Cyberattaque – quels sont les bons réflexes?
Sandra Lüthi, experte en sensibilisation et prévention, Centre national pour la cybersécurité NCSC
En raison de leur activité publique, les collaboratrices et collaborateurs administratifs des villes se trouvent dans une position clé au sein de la chaîne de sécurité informatique. Ils travaillent avec des infrastructures informatiques et des outils qui leur permettent d’accéder, de saisir et de traiter des informations sensibles. Pour remplir leur mandat légal, il leur est indispensable d’enregistrer, de traiter et, dans certains cas, de transmettre diverses données personnelles concernant les habitantes et habitants, le personnel et les entreprises. Ils sont en outre quotidiennement en contact étroit avec des partenaires internes et externes via divers canaux de communication. Dans le cadre de leur activité, ils sont soumis au secret de fonction et tenus de traiter les affaires de service de manière confidentielle. En raison de la forte dépendance par rapport à l’infrastructure informatique, la liberté d’action d’une administration urbaine peut, en cas de cyberincident, se voir compromise rapidement, durablement et de manière à mettre en péril son mandat.
Quelques administrations urbaines, étant conscientes de ces enjeux, ont d’ores et déjà bien intégré le thème de la cybersécurité. Il en existe cependant d’autres qui doivent rattraper le retard en la matière. Des lacunes peuvent notamment être constatées en ce qui concerne l’absence de mesures de sensibilisation, de formation, d’accords passés avec les prestataires de services informatiques et d’expérience pratique en matière de gestion d’une cyberattaque.
Préparation aux crises
Afin de vous préparer le mieux possible à un éventuel incident de cybersécurité, vous devriez réfléchir dès maintenant à la manière dont vous réagiriez à une situation de crise. C’est le seul moyen de savoir si vous êtes prêts en cas d’urgence. Définissez avec votre responsable informatique les consignes de sécurité minimales et contraignantes au niveau organisationnel, personnel et technique dans le domaine de la sécurité informatique. Clarifiez avec lui ou elle les processus et les responsabilités aussi bien en temps normal qu’en cas d’incident de cybersécurité. Consignez-les dans un plan de gestion continue afin d’assurer la continuité de vos activités. Ce plan devrait également prévoir un concept de communication et de crise. Définissez en outre un contact d’urgence à joindre en cas d’incident de cybersécurité. Vous trouverez d’autres recommandations concernant la collaboration avec les prestataires de services informatiques sur le site Web du Centre national pour la cybersécurité (NCSC) sous le bouton «Informations pour les autorités» dans la rubrique «Thèmes actuels»[1]. Un autre aspect d’une haute importance réside dans la sensibilisation et la formation des collaboratrices et collaborateurs. Des moyens actuels de sensibilisation sont présentés sur le site Web de la campagne annuelle de sensibilisation à la cybersécurité S-U-P-E-R.ch.
Vous avez en outre la possibilité de demander l’accès à la nouvelle formation en ligne du Réseau national de sécurité (RNS). Pour ce faire, veuillez vous adresser à info@elearningcyber.ch.
Par ailleurs, le cours EBAS destinés aux PME pourrait intéresser les administrations de petite et moyenne taille: www.ebas.ch/kmucourse.
Limitation des dommages en cas de cyberattaque
Lorsque survient une cyberattaque, il est important d’agir rapidement.
- Débranchez immédiatement les systèmes infectés par des logiciels malveillants du réseau. À cette fin, retirez le câble réseau de l’ordinateur et déconnectez le cas échéant les adaptateurs WLAN.
- Afin d’éviter toute propagation, interrompez les connexions Internet (Web, e-mail ainsi que les accès à distance et les accès VPN de chaque site).
- Vérifiez les sauvegardes de vos données et protégez-les immédiatement.
- Les sauvegardes doivent être au plus vite déconnectées physiquement du réseau infecté («mises offline»).
- En cas de cyberattaque, changez immédiatement les mots de passe. Dans les comptes de messagerie, vérifiez les éventuelles règles de transfert.
Contacter / déclarer / informer
- Alertez votre contact à joindre en cas d’urgence informatique.
- Réfléchissez à la question de savoir s’il convient de contacter la police et de porter plainte. Ne relancez pas les systèmes avant que la police ait relevé les indices.
- Le personnel de la police vous conseille et vous soutient dans la marche à suivre, il relève les indices et procède aux investigations. Informez la police via le numéro d’urgence 117.
Déclarez l’incident au NCSC via le formulaire en ligne: www.report.ncsc.admin.ch. - En cas de vol de données (p. ex. lors de rançongiciels), nous vous conseillons d’informer les personnes concernées de manière proactive. Clarifiez la question de savoir s’il existe une obligation légale de déclaration. Selon la nouvelle loi sur la protection des données, les violations de la sécurité des données doivent être déclarées auprès du PFPDT (art. 24 nLPD et art.15 LPDS). Pour ce faire, utilisez le formulaire en ligne: https://databreach.edoeb.admin.ch/report