Réagir à une attaque informatique : 10 préconisations 1 Lorsqu’un incident se p

Réagir à une attaque informatique : 10 préconisations 1 Lorsqu’un incident se produit au sein d’un système d’information (SI), il peut engendrer des conséquences plus ou moins graves et variées. La nature de l’incident détermine s’il y a lieu de le porter à la connaissance des autorités judiciaires et d’entreprendre une action en justice par voie de dépôt de plainte. Préalablement à cette étape, il est important de s’assurer de la nature de l’incident (intentionnel ou accidentel), de vérifier qu’il n’est pas consécutif à une défaillance matérielle, ni à une opération de maintenance liée à la politique de mises à jour au sein du SI. Les questions qui se posent à la direction d’une entreprise :   Suis-je face à une attaque informa­ tique : un acte de malveillance, un sabotage, un piratage… ?   Est-ce un incident en cours ou passé ?   Que dois-je faire et si j’agis, quelles mesures dois-je prendre ?   Puis-je restaurer mon SI dans son état initial ?   Vers qui dois-je me tourner pour rapporter à la justice un incident délictuel survenu au sein de mon SI ?   Qui peut déposer plainte et comment procéder ? Beaucoup de questions sont en relation avec la collecte de la preuve numérique, sa loyauté, son authenticité, son intégrité et sa sécurité. Les préconisations contenues dans ce livret constituent des repères essen­ tiels pour appréhender la marche à suivre après un ou plusieurs incidents caractérisés d’origine délictueuse. Réagir à une attaque informatique : 10 préconisations DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE 2 Préconisation n°1 Définir la nature de l’incident La France possède un arsenal juridique complet dans les domaines liés à la cybercriminalité. Les infractions de la cybercriminalité se classent en deux catégories : La lutte contre la cybercriminalité s’organise notamment autour de : •  La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (dite loi informatique et liberté) n°78-17 du 6 janvier 1978 ; •  La loi relative aux atteintes aux systèmes de traitement automatisé de données (dite loi GODFRAIN) n°88-19 du 5 janvier 1988 ; •  La loi relative au secret des correspon­ dances émises par la voie des communi­ cations électroniques ; •  La loi pour la confiance dans l’économie numérique (LCEN) n°2004-575 du 21 juin 2004 ; •  La loi sur la liberté de la presse ; •  La loi relative aux jeux de hasard n°2010-476 du 10 mai 2010 (ARJEL). Ces infractions sont déclinées dans :    Le Code Pénal (définition des infractions et peines encourues) ;   Le Code de Procédure Pénale (règles de l’enquête judiciaire) ;   Le Code Monétaire et Financier (paie­ ments et transactions financières) ;   Le Code des Postes et des Communi­ cations Electroniques (dispositions relatives au service postal et aux communications électroniques) ;   Le Code de la Propriété Intellectuelle (contrefaçons, atteintes aux droits d’auteurs et à la propriété littéraire et artistique). •  Les infractions spécifiques aux technologies de l’information et de la communication (TIC) ; • Les infractions dont la commission est liée ou facilitée par les TIC. DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE 3 Les infractions spécifiques aux technologies de l’information et de la communication :   Art 323-1 à 323-7 du Code Pénal : les atteintes aux systèmes de traitement automatisé de données (accès ou maintien frauduleux, entrave au fonctionnement, détention de matériel ou logiciel spécifique, groupement formé ou entente établie) ;   Art 226-16 à 226-20 du Code Pénal : les infractions à la loi « informatique et libertés » (collecte frauduleuse, traitement de données à caractère personnelles, usurpation d’identité numérique) ;   Art. L163-3 à L163-12 du Code Monétaire et Financier : les infractions aux cartes bancaires (contrefaçon, falsification de moyens de paiement, détention de matériel ou logiciel spécifique) ;   Art. 434-15-2 du Code Pénal : les infractions au chiffrement (refus de remettre une clé de déchiffrement ou de la mettre en œuvre) ;   Art. 226-1 à 226-4 du Code Pénal : violation de la vie privée par captation à l’aide d’un dispositif technique, divulgation publique d’un enregistrement de la vie privée, conception, importation, location, détention, offre, d’outils de captation de la vie privée et des correspondances. DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE Préconisation n°2 4 Une attaque informatique a eu lieu, quelles sont les démarches techniques envisageables ? S’il y a une suspicion d’attaque informatique, il est important que des constatations tech­ niques soient effectuées dans les meilleurs délais. Plusieurs solutions peuvent être mises en place : ✔  Contacter un service de police ou de gendarmerie pour faire intervenir un spécialiste en cybercriminalité aux fins de constatations immédiates ; ou ✔  procéder soi-même aux constatations ; ou ✔ faire appel à un huissier ; ou ✔  faire appel à un expert ou une société spécialisée dans la réponse à incident. Ce qui n’est pas exclusif d’une plainte. Suivre les préconisations ci-après (3 à 9). DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE 5 Préconisation n°3 Quelles mesures conservatoires prendre au sein du SI ; à qui confier ces missions ? Quelles informations commu­ niquer au service enquêteur ? Même sans connaître précisément la nature de l’incident, son origine et son impact réel, des mesures d’urgence doivent être prises afin de limiter les dommages et préserver les traces utiles :   Confiner :   mettre en quarantaine les postes informatiques concernés par l’incident ;   écarter et protéger les supports informatiques concernés avec l’incident : clé USB, CD, DVD, disques durs (internes/externes) ;   Isoler :   couper tous les accès réseaux pour stopper l’incident ;   Sauvegarder :   les journaux d’activités (connexions Web, événements systèmes, …) ;  les documents, emails, fichiers ;   le trafic réseau supervisé (firewalls, IDS, etc...) ;   copie de supports informatiques ;   l’acquisition de mémoire vive ;   Collecter les renseignements internes :   auprès des premières personnes à avoir détecté l’incident et à avoir donné l’alerte ;   auprès des employés témoins de l’incident ;   Collecter les renseignements externes :   auprès des prestataires de services (télé­ communications, développement d’ap­ plication, maintenance matériels, …) ;   Communiquer :   aux personnels ciblés de l’entreprise les recommandations adaptées à la gestion de l’incident ; Ces dispositions exceptionnelles seront prises en compte par l’unité chargée de la sécurité des systèmes d’informa­ tion, composée de généralistes capables d’appréhender tous les aspects de l’incident (système, réseau, …). Le processus de gestion d’un incident ne peut s’improviser. Il doit être organisé et dans la mesure du possible avec :   des procédures ;   des moyens matériels (stockage notamment);   des moyens humains (identifications des rôles clés). DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE 6 Les informations utiles pour le service enquêteur seront principalement :   La topologie (périmètre de l’incident) :   Un descriptif de l’architecture du système informatique compromis.   L’historique :  Contexte de l’incident ;  Evolution dans le temps ;  Début et fin de l’incident.   L’observation :   De l’ensemble des données réseaux sur la période de l’incident (protocoles, statistiques de flux…).  L’acquisition :   Duplication des systèmes touchés par l’incident avant et après sa survenance.   La documentation :   Archiver dans un rapport tous les détails et l’analyse de l’incident. La rapidité de réaction et de gestion de l’incident est évidement cruciale. DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ) Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE POLICE NATIONALE Préconisation n°4 Comment préserver la preuve numérique et valider son authenticité, son intégrité, sa probité ? Le travail d’analyse d’un incident peut dans certains cas, modifier voire effacer les traces laissées par l’attaque informatique. Il deviendra alors difficile de différencier celles laissées par l’attaque et celles géné­ rées par le traitement de l’incident. Il est donc préférable de figer le système en l’état et de faire une copie des données utiles avant de résoudre l’incident. La valeur des informations ainsi collec­ tées dépend de la manière dont elles ont été acquises. La méthode de collecte varie selon le type d’informations ciblées. À titre d’exemple :   uploads/Finance/ 2016-10-preconisations-face-cybercriminalite.pdf

Documents similaires

ROYAUME DU MAROC MINISTERE DE L'AGRICULTURE DE LA PECHE MARITIME DU DEVELOPPEME 0 0

DOCUMENT DE POLITIQUE ET STRATEGIE NATIONALES DE LUTTE CONTRE LE BLANCHIMENT DE 0 0

Les bienfaits de la natation sur l'asthme Quotidien national d’information — 20 0 0

1 LES GRANDS DOSSIERS DU MAROC PRELUDE L’histoire contemporaine du Maroc fût ma 0 0

www.dknews-dz.com Jeudi 23 février 2017 - 26 Djumada Al-Oula 1438 - N° 1539 - 4 0 0

Quotidien national d’information — 20, rue de la Liberté - Alger — Tél. : (021) 0 0

LA GESTION DU RISQUE DE TAUX Réalisé par : EL YAHYAOUI Abdessamad KHALBI Hajar 0 0

• Détails
• Publié le Oct 13, 2021
• Catégorie Business / Finance
• Langue French
• Taille du fichier 4.7608MB