Lorsqu’un incident se produit au sein d’un système d’information (SI), il peut engendrer des conséquences plus ou moins graves et variées.

La nature de l’incident détermine s’il y a lieu de le porter à la connaissance des autorités judiciaires et d’entreprendre une action en justice par voie de dépôt de plainte.

Préalablement à cette étape, il est important de s’assurer de la nature de l’incident (intentionnel ou accidentel), de vérifier qu’il n’est pas consécutif
à une défaillance matérielle, ni à une opération de maintenance liée à la politique de mises à jour au sein du SI.

Les questions qui se posent à la direction d’une entreprise :

• Suis-je face à une attaque informatique : un acte de malveillance, un sabotage, un piratage… ?
• Est-ce un incident en cours ou passé ?
• Que dois-je faire et si j’agis, quelles mesures dois-je prendre ?
• Puis-je restaurer mon SI dans son état initial ?
• Vers qui dois-je me tourner pour rapporter à la justice un incident délictuel survenu au sein de mon SI ?
• Qui peut déposer plainte et comment procéder ?

…/…

Préconisation n°1

Définir la nature de l’incident

La France possède un arsenal juridique complet dans les domaines liés à la cybercriminalité.
Les infractions de la cybercriminalité se classent en deux catégories :

• Les infractions spécifiques aux technologies de l’information et de la communication (TIC) ;
• Les infractions dont la commission est liée ou facilitée par les TIC.

…/…

Préconisation n°2

Une attaque informatique a eu lieu, quelles sont les démarches techniques envisageables ?

S’il y a une suspicion d’attaque informatique, il est important que des constatations techniques soient effectuées dans les meilleurs
délais.

Plusieurs solutions peuvent être mises en place :

✔ Contacter un service de police ou de gendarmerie pour faire intervenir un spécialiste en cybercriminalité aux fins de constatations immédiates ;

ou

✔ procéder soi-même aux constatations ;

ou

✔ faire appel à un huissier ;

ou

✔ faire appel à un expert ou une société spécialisée dans la réponse à incident.

…/…

Préconisation n°3

Quelles mesures conservatoires prendre au sein du SI ; à qui confier ces missions ?

Quelles informations communiquer au service enquêteur ?

Même sans connaître précisément la nature de l’incident, son origine et son impact réel, des mesures d’urgence doivent être prises afin de limiter les dommages et préserver les traces utiles

• Confiner
• Isoler
• Sauvegarder
• Collecter les renseignements internes
• Collecter les renseignements externes
•   Communiquer
• …/…

Les informations utiles pour le service enquêteur seront principalement :

• La topologie (périmètre de l’incident)
• L’historique
• L’observation
• L’acquisition
• La documentation
• …/…

Préconisation n°4

Comment préserver la preuve numérique et valider son authenticité, son intégrité, sa probité ?

Le travail d’analyse d’un incident peut dans certains cas, modifier voire effacer les traces laissées par l’attaque informatique.
Il deviendra alors difficile de différencier celles laissées par l’attaque et celles générées par le traitement de l’incident. Il est donc préférable de figer le système en l’état et de faire une copie des données utiles avant de résoudre l’incident.
La valeur des informations ainsi collectées dépend de la manière dont elles ont été acquises. La méthode de collecte varie selon le type d’informations ciblées.

…/…

Préconisation n°5

Quels sont les moyens techniques de collecte de la preuve numérique ?

La preuve numérique revêt plusieurs aspects qu’il convient de maîtriser avant d’entreprendre sa collecte.
La compréhension de ses caractéristiques permet de ne pas commettre d’erreurs irrémédiables au moment de son acquisition.

La preuve numérique est :

• Physique : elle est fixée sur un support de stockage, persistante indépendamment de l’alimentation électrique.
• Logique : elle n’existe que sous la forme binaire (suite de « 0 » et « 1 ») représentant l’information et traduite par un système
  d’exploitation et des applications correspondantes.
• Volatile : car elle se trouve au sein d’un stockage dépendant de l’alimentation électrique (mémoire et réseau).
• Polymorphe : elle est à l’état brut, formatée, chiffrée, compressée, exécutable.
• …/…

Principes fondamentaux de la collecte de la preuve :

• MÉTHODOLOGIE ET TECHNICITÉ
• PRÉSERVER L’ÉTAT INITIAL DE LA PREUVE
• ÉVITER L’ALTÉRATION OU DESTRUCTION DE LA PREUVE
• BLOQUER L’ÉCRITURE SUR LE SUPPORT SOURCE (ORIGINAL)
• UTILISATION D’OUTILS SPÉCIFIQUES COMMERCIAUX

Préconisation n°6

Vers qui se tourner pour déposer plainte et remettre les preuves collectées ?

La plainte est l’étape préalable à l’ouverture d’une enquête judiciaire.
Toute personne morale ou physique qui s’estime victime peut déposer plainte, que l’auteur du fait soit identifié ou non. Dans ce dernier cas, la plainte est déposée contre X.

• Délais pour porter plainte
• Vers quels services se tourner pour déposer plainte ?
  • Le service territorial de police ou de gendarmerie le plus proche de votre entreprise
• …/…

Préconisation n°7

• Faut-il un statut particulier pour déposer plainte ?
• Quels éléments communiquer lors du dépôt de plainte ?
• Qui peut déposer plainte ?
• Quels documents apporter ?
• …/…

Préconisation n°8

• Que se passe t-il après le dépôt de plainte ?
• Quelles sont les attentes des enquêteurs ?
• …/..

Préconisation n°9

• Quelles sont les suites judiciaires de l’enquête ?
• Comment obtenir réparation du préjudice ?
• …/…

Préconisation n°10

• Anticiper, prévenir ; qu’est-il possible de faire pour améliorer la sécurité du SI afin de réduire les risques et menaces ?
• Mettre en place une politique de sécurité des systèmes d’information (cybersécurité) SSI
• Protéger les actifs
• …/…

Quelques principes de base

Voir plus loin que la technologie ;

• Penser à la mise en conformité légale, aux aspects juridiques de l’information et de la sécurité ;
• Soutenir la direction de l’entreprise dans la mise en place d’une politique de la SSI ;
• Dédier une ressource humaine responsable de la SSI ;
• Prévenir et former le personnel à la SSI ;
• Rester maître de son SI ;
• Toujours se remettre en cause ;
• Poser les fondamentaux : qu’est-ce qui est vital au sein du SI pour le fonctionnement a minima de l’entreprise ?
• Être prêt à faire face à l’incident, avoir une stratégie de réponse.

Que faire face aux risques et aux menaces en 10 bonnes actions ?

1. Bien communiquer sur la SSI : informer, sensibiliser, prévenir et former la direction et le personnel (charte de bon usage du SI, guide d’hygiène informatique) ;
2. Toujours maintenir le SI à jour (systèmes d’exploitation, antivirus, firewalls, applications) ;
3. Protéger les données stockées et transmises par des accès contrôlés et chiffrés ;
4. Sécuriser les équipements nomades (portables, tablettes, intelliphones) et éviter l’usage mixte «professionnel/personnel» ;
5. Limiter l’accès aux informations les plus sensibles à un nombre restreint de personnes ;
6. Fixer des règles de bon usage de l’internet et mettre en place des dispositifs de filtrage adaptées (listes noires/listes blanches) ;
7. Mettre en place une politique de droits d’accès par des mots de passe fort régulièrement changés, avec des identifiants uniques et exclusifs ;
8. Mettre en place des systèmes de sauvegarde contrôlés et redondants ;
9. Contrôler et tester régulièrement le niveau de sécurité du SI (tests d’intrusion, tests antivirus, etc…) ;
10. Savoir prévenir, agir et avoir une stratégie de retour à une situation normale en cas d’incident : cataloguer, catégoriser ; capitaliser la connaissance.

Guides et recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

• http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides

Consulter l’intégralité du document

• https://www.cybermalveillance.gouv.fr/wp-content/uploads/2017/05/Livret-B5-SDLC.pdf

Source :

• DIRECTION CENTRALE DE LA POLICE JUDICIAIRE (DCPJ)
• Sous-Direction de Lutte contre la Cybercriminalité (SDLC) – 101, rue des Trois Fontanot – 92000 NANTERRE

Visits: 14