Resource Center

Le présent document fournit des lignes directrices pour les critères généraux, pragmatiques et techniques génériques, de même que quelques références pertinentes pour les solutions de sécurité Antivirus, EDR et XDR. Dans le contexte actuel, une stratégie de défense en profondeur est nécessaire et les organisations doivent se préparer de manière adéquate. Cela comprend de nombreux aspects tels que des politiques et procédures appropriées, la formation (sensibilisation) des utilisateurs finaux, des processus de gestion des vulnérabilités, une bonne gestion des configurations, des pares-feux (locaux), des protections des applications Web (WAF), des systèmes de gestion des informations et des événements de sécurité (SIEM), des systèmes de détection des intrusions (IDS), une segmentation adéquate du réseau, la gestion des appareils mobiles, etc.Le déploiement et la gestion d’un antivirus, d’un EDR (endpoint detection and response) et même d’un XDR (extended endpoint detection and response) font partie de la solution requise pour atteindre cet objectif.Le présent document fournit des lignes directrices pour les critères généraux, pragmatiques et techniques génériques, de même que quelques références pertinentes pour les solutions de sécurité Antivirus, EDR et XDR. Download Guidelines (.PDF)

La question n’est pas de savoir « si » vous serez un jour victime d’une cyberattaque, mais plutôt « quand » cela vous arrivera. Mieux vaut donc s’y préparer comme il se doit. Voici nos recommandations pour une communication de crise lors d'une cyberattaque. Avant l'incident ÉTAPE 1 : Dresser une analyse des risquesIdentifiez et décrivez les cyberattaques risquant de toucher votre entreprise ou organisation et les répercussions qu’elles engendreraient pour la continuité du service ou de la production. Les attaques les plus courantes sont :Une attaque de type « ransomware »Un ransomware est un virus qui s’installe sur un appareil à l’insu de son propriétaire. Le « rançongiciel » prend en otage (et crypte) l’appareil et les fichiers et exige une rançon.Une attaque de type DDOSEn lançant une attaque de type DDOS ou une attaque « Distributed-Denial-Of-Service », les cybercriminels essaient de mettre hors service un serveur Internet en le surchargeant d’un très grand nombre de demandes de pages. Une attaque de type DDOS en tant que telle ne présente pas spécialement de danger, mais c’est une ruse largement utilisée par les cybercriminels pour dissimuler une autre attaque ou comme moyen de pression supplémentaire lors d’une attaque de type « ransomware », par exemple.Un virus sur le réseauL’escroquerie, dont la fraude au CEO par exempleUne fuite de données, une infraction à la législation RGPD… Image ÉTAPE 2 : Documenter et organiser Consultez le plan de crise ou le plan de gestion des incidents de cybersécurité de votre entreprise ou organisation. Vérifiez si la communication de crise y est reprise et, si oui, de quelle façon. Le plan contient-il au moins les éléments suivants ? Une liste des contacts pour l’assistance (sur papier) : à qui pouvons-nous faire appel en cas d’incident ? Une liste des contacts des collaborateurs, parties prenantes, partenaires et de la presse (sur papier) : qui devons-nous informer de l’incident ? Un récapitulatif des canaux de communication pouvant être utilisés en cas de cyberattaque (donc aussi les canaux hors ligne). Un récapitulatif des messages principaux : pour une série de cyberattaques très fréquentes, vous pouvez préparer un bref message à mobiliser en cas de cyberattaque. Une répartition des tâches, une énumération des différents rôles en cas de cyberincident et des tâches assignées à chaque rôle. Management / équipe de crise Service de communication / porte-parole Service juridique / coordinateur du plan d’urgence / responsable de la sécurité / DPO Évaluer la cyberattaque Gérer la crise Assurer la continuité de l’organisation Faire un retour à l’intention du service de communication Valider les messages destinés à la communication Les modalités du rôle de porte-parole sont à déterminer à chaque incident, en fonction de l’ampleur/de la menace/du caractère sensible/du thème Rassembler des informations Conseiller l’équipe de crise Se charger de la rédaction (adapter le message aux différents groupes cibles et canaux) Gérer les canaux de communication : envoi des e-mails/publication web/Twitter… S’occuper de la presse, l’informer, la rediriger ou lui répondre directement Assurer un accompagnement dans le suivi du plan d’urgence et des scénarios d’incidents Effectuer une évaluation permanente des actions par rapport au cadre légal et aux missions légales Fournir des conseils juridiques à la cellule de coordination Assurer le suivi et la coordination de la communication d’informations classifiées et des données à caractère personnel Prendre les contacts avec l’autorité de protection des données   ÉTAPE 3 : Mettre le plan à l’épreuve Chaque entreprise ou organisation devrait organiser au moins une fois un exercice de cyberincident. Veillez à impliquer dans cet exercice le service de communication ou le responsable de la communication. Image Pendant l'incident Pendant un incident, une bonne communication est cruciale pour ne pas perdre de temps et limiter l’atteinte à votre réputation. Respectez cet ordre de priorité dans votre communication. Informez successivement : Vos collaborateurs Vos parties prenantes Vos partenaires Vos clients La presse Dès que vous faites une communication à vos collaborateurs, vous devez également informer au plus vite les autres parties. Il est en effet illusoire d’imaginer que les collaborateurs traiteront l’information en toute confidentialité. En d’autres termes, l’information fuitera vite au-delà de votre organisation. Si des données personnelles risquent d’avoir été volées ou d’avoir fuité, vous devez prendre contact avec l’autorité de protection des données. Déterminez les messages : Envisagez de communiquer de façon proactive. Avant même que l’incident ne « fuite », vous pouvez en principe déjà communiquer. Ce principe porte le nom de « stealing thunder ». Vous diffusez vous-même la (mauvaise) nouvelle avant que la presse ne s’empare du sujet et construise son propre récit. En communiquant de façon proactive, vous avez toutes les chances de pouvoir garder la main sur la communication. Élaborez immédiatement un message de garde. Communiquez les éléments suivants : « We know » : nous avons connaissance des faits. « We do » : nous nous chargeons désormais des éléments suivants, nous travaillons à une solution. « We care » : nous prenons l’incident très au sérieux, nous montrons de l’empathie. « We are sorry » : nous regrettons l’incident, nous présentons nos excuses. « We’ll be back » : nous précisons quand nous reviendrons avec un complément d’informations.  Déterminez les messages principaux Que s’est-il passé ? Comment cela a-t-il pu se passer ? Qui en était responsable ? Quelles sont les conséquences ? Pour les collaborateurs, les clients, les partenaires… Que faisons-nous pour remédier aux dégâts occasionnés ? De quelle solution disposons-nous ? Que ferons-nous pour éviter cela à l’avenir ? Déterminez le ton : Montrez de la sympathie lorsqu'il y a des victimes. Présentez vos excuses si une erreur a été commise. Ne soyez pas sur la défensive, mais montrez bien ce qu’a fait votre organisation pour éviter l’incident ou y remédier au plus vite. Il n’y a pas à avoir honte, vous êtes victime de criminels et cela peut arriver à tout le monde. Ne réagissez pas de façon agressive aux questions accusatrices, pointez plutôt les « enseignements tirés ». « No comment » : l’absence de réaction aux questions est un message en soi, souvent interprété comme « ils ont dû commettre une faute » ou « ils doivent avoir quelque chose à cacher ». Choisissez un porte-parole. Conseils pour les porte-paroles : Montrez de l’empathie. Ne mentez pas. Faites preuve de transparence. Anticipez les questions difficiles et préparez-les. Utilisez les ficelles du métier pour toujours en revenir au message principal. Soyez clair et concis. Évitez le jargon spécialisé / le jargon informatique. Embûches En cas de cyberattaque, vos principaux canaux de communication risquent d’être indisponibles : intranet, e-mail, site Internet. Réfléchissez à l’avance à des canaux alternatifs pour atteindre les différents groupes cibles. Si la cyberattaque fait l’objet d’une enquête judicaire, il se peut que vous deviez traiter les informations avec la plus grande prudence. Mais ne vous servez pas de cette excuse pour ne pas communiquer du tout ou ne pas communiquer en toute transparence. L’attribution d’une cyberattaque : soyez toujours prudent avant de désigner un auteur potentiel de l’attaque. Il est toujours très difficile à déterminer pour les cyberattaques. Après l’incident Une organisation qui prend l’initiative de partager les enseignements tirés d’un incident dans une publication, un blog, une conférence ou une journée d’étude témoigne d’une grande maturité.  Image Plus d’infos« Un guide en communication de crise », Centre national de crise: https://centredecrise.be/sites/default/files/documents/files/2021-03/guide_fr.pdfCOMM Collection 7: Faire face à la crise, guide pratique pour communiquer en cas de crise: https://fedweb.belgium.be/fr/publications/cc07_prevoir_gerer_communication_de_criseCybersécurité guide de gestion des crises: https://ccb.belgium.be/sites/default/files/cybersecurity-incident-management-guide-FR.pdfDécouvrez nos webinaires

Il est impossible de prévenir les cyberattaques à 100%, mais nous ne sommes certainement pas impuissants. Comme les cyber-experts et les entreprises de sécurité ne cessent de le rappeler, les mesures de sécurité de base peuvent faire une grande différence, non seulement pour l'internaute individuel mais aussi pour les entreprises et les organisations: reconnaître et prévenir les tentatives de phishing, utiliser des mots de passe forts et une authentification à deux facteurs (2FA), appliquer les correctifs et mises à jour régulières des systèmes restent des facteurs-clés d’une bonne cyb Les bases de la sécurité Il est impossible de prévenir les cyberattaques à 100%, mais nous ne sommes certainement pas impuissants. Comme les cyber-experts et les entreprises de sécurité ne cessent de le rappeler, les mesures de sécurité de base peuvent faire une grande différence, non seulement pour l'internaute individuel mais aussi pour les entreprises et les organisations: reconnaître et prévenir les tentatives de phishing, utiliser des mots de passe forts et une authentification à deux facteurs (2FA), appliquer les correctifs et mises à jour régulières des systèmes restent des facteurs-clés d’une bonne cyberdéfense. Nous recommandons aux entreprises et aux organisations d'élaborer un (cyber)plan d'urgence, de le mettre à jour et de le tester régulièrement. Il est important que chaque employé(e) sache quelle est sa tâche en cas de cyberincident (Voir le webinaire conscacré aux cyberincidents via https://www.youtube.com/watch?v=ETtBwTZWsm4) Tenez à jour vos listes de contacts et conservez-les également sur papier. Si nécessaire, demandez l'aide d'un partenaire ou d'une entreprise externe. A cet égard, prenez des dispositions à l’avance. Utilisez l’authentification à deux facteurs (2FA) lorsque c’est possible, tant sur les comptes individuels que sur les comptes de médias sociaux des entreprises ou organisations.  Assurez-vous que vos systèmes sont à jour et conservez toujours les sauvegardes essentielles et pertinentes hors ligne. Pour un aperçu complet des mesures de sécurité, veuillez consulter le cyberfundamentals: https://ccb.belgium.be/fr/cyberfundamentals-framework.  Check-list pour renforcer rapidement votre sécurité Prévention des ransomwares ou wiperwares Travaillez à l'introduction du 2FA ou du MFA pour les accès les plus importants de l'entreprise. Il est important que vos appareils soient protégés par un logiciel antivirus, mais une protection spécifique contre les ransomwares est également devenue indispensable. Installer un logiciel anti-ransomware peut également faire la différence. Il est crucial de reconnaître les faux messages à temps et donc d’entraîner régulièrement les utilisateurs à les reconnaître. Effectuer des mises à jour régulières sur tous vos systèmes est vital. Enfin, faites des sauvegardes régulières (et stockez les backups essentiels hors-ligne) au cas où vous seriez victime de ce type d’attaques. Assurez-vous d'avoir un plan de continuité et de reprise des activités avec un système de sauvegarde testé et donc fonctionnel. Faites vérifier votre architecture et votre politique de sécurité informatique par un spécialiste (en ce compris la politique en matière de correctifs, de formation des utilisateurs, de segmentation du réseau, …) Lisez nos conseils complets: https://www.cert.be/sites/default/files/ransomware_2019_fr.pdf Mitigation des attaques DDoS Soyez prêt à faire face à une attaque DDoS. Vérifiez si vos systèmes exposés à l’internet sont suffisamment protégés contre une attaque DDoS. Soyez attentif aux autres attaques qui peuvent se "cacher" derrière l'attaque DDoS. Il existe des services et des produits qui permettent d'atténuer une attaque DDoS. Dressez un inventaire pour savoir si l'utilisation de ces services est pertinente pour votre organisation. Lisez nos conseils complets: https://www.cert.be/fr/paper/ddos-protection-et-prevention Reconnaître le phishing à temps Soyez très attentif aux éventuelles attaques de phishing. Faites comprendre aux employés que les communications inhabituelles provenant de contacts professionnels sont également suspectes. Demandez aux employés de signaler les courriels suspects au service informatique. Faites toujours suivre les messages suspects à suspect@safeonweb.be. Détecter rapidement les campagnes de désinformation La diffusion de la désinformation par des canaux piratés est une menace. Soyez attentif aux éventuels abus des canaux de communication publics de votre organisation (sites web et médias sociaux). Surveillez les activités sur les comptes de médias sociaux de votre organisation. Soyez attentif aux tentatives de connexion suspectes et déviantes. Utilisez l’authentification à deux facteurs (2FA). Rappelez aux employés d'être prudents lorsqu'ils partagent des informations sur les médias sociaux. Détecter les actions anormales dans les réseaux professionnels Investissez dans la surveillance et la journalisation de votre réseau (logging et monitoring). Soyez très attentif à tout trafic inhabituel voire anormal sur les systèmes et dans le réseau. Vérifiez si les solutions anti-virus sont à jour. Lien vers le webinaire: ‘logging et monitoring’: https://youtu.be/uuqB7guF4UY Trouver et mettre à jour les systèmes vulnérables Suivez nos conseils et avertissements sur cert.be Vérifiez les vulnérabilités connues des systèmes principaux et des systèmes exposés à l'internet. Prêtez également une attention particulière aux vulnérabilités fréquemment utilisées, par exemple récemment Log4j. https://www.cert.be/fr/warning-active-exploitation-0-day-rce-log4j Dans certains cas, une mise à jour pour une vulnérabilité n'est pas encore disponible. Dans ce cas, prenez des mesures d'atténuation (décrites au cas-par-cas, souvent via des publications des vendeurs à propos de la vulnérabilité en question), p.ex. la restriction de l'accès à un système vulnérable. Que faire après une cyberattaque ? Premiers secours après une cyberattaque: https://www.cert.be/fr/premiers-secours-en-cas-de-cyberattaque Regardez le webinaire: https://www.youtube.com/watch?v=UbMMWqKzHQ0 Si vous êtes victime d'une cyberattaque ou si vous avez remarqué un acte très inhabituel sur vos réseaux, veuillez le signaler à l'adresse suivante: https://www.cert.be/fr/signaler-un-incident-0. Download Boosting your Organisation's Cyber Resilience - Joint Publication, ENISA and CE…