Que faire en cas d'incident sécurité ?

Signalement simple

Un exemple typique est la détection d'un virus ou d'un malware bénin sur un poste de travail, qui n'a pas de conséquence à plus large échelle sur le système d'information.

Dans un premier temps, vous pouvez procéder à la recherche d'une infection avec un logiciel anti-virus ou anti-malware qui vous permettra de connaître la nature de l'agent infectieux sans démarrer le système d'exploitation compromis. Nous vous recommandons l'usage d'outils tels que ceux de Microsoft, Malwarebytes, Kaspersky ou Symantec, tous disponibles sur les sites Internet de ces éditeurs. Ces outils gratuits permettent aussi d'éradiquer la source de l'infection.

En revanche, si la suppression de la source ou la réparation du poste n'est pas possible, il faudra privilégier une réinstallation complète du système d'exploitation.

Attaque, compromission ou autre événement grave

Tout événement ayant un impact fort (nombreux postes touchés ou compromission d'un serveur par exemple) doit être rapporté au CERT OSIRIS. La procédure alors à suivre est la suivante :

Isolement de la machine / collecte des informations

  • Déterminer la localisation / la personne responsable et les utilisateurs de la machine compromise
  • Avertir les utilisateur de ne toucher à rien : ne pas se connecter, ne pas lancer de commande, ne pas rebooter ...

    RAPPEL : Toute action peut modifier l'état du système et entraîner la perte irreversible de preuves

  • Déconnecter rapidement la machine du réseau

Analyse

L'analyse de la copie du système se fait sur une autre machine. Pour plus d'information, n'hésitez pas à contacter le support informatique.

Réinstallation - Sécurisation

La réinstallation est souvent indispensable pour être certain de supprimer tous les éléments potentiellement dangereux installés lors d'une compromission ou d'une infection par un agent malveillant. Il est préférable de réinstaller la machine hors connexion réseau.

La sécurisation d'un système d'exploitation nécessite :

  • L'application des derniers correctifs de sécurité sur tous les logiciels installés (système inclus)
  • L'installation d'un antivirus et sa mise à jour fréquente
  • L'activation d'un firewall
  • Le changement de tous les mots de passe
  • La suppression de tous les comptes, tous les services et tous les logiciels inutilisés

A faire dans tous les cas

Vous devez impérativement informer le CERT OSIRIS via l'adresse de contact : cert-osiris@unistra.fr .

Ces remontées d'informations contribuent à une meilleure visibilité sur la totalité des incidents sur le réseau OSIRIS.