Comment éviter de perdre ses données ? Guide des bonnes pratiques

Assistance cyber

Ransomwares & compromission

TRACIP intervient pour résoudre vos incidents de sécurité numérique à la suite d’attaques par ransomwares ayant entrainé le chiffrement de vos données critiques ou en cas de soupçons liés à la compromission de vos appareils numériques.

Nos experts à votre service

Vos données sont chiffrées suite à une attaque et vous ne pouvez plus y accéder ou vous pensez avoir été victime d’un piratage ?

Intervention à la suite d’incident de type ransomware (rançongiciel)

Une attaque par ransomware est détectable rapidement. Vous n’avez en général plus accès à votre système d’information qui est intégralement chiffré. Afin de débloquer la situation, l’assaillant réclame le paiement d’une rançon.

Parmi les recommandations gouvernementales en cas d’attaque de ce type : débranchez la machine d’Internet. Ne payez pas la rançon. Déposez plainte. Identifier la source de l’infection et appliquez une méthode de désinfection (source : www.cybermalveillance.gouv.fr).

Ces démarches nécessitent parfois de faire appel à des professionnels qualifiés dont l’annuaire est disponible depuis ce même site.

Nous pouvons intervenir à vos côtés pour identifier les éléments infectieux et en retracer l’origine, procéder à la recherche de compromission sur l’ensemble de votre parc numérique, récupérer toutes ou partie des données perdues et sécuriser l’ensemble des éléments de preuve à des fins d’analyse pour vous permettre d’alimenter un dépôt de plainte.

Notre méthode

Nous gérons à vos côtés la totalité du processus de crise : notre équipe d’intervention déploie un kit dédié aux interventions par ransomwares (serveurs, équipements réseaux, boîtiers de scan rapides…). Cette infrastructure sécurisée a pour but d’identifier rapidement des machines compromises afin d’endiguer la propagation du malware ou les déplacements de l’attaquant le cas échéant.

Un plan d’intervention est rapidement proposé et mis en place avec la direction de l’entité ainsi que l’équipe d’administration réseaux & systèmes le cas échéant. L’ensemble des machines identifiées comme infectées sont isolées à des fins d’analyse. En parallèle l’ensemble des périphériques amovibles (clés USB, disques durs externes, téléphones portables, etc.) sont analysés de manière systématique afin de ne laisser aucune place au doute. L’objectif étant de pouvoir redémarrer l’activité dans les délais les plus courts et dans les conditions de sécurité optimales.

Quand cela est possible, notre équipe cyber s’appuie sur notre laboratoire de récupération de données pour tenter de récupérer les informations perdues en raison de l’attaque.

Afin de permettre un dépôt de plainte recevable, chaque machine incriminée fait l’objet d’une sécurisation des éléments de preuves.

Une analyse est lancée par la suite en laboratoire afin d’établir le type de malware utilisé, caractériser l’attaque et décrire le mode opératoire mis en œuvre par l’attaquant.

Recherche de compromission sur supports informatiques

La recherche de compromission s’adresse à toute personne ou entité qui soupçonne l’un de ses appareils numériques (smartphones, ordinateurs, tablettes…) d’avoir été infecté par un malware (virus) ayant des objectifs variés (exfiltration d’informations, écoute…).

Les signaux qui peuvent vous alarmer :

  • Le comportement inhabituel de votre téléphone ou de votre ordinateur
  • Des numéros inhabituels qui apparaissent sur vos factures de téléphone
  • Une usurpation d’identité

Dans toutes ces situations, une levée de doute peut s’imposer.

Dans le cadre d’une suspicion de compromission, nous proposons différents niveaux d’intervention; de la levée de doute rapide jusqu’à l’analyse approfondie.

Les opérations réalisées sont simples :

  • Nous réceptionnons votre équipement pour analyse directement sur nos sites de Paris ou Nancy, soit par voie postale.
  • Nous procédons à une sécurisation des données en mettant en œuvre des techniques d’extraction avancées. (aucune altération n’est faite sur vos équipements sans votre accord préalable).
  • Nous procédons à l’analyse de ces extractions.

Selon les cas, nous proposons une analyse sous plusieurs formes :

  • Analyse rapide : qui correspond à un scan rapide de votre support en comparaison à des bases connues de malwares.
  • Analyse minutieuse : une analyse plus longue mais plus exhaustive de votre appareil à la recherche d’activités suspectes tout en mettant en œuvre de la rétro-ingénierie des éléments pertinents

A la suite de l’analyse, nous rédigeons un rapport technique. Dans ce rapport, nous décrivons les opérations réalisées et nous expliquons les résultats.

En cas de compromission, nous pouvons rédiger un rapport plus poussé afin d’alimenter le dépôt d’une main courante; voire l’ouverture d’une enquête judiciaire.