Les cyberattaques sont courantes et peuvent avoir des répercussions sur des organisations de toutes tailles, dans tous les secteurs. La présente publication fournit des conseils sur les mesures à prendre dans les moments critiques suivant la détection d’une compromission afin de réduire les répercussions sur votre organisation.
Sur cette page
Ce qu’il faut faire après avoir découvert une compromission
Les moments qui suivent immédiatement la détection d’une compromission sont cruciaux pour réduire au minimum les répercussions. Il convient de prendre les mesures suivantes immédiatement après la détection.
Laisser le système en marche
Votre appareil renferme des preuves criminalistiques éphémères qui peuvent servir à déterminer la source et l’ampleur de la compromission soupçonnée. Bien qu’il puisse sembler évident de redémarrer votre appareil pour voir si le problème persiste, il est important de laisser en marche tous les appareils potentiellement compromis. Il convient de noter les renseignements importants qui pourraient être perdus.
Pour mieux conserver ces preuves :
- verrouillez le système;
- n’éteignez PAS le système;
- ne redémarrez PAS le système;
- ne fermez PAS la session de l’utilisatrice ou utilisateur actuel.
Ne détruisez aucune preuve criminalistique pendant toute la durée de l’enquête. La fermeture de session, ou même le retrait temporaire de la source d’alimentation de l’appareil, effacera toutes les données éphémères.
Vérifier l’incident
Contactez votre service des TI afin qu’il effectue un balayage complet des appareils concernés. Il peut confirmer si le problème est vraiment un incident et si l’appareil principal est compromis. Pour aider le service des TI à vérifier l’incident, assurez vous d’avoir les renseignements suivants :
- Quand vous avez soupçonné une compromission pour la première fois
- Quels appareils vous croyez sont compromis
- Qui avait accès à l’information et aux appareils compromis
- Qui a accès aux appareils, et si l’accès est requis
- Quand vous avez effectué les dernières mises à jour du système et des logiciels
- Quels types de renseignements vous croyez ont été volés
- Combien de personnes vous croyez ont été touchées, et si vous avez leurs coordonnées
- Qui est le point de contact désigné pour votre organisation
- Si le point de contact désigné a le pouvoir d’autoriser et d’utiliser l’imagerie judiciaire aux fins d’enquête
Réponse recommandée du service des TI à une compromission
Une fois que votre service des TI a vérifié qu’un incident s’est produit et qu’il y a eu compromission, il doit prendre les mesures suivantes pour intervenir. La prise de ces mesures permettra de réduire au minimum les répercussions de la compromission sur votre organisation.
Circonscrire l’incident
Selon l’appareil ou l’ampleur de la compromission, vous pourriez devoir utiliser plusieurs techniques afin d’assurer un isolement intégral :
- Isoler du réseau tous les appareils et systèmes compromis à l’aide d’outils qui prennent en charge une fonction de mise en quarantaine.
- Placer les appareils compromis dans un réseau local virtuel distinct.
- Désactiver la carte d’interface réseau.
- Refuser la connexion Wi Fi ou retirer le câble de réseau.
- Passer en revue les privilèges d’accès et de contrôle de votre organisation et limiter l’accès dans la mesure du possible.
- Révoquer l’accès aux applications ou services de tierces parties connectés aux comptes compromis; examiner et gérer les autorisations liées aux applications.
Informer les parties prenantes concernées
En cas d’incident, assurez vous d’en informer les membres de votre organisation qui ont un besoin de savoir. Consultez une conseillère ou un conseiller juridique et financier, au besoin. Pensez à contacter un fournisseur de services compétent, comme un fournisseur de services infonuagiques ou un fournisseur de services gérés, qui pourrait vous offrir une aide supplémentaire et des mesures de sécurité pendant votre enquête.
La Loi sur la protection des renseignements personnels s’applique au gouvernement du Canada, tandis que les organismes du secteur privé sont régis par la Loi sur la protection des renseignements personnels et les documents électroniques. Les organismes du secteur privé doivent :
- déclarer au commissaire à la protection de la vie privée du Canada toute violation de données ayant trait à des renseignements personnels qui présente un risque de préjudice grave à l’endroit de personnes;
- aviser les personnes concernées par la violation;
- conserver les dossiers liés à la violation.
Recueillir des preuves
Avant d’amorcer une enquête, votre organisation aurait avantage à aménager un poste de travail spécialisé en criminalistique afin de réduire au minimum la contamination par d’autres appareils. De plus, votre organisation devra s’assurer que l’autorité compétente a approuvé ces mesures d’enquête. Nous vous recommandons de prendre note de toutes les mesures prises, ainsi que du but de chaque tâche. Votre service des TI peut également prendre les mesures suivantes pour recueillir des preuves pour l’enquête.
Acquérir des preuves éphémères
Les preuves éphémères sont des données qui ne sont présentes que lorsque l’appareil est en marche, comme la mémoire vive (RAM pour random access memory). Il est essentiel que l’appareil compromis reste en marche jusqu’à ce que toutes les preuves criminalistiques éphémères soient recueillies et conservées. Les preuves recueillies doivent être stockées sur un appareil externe pour les conserver en lieu sûr.
Acquérir des preuves non éphémères
Les preuves non éphémères sont des données qui persistent même en cas de perte d’alimentation, comme des images physiques (une copie bit à bit des données sur le disque).
Vérifier le chiffrement BitLocker
BitLocker est une fonction de chiffrement de volume intégral des produits Microsoft Windows conçue pour protéger les données en assurant le chiffrement de volumes entiers. Si vous recueillez des données chiffrées BitLocker, assurez vous d’avoir la clé de récupération BitLocker à portée de main.
Pour en savoir plus
- Avez vous été victime de cybercriminalité? (ITSAP.00.037)
- Étapes à suivre pour déployer efficacement l’authentification multifacteur (AMF) (ITSAP.00.105)
- Mesures de cybersécurité de base à l’intention des petites organisations (ITSAP.10.300)
- Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
- Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032)