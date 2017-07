1. Isolez

Débranchez aussi vite que possible les appareils tels que les téléphones et les ordinateurs portables. Si vous êtes contaminé par un programme malveillant, retirez aussitôt le câble d’alimentation.

2. Collectez des informations

Qu’est-ce que c’est ? Quel est son mode opératoire ? Comment s’en prémunir ? Des équipes de désastre informatique nationales sont-elles disponibles ? Utilisez les plates-formes les plus pratiques pour diffuser ces informations : Twitter et les blogs de sécurité. Et bien sûr aussi la communication informelle entre entreprises.

3. Segmentez le réseau

Isolez le protocole infecté dans le trafic réseau. C’est une décision difficile : allez-vous contrer la diffusion du programme malveillant ou bien maintenir vos processus métier ?

4. Déployez des contre-mesures

Utilisez des Indicateur de compromission (IOC) et mettez à jour votre Système de détection des intrusions (IDS) et les paramètres du firewall, des systèmes AV et d’autant de serveurs et clients Windows que possible. Dans l’intervalle, les fournisseurs d’anti-virus travaillent évidemment sur une réponse adaptée à l’attaque.

5. Croisez les doigts et espérez

Anticipez l’avenir. Qu’est-ce qui se prépare ? Peut-être une nouvelle variante ? Tous les systèmes ont-ils eu leur patch ? L’organisation doit-elle craindre de figurer dans les journaux demain ? Une chose a-t-elle été perdue de vue dans l’urgence ? Étudiez tous les scénarios et essayez ainsi d’éviter un nouveau problème.

« Les attaques de ransomware comme WannaCry ou Petya nous montrent que les organisations doivent réagir avec une gestion des incidents et un flux d’informations en temps réel. Lorsqu’une organisation constate qu’elle est visée par une attaque de ransomware, elle prend dans l’urgence des mesures qui causent souvent encore plus de problèmes. Les organisations doivent collecter des preuves pour effectuer une analyse ultérieure, sauvegarder leurs messages de logs et consigner leurs activités au moyen de solutions de gestion des sessions. Tout cela doit être fait par mesure de précaution au cas où le système devrait être remis à zéro après une erreur humaine. »

Csaba Krasznay