Que faire en cas d’attaque par rançongiciel ?

Parmi les multiples cybermenaces qui existent, une est à prendre particulièrement au sérieux : il s’agit de l’attaque par rançongiciel ou ransomware. Celle-ci consiste à prendre en otage un ou des utilisateurs d’outils informatiques en bloquant leurs données par leur chiffrement jusqu’à l’obtention du paiement d’une rançon.

Quelles actions à réaliser rapidement ?

Si malheureusement vous êtes concernés par une telle attaque, quelles sont les mesures à prendre rapidement pour limiter les dégâts et pertes financières ?

Juste avant de procéder à une déconnexion de ses appareils informatiques pour éviter et/ou réduire la propagation du virus, veillez à relater le plus précisément possible la chronologie des événements avec un maximum de détails : tels que date, heure, identité des personnes, descriptions et caractéristiques des faits survenus…

Tout de suite après s’être rendu compte de l’attaque par rançongiciel ou ransomware, il est essentiel donc d’isoler les équipements infectés en les déconnectant très rapidement. Pensez aussi aux connexions sans fil ! L’idée est bien de bloquer immédiatement toutes les connexions depuis et vers Internet.

Ensuite, il conviendra de procéder à la mise en veille prolongée du ou des appareils infectés de manière à conserver la mémoire de l’attaque, ses caractéristiques … pour pouvoir la gérer au mieux. Dans cette période, il est indispensable de laisser hors service des équipements éteints et de ne pas utiliser de supports de stockage amovibles.

Dans l’hypothèse où une clé de déchiffrement serait trouvée à propos de cette attaque précise, avoir gardé l’historique de l’attaque et les données cryptées permet de récupérer plus facilement ces dernières.

Création d’une cellule de crise

De plus, la mise en place d’une cellule de crise est recommandée afin de faire face à l’attaque et à ses conséquences du point de vue des dysfonctionnements engendrés notamment dans une entreprise contrainte de cesser ses activités via internet. Il s’agira d’élaborer des stratégies de communication à destination de l’interne et de l’externe à l’entreprise visée par l’attaque comprenant la mise en œuvre d’une procédure judiciaire. L’aide du Délégué à la Protection des Données sera précieuse pour identifier et prévenir les personnes dont les données ont potentiellement été violées.

C’est important également que les individus et entreprises ayant subi l’attaque par rançongiciel puissent se tourner vers des prestataires spécialisés sur ces questions afin d’être assisté pour gérer les problèmes induits. Les particuliers et petites entreprises ont à leur disposition la plateforme cybermalveillance.gouv.fr.

Toujours est-il qu’il est fortement recommandé de ne pas payer la rançon : d’une part, vous n’êtes pas certains de récupérer vos données, d’autre part, vous entretenez un système qui motive les escrocs à poursuivre leurs actions de piratage.

Déposer plainte suite à un piratage

Enfin, il conviendra d’aller déposer une plainte à la gendarmerie ou bien auprès des services de police. Le travail de chronologie des événements que la victime aura réalisé en amont s’avérera particulièrement précieux.

La démarche de dépôt de plainte permet le lancement d’une enquête en vue de découvrir la clé de déchiffrement des données prises en otage. Elle ouvre aussi la possibilité d’une réparation si les malfaiteurs sont interpellés.

Face à la recrudescence des cyberattaques, le ministère de l’Intérieur prévoit d’ouvrir prochainement une plateforme de plainte en ligne nommée THESEE.

Le guide : « Attaques par rançongiciels, tous concernés » édité par l’ANSSI détaille les mesures et précautions à prendre en cas d’attaque.