc les filtrer. En cas d’attaque contre le protocole SSL/TLS, il peut être utile de programmer la connexion SSL auprès d’un service de cloud, qui transmet ensuite la connexion filtrée à vos systèmes.
Préparez-vous à ce que les attaquants tentent de s’adapter à vos mesures de défense et de modifier leur tactique en cas d’attaque DDoS. En pareil cas, analysez à nouveau l’attaque DDoS et appliquez les contre-mesures appropriées.
Les principales étapes à suivre si votre société fiduciaire est infectée par un ransomware
Le ransomware est un programme malveillant qui restreint ou empêche l’accès aux données et aux systèmes. Pour que vous puissiez vous en débarrasser, les attaquants font généralement une demande de rançon. Selon le NCSC, en cas d’infestation par un ransomware, vous devez immédiatement déconnecter les systèmes infectés du réseau. Pour ce faire, débranchez le câble réseau de l’ordinateur et désactivez les adaptateurs WLAN existants. Une fois les dommages limités, vous devez identifier les systèmes infectés. Les «fichiers journaux» peuvent vous aider à identifier les accès aux lecteurs réseau. Les métadonnées des fichiers cryptés peuvent également fournir des indices sur les systèmes infectés. Par exemple, vous pouvez savoir quels comptes d’utilisateurs ont créé les fichiers. Sauvegardez ces fichiers journaux. Selon le NCSC, les journaux du serveur de messagerie, du serveur proxy et du pare-feu, ainsi que d’éventuels autres logiciels de sécurité permettent de déterminer l’étendue de l’infection et de détecter l’URL et les adresses IP des attaquants. Bloquez ces URL et ces adresses IP sur le serveur proxy interne ou sur le pare-feu. Vous évitez ainsi une connexion involontaire à l’infrastructure des cyber-attaquants. En cas d’infection par e-mail, vous pouvez éventuellement lire l’URL et l’adresse IP directement dans l’e-mail via un lien hypertexte ou dans une pièce jointe correspondante.
Sauvegardez ensuite le cache et les disques durs. Si le ransomware a également chiffré vos sauvegardes locales, vous devez conserver toutes les données. «Dans certains cas, les services de sécurité et les forces de l’ordre peuvent accéder à des clés ou à des méthodes de décryptage dans le cadre de leurs enquêtes», indique le NCSC. Ensuite, il faudra réinstaller les systèmes concernés par la cyberattaque. Assurez-vous que le système d’exploitation utilisé provient d’un disque de confiance.
Les paiements de rançon aux cybercriminels génèrent davantage d’attaques
Après une cyberattaque de toute nature, vous devez déterminer comment les attaquants ont pu pénétrer dans vos systèmes et ce qu’ils y ont fait. Ce n’est qu’ainsi que vous pouvez être certain qu’il n’y a pas de porte dérobée par laquelle les cybercriminels peuvent mener d’autres attaques. Le NCSC recommande également de déposer une plainte pénale auprès de la Police cantonale, dont dépend votre siège. Les sociétés fiduciaires doivent-elles payer une rançon en cas de cyber-chantage? Pour le NCSC, la réponse est clairement non : «Il n’y a aucune garantie après avoir payé la rançon, que les criminels ne publieront pas les données ou n’en tireront aucun profit. De plus, chaque chantage réussi motive les agresseurs à continuer et finance le développement des attaques tout en favorisant leur propagation.»
