Comment savoir si j'ai été piraté?

Les signes courants incluent: lenteur ou plantages système inhabituels, comptes bloqués, messages de rançon, réinitialisations de mot de passe inattendues, emails étranges envoyés depuis vos comptes, ou alertes des logiciels de sécurité. Si quelque chose semble anormal, enquêtez. Faites confiance à votre instinct.

Dois-je éteindre mon ordinateur?

Généralement non. Éteindre un ordinateur peut détruire des preuves forensiques en mémoire. Au lieu de cela, déconnectez-le du réseau (débranchez le câble ethernet, désactivez le Wi-Fi) mais laissez-le allumé. L'exception: si un ransomware chiffre activement des fichiers et se propage, éteindre peut limiter les dommages.

Dois-je signaler une violation?

Ça dépend. Sous le RGPD, les violations impliquant des données personnelles doivent être signalées à l'autorité de protection des données dans les 72 heures si elles présentent un risque pour les individus. Sous NIS2, les incidents significatifs doivent être signalés dans les 24 heures. Même si ce n'est pas légalement requis, signaler au CCB (cert@ccb.belgium.be) peut vous aider à obtenir de l'assistance et aide à protéger les autres.

Dois-je payer une rançon?

Nous le déconseillons fortement. Il n'y a aucune garantie de récupérer vos données, ça finance les organisations criminelles, et ça vous marque comme cible pour de futures attaques. Concentrez-vous sur la restauration depuis les sauvegardes. Si vous n'avez pas de sauvegardes, consultez les forces de l'ordre et des experts en cybersécurité avant de prendre des décisions.

Comment puis-je empêcher que ça se reproduise?

Concentrez-vous sur les bases: maintenez des sauvegardes régulières testées (avec copies hors ligne), activez l'authentification multi-facteurs partout, gardez les systèmes patchés et à jour, formez les employés à reconnaître le phishing, et ayez un plan de réponse aux incidents prêt. Envisagez d'implémenter le cadre CyberFundamentals pour une amélioration structurée de la sécurité.

Piraté? Voici Quoi Faire: Guide de Réponse aux Incidents

Signes Que Vous Avez Été Piraté

La première étape est de reconnaître que quelque chose ne va pas. Voici les signes courants d'une violation de sécurité:

Comportement système inhabituel

Performances lentes, plantages, programmes qui démarrent seuls

Bloqué hors des comptes

Les mots de passe ne fonctionnent plus, emails de réinitialisation inattendus

Messages de rançon

Fichiers chiffrés, messages exigeant un paiement

Activité réseau étrange

Transferts de données inattendus, connexions à des serveurs inconnus

Alertes de sécurité

Avertissements de l'antivirus, pare-feu ou outils de surveillance

Plaintes de clients

Signalements de spam depuis votre email, factures suspectes

Étapes Immédiates: Les 15 Premières Minutes

Lorsque vous soupçonnez une violation, ces premières actions sont critiques:

1

Pas de panique

Respirez. Les décisions précipitées causent souvent plus de dommages. Vous avez le temps de réfléchir.

2

Documentez ce que vous voyez

Prenez des photos des écrans, notez les messages d'erreur, les horodatages. Ces preuves sont cruciales.

3

N'éteignez pas les ordinateurs

Sauf si un ransomware se propage activement. Des preuves peuvent être perdues à l'arrêt.

4

Isolez les systèmes affectés

Déconnectez du réseau (débranchez les câbles, désactivez le Wi-Fi). N'éteignez pas.

5

Appelez votre partenaire IT

Si vous en avez un, contactez-le immédiatement. Il peut guider les prochaines étapes.

Plan de Réponse Étape par Étape

1

Contenir

Arrêter la propagation

Déconnectez les ordinateurs affectés du réseau
Désactivez l'accès à distance et les connexions VPN
Changez les mots de passe des comptes critiques (depuis un appareil propre)
Bloquez les adresses IP suspectes au pare-feu
Préservez les preuves—ne supprimez ou modifiez rien

2

Évaluer

Comprendre ce qui s'est passé

Identifiez quels systèmes sont affectés
Déterminez quelles données peuvent être compromises
Vérifiez les systèmes de sauvegarde—sont-ils intacts?
Examinez les logs de sécurité pour le point d'entrée
Identifiez le type d'attaque (ransomware, vol de données, etc.)

3

Communiquer

Informer les bonnes personnes

Informez la direction et le personnel clé
Préparez la communication client si des données sont affectées
Notifiez votre assurance cyber
Envisagez un conseiller juridique pour les obligations RGPD
Documentez toutes les communications

4

Récupérer

Restaurer les opérations

Vérifiez que les sauvegardes sont propres avant de restaurer
Reconstruisez les systèmes à partir d'images connues bonnes
Restaurez les données depuis des sauvegardes hors ligne
Réinitialisez tous les mots de passe dans l'organisation
Corrigez les vulnérabilités qui ont permis l'attaque

5

Signaler

Notifier les autorités si requis

NIS2: Signalez les incidents significatifs dans les 24 heures
RGPD: Notifiez l'autorité de protection des données dans les 72 heures si données personnelles affectées
Déposez plainte à la police pour enquête criminelle
Notifiez le CCB à cert@ccb.belgium.be pour assistance technique

6

Apprendre

Empêcher que ça se reproduise

Effectuez une revue post-incident
Identifiez ce qui a permis le succès de l'attaque
Mettez à jour les politiques et procédures de sécurité
Implémentez des contrôles de sécurité supplémentaires
Formez le personnel sur les leçons apprises

Qui Contacter

Avoir les bons contacts prêts avant un incident fait gagner un temps précieux:

Votre partenaire IT — Il devrait être votre premier appel. Ayez son numéro d'urgence accessible.

CCB CERT — L'équipe belge de réponse aux urgences informatiques: cert@ccb.belgium.be ou +32 2 501 05 60

Police locale — Déposez plainte pour l'assurance et l'enquête potentielle

Assurance cyber — Si vous avez une police, notifiez immédiatement

Conseiller juridique — Pour les obligations RGPD et questions de responsabilité

Exigences de Signalement NIS2

Si votre organisation relève de NIS2, vous avez des obligations de signalement strictes:

24 heures Alerte précoce à l'autorité compétente

72 heures Notification d'incident avec évaluation initiale

1 mois Rapport final avec analyse des causes

Devez-Vous Payer la Rançon?

C'est l'une des décisions les plus difficiles pour les entreprises. Notre recommandation: ne payez pas.

Pourquoi ne pas payer:

Aucune garantie de récupérer vos données
Finance les organisations criminelles et encourage plus d'attaques
Payer vous marque comme cible pour de futures attaques
Les outils de déchiffrement fonctionnent souvent mal
Peut violer les règlements de sanctions

Considérations d'Assurance Cyber

Si vous avez une assurance cyber, agissez rapidement:

Notifiez votre assureur dès que possible (vérifiez le délai dans la police)
Documentez tout—les assureurs ont besoin de preuves pour les réclamations
Suivez leurs exigences de réponse aux incidents
Gardez les reçus de toutes les dépenses liées à l'incident
N'admettez pas de responsabilité sans consulter votre assureur

Prévenir la Prochaine Attaque

Une fois rétabli, renforcez vos défenses:

Sauvegardes régulières — Testez-les régulièrement. Gardez des copies hors ligne.

Formation des employés — La plupart des violations commencent par du phishing. Formez votre équipe.

Authentification multi-facteurs — Activez-la partout où c'est possible.

Systèmes à jour — Corrigez les vulnérabilités rapidement.

Plan de réponse aux incidents — Ayez un plan écrit avant le prochain incident.

Surveillance de sécurité — Envisagez des services de détection et réponse gérés.