En cas d’incident

Difficile de donner des consignes générales en cas d’incident. Le CERT-FR a tenté l’exercice avec une infographie assez générique, plutôt destinée aux petites structures[1].

En cas de découverte d’une faille, il est normalement obligatoire de la déclarer en bonne et due forme[2].

L’exception du ransomware

Dans le cas d’un ransomware, la meilleure solution est d’éteindre immédiatement la machine et de la couper de tout réseau, interne ou externe. En effet, le chiffrement des fichiers prend du temps, et avec un peu de chance éteindre la machine va arrêter le processus de chiffrement et épargner quelques fichiers.

Il y a bien eu quelques cas où il était possible de retrouver la clé en mémoire RAM tant que l’ordinateur n’avait pas été éteint, mais cela reste aléatoire et surtout cela expose à ce que l’ensemble des données accessibles à la machine infectée soient chiffrées et donc potentiellement perdues.