Une checklist pour se préparer à une attaque par ransomware
Réalisée par des spécialistes du cabinet d’avocats Vischer, de l’unité forensique de EY et du courtier en assurances Kessler, une checklist réunit des recommandations pour se préparer et réagir à une attaque par ransomware.
Comment les entreprises peuvent-elles se préparer juridiquement à une attaque par ransomware? Que faut-il faire dans les 72 heures suivant une attaque? Et à quoi faut-il faire attention à plus long terme? Une checklist réalisée par trois spécialistes de domaines complémentaires - le cabinet d’avocats Vischer, l’unité sécurité & forensique d’EY et le courtier en assurances Kessler -, une checklist répond à ces questions et à d'autres. Disponible en ligne, la liste de contrôle énumère les principales étapes que les entreprises doivent suivre avant, pendant et après une attaque.
«Lors d'un cyberincident, on constate souvent en premier lieu que le plan d'urgence est obsolète, que les canaux de communication ne sont pas disponibles et que les personnes responsables ne travaillent plus dans l'entreprise», peut-on lire dans la liste. Dans la section consacrée aux mesures à prendre avant l'attaque, les spécialistes recommandent entre autres d'établir une politique de notification des incidents de protection des données, dans laquelle les responsabilités locales et centrales sont définies.
Dans la même section, les experts recommandent de s'assurer que les anciennes données sont supprimées partout et complètement, car «les données volées lors d'une attaque se révèlent souvent être des données que la victime aurait dû supprimer depuis longtemps». La section contient également des recommandations sur des sujets tels que la sensibilisation des employés ou les sauvegardes régulières.
En cas d'attaque par ransomware, il faut d'abord déterminer si des données critiques ont été récupérées et comment elles pourraient être utilisées à mauvais escient. D'un point de vue juridique, il faut également vérifier à quelles personnes, autorités et partenaires l'incident doit être signalé. Les collaborateurs et la compagnie d'assurance doivent être informés rapidement. Il faudrait en outre envisager d'informer volontairement les clients, les partenaires clés ou les médias. «Soyez ouvert, mais évitez les détails et les accusations», écrivent les spécialistes.
A plus long terme, les entreprises devraient documenter tous les dommages, même ceux qui présentent peu de risques. Les coûts que l'incident a entraînés doivent également être consignés., y compris le temps de travail supplémentaire et les pertes commerciales. Les autorités et les partenaires importants doivent être tenus au courant et les processus internes de l'entreprise doivent être mis à jour conformément aux "Lessons Learned".
La check-list complète (PDF) peut être téléchargée gratuitement sur le site web de Vischer.
