Réagir à une cyberattaque massive
Ce rapport du Cigref guide les organisations face à une cyberattaque de grande ampleur, comme un ransomware, qui perturbe l’activité et génère des impacts opérationnels, financiers ou réputationnels.
Il décrit les phases de gestion de crise : mesures d’urgence pour contenir l’attaque, remédiation du système d’information, stabilisation et retour d’expérience.
La cellule de crise se divise en une cellule décisionnelle (COMEX, DSI, juridique) et une cellule opérationnelle (DSI, RSSI).
Les premiers réflexes incluent l’isolation des systèmes touchés, l’activation du plan de continuité d’activité et la notification des assureurs ou de l’ANSSI.
La communication interne et externe évite une crise dans la crise, tandis que les investigations identifient les failles sans retarder la réparation.
Les aspects juridiques, comme la notification CNIL en cas de fuite de données, courent en parallèle.
Des checklists, chronogrammes et tableaux de bord aident DSI, RSSI et directions à coordonner actions et parties prenantes.
Éléments clés à retenir :
-
Définir la cyberattaque par ses conséquences (arrêt d’activité, pertes financières comme 200 M€ pour Saint-Gobain en 2017), non par sa forme (ransomware, DDoS, phishing).
-
Mobiliser cellules de crise dès impact métier, avec arbre décisionnel basé sur le PCA.
-
Désactiver comptes admins, sécuriser sauvegardes saines.
-
Communiquer via canal alternatif, tableau de bord COMEX (impacts SI/métiers, CA perdu).
-
Prévenir assurance cyber (assistance 24/7), ANSSI et déposer plainte pour preuves.
-
Gérer équipes : roulement, logistique (repas, repos), RH pour stress/chômage technique.
-
Investigations discrètes (logs, forensic) avant reconstruction ; éviter guérilla ou paiement rançon.
-
Post-crise : processus judiciaire long, amélioration SI (durcissement).