Scam

Les premières actions

Les premiers réflexes à avoir vont tous converger dans un seul but : protéger les équipements qui ne sont pas encore corrompus.

  1. Déconnecter le système de sauvegarde du réseau. Les sauvegardes seront dans la majorité des cas le seul moyen de retrouver rapidement des données
  2. Couper l’accès à Internet de toute l’entité
  3. Arrêter tout le réseau interne : switchs réseaux, bornes Wifi afin qu’aucun équipement ne puisse communiquer avec un autre
  4. Dans la mesure du possible, et pour permettre une analyse des traces mémoires, il est recommandé de ne pas éteindre les équipements . Ne rien effacer également pour permettre une enquête approfondie
  5. En cas de doute sur un chiffrement en cours sur un équipement, éteindre cet équipement afin de bloquer le chiffrement
  6. Essayer de conserver au moins un équipement chiffré sous tension (ne pas le redémarrer ni l’arrêter) mais déconnecté du réseau. Cet équipement servira de preuve et de moyens d’investigation par des personnes spécialisées ou les services de police judiciaire.

Et ensuite ?

La seconde phase consistera à alerter les services qui permettront la remédiation (remise en état nominal) de votre production informatique. Pour cela, contacter votre CSIRT.