Plan de Reponse aux Incidents pour PME : Un Guide Pratique pour les Entreprises Suisses
Pourquoi la Plupart des PME Ne Sont Pas Pretes pour un Incident Cyber
Voici une situation qui se produit chaque semaine en Suisse : une petite entreprise decouvre que son site web a ete pirate, que les donnees de ses clients ont ete volees, ou que le ransomware a chiffre ses fichiers. Le patron demande "qu'est-ce qu'on fait maintenant ?" et personne n'a de reponse.
Il n'y a pas de plan documente. Il n'y a pas de personne designee. Personne ne sait qui appeler. La ligne d'urgence du prestataire IT tombe sur la messagerie. Les heures passent. Les degats empirent.
Selon une enquete de l'Office federal de la statistique, plus de 36% des entreprises suisses ont subi un incident cyber l'annee derniere. Pour les PME au Tessin et en Suisse, la question n'est pas de savoir si un incident se produira, mais quand. Avoir un plan ne previent pas les incidents, mais reduit considerablement les dommages, le temps d'arret et le cout.
Les 6 Phases de la Reponse aux Incidents
Phase 1 : Preparation
Designer une Equipe de Reponse aux Incidents
Pour une PME, l'"equipe" peut etre 2-3 personnes avec des roles definis :
- Coordinateur de l'incident : La personne qui prend les decisions. Generalement le proprietaire de l'entreprise.
- Responsable technique : La personne (ou prestataire externe) qui gere la reponse technique.
- Responsable communications : La personne qui gere la communication avec les clients, employes, regulateurs et medias.
Creer une Liste de Contacts
- Prestataire IT : nom, telephone (urgence), email, details SLA.
- Consultant en cybersecurite : pour investigation et forensique.
- Conseiller juridique : pour obligations reglementaires.
- Assureur cyber : numero de police, telephone sinistres.
- NCSC : report@ncsc.admin.ch, +41 58 462 29 19.
- Police cantonale : pour plaintes penales.
- PFPDT (Prepose federal a la protection des donnees et a la transparence) : pour notifications de violation sous la nLPD.
S'assurer Que les Sauvegardes Existent et Sont Testees
Les sauvegardes sont l'outil de recuperation le plus efficace. Verifiez : sauvegardes automatiques quotidiennes, stockees dans un emplacement separe, au moins une copie hors ligne ou immuable, et restauration testee dans les 6 derniers mois.
Phase 2 : Identification
Signes Courants d'un Incident
- Activite de connexion inhabituelle.
- Defiguration du site web ou modifications non autorisees.
- Signalements de clients d'emails de phishing depuis votre domaine.
- Lenteur ou indisponibilite inattendue des systemes.
- Fichiers chiffres avec des demandes de rancon.
- Alertes des outils de surveillance de securite.
Preserver les Preuves
Avant toute modification, preservez les preuves : captures d'ecran, fichiers de log, horodatages. Ne redemarrez pas les systemes sauf si necessaire.
Phase 3 : Confinement
- Isoler les systemes affectes : Deconnecter les serveurs compromis du reseau.
- Changer les identifiants : Reinitialiser les mots de passe pour tous les comptes potentiellement compromis.
- Bloquer le vecteur d'attaque.
- Revoquer les tokens d'acces compromis.
Phase 4 : Eradication
Identifiez la cause principale. Causes courantes pour les PME : CMS non mis a jour, identifiants compromis, attaque de phishing, logiciel tiers vulnerable, serveur mal configure.
Supprimez tous les fichiers malveillants, portes derobees et comptes non autorises. Restaurez depuis les sauvegardes. Mettez a jour tous les logiciels. Pour en savoir plus sur la securisation de la connexion de votre site, consultez notre article sur la defense contre les attaques par force brute.
Phase 5 : Recuperation
| Type d'incident | Temps de recuperation typique (PME) | Facteur cle |
|---|---|---|
| Defiguration site web | Heures a 1 jour | Disponibilite des sauvegardes |
| Ransomware | Jours a semaines | Qualite des sauvegardes |
| Violation de donnees | Semaines a mois | Portee des donnees compromises |
| Compromission email (BEC) | Jours | Vitesse de detection |
| Attaque DDoS | Heures | Capacite CDN/WAF |
Phase 6 : Lecons Apprises
Dans les 2 semaines suivant la resolution, tenez une reunion avec tous les impliques. Repondez a : Que s'est-il passe ? Comment l'a-t-on detecte ? Qu'est-ce qui a bien fonctionne ? Qu'est-ce qui n'a pas fonctionne ? Que devrions-nous faire differemment ?
Qui Contacter en Suisse
NCSC (Centre national pour la cybersecurite)
- Formulaire : https://www.report.ncsc.admin.ch
- Email : report@ncsc.admin.ch
- Telephone : +41 58 462 29 19
Police Cantonale
Pour les plaintes de cybercriminalite. Au Tessin, la police cantonale dispose d'unites specialisees en cybercriminalite.
PFPDT (Prepose Federal a la Protection des Donnees et a la Transparence)
Sous la nLPD (en vigueur depuis le 1er septembre 2023), les violations de donnees comportant un risque eleve doivent etre signalees au PFPDT le plus rapidement possible.
Obligations de Notification sous la nLPD et le RGPD
nLPD Suisse
- Qui doit signaler : Le responsable du traitement.
- Quand signaler : Le plus rapidement possible en cas de risque eleve.
- Signaler a : PFPDT.
- Informer les personnes concernees : Requis quand necessaire pour leur protection.
RGPD UE
Si votre entreprise traite des donnees de residents UE/EEE : notification dans les 72 heures. Pour les entreprises au Tessin servant des clients en Italie, les deux obligations s'appliquent simultanement.
Plan de Communication pour les Clients
- Soyez transparent. Ne cachez pas l'incident.
- Soyez factuel. Rapportez ce que vous savez et ce que vous faites.
- Soyez proactif. Contactez les clients affectes directement.
- Fournissez des conseils actionnables. Dites aux clients ce qu'ils doivent faire.
Exercices Tabletop
Scenario Exemple : Attaque Ransomware
Lundi matin, 8h15. Votre responsable de bureau essaie d'ouvrir des fichiers sur le lecteur partage et voit un message demandant 2 Bitcoin (environ CHF 60 000) pour dechiffrer les fichiers. Le message dit que le prix double apres 48 heures.
Parcourez le scenario : Qui prend les commandes ? Contactons-nous la police ? Payons-nous ? Comment communiquons-nous ? Quand impliquons-nous l'assureur ? Comment restaurons-nous depuis la sauvegarde ?
Effectuez un exercice tabletop au moins une fois par an. Alternez les scenarios pour couvrir differents types d'incidents.
Prochaines Etapes
Un plan de reponse aux incidents n'est utile que s'il existe avant l'incident. En rediger un apres avoir ete pirate, c'est comme acheter une assurance incendie apres que le batiment brule.
Chez Envestis a Lugano, nous aidons les PME suisses a construire des plans de reponse aux incidents pratiques, a mener des exercices tabletop et a mettre en oeuvre les mesures de securite qui reduisent la probabilite des incidents. Consultez notre checklist securite site pour PME comme point de depart.
Si vous avez besoin d'aide pour creer un plan de reponse aux incidents pour votre entreprise, contactez-nous. Etre prepare coute une fraction de ce que coute la recuperation quand on est pas prepare.
Vous voulez savoir si votre site est sécurisé ?
Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.
Demander un Audit Gratuit