Actions à éviter lors d'un incident de sécurité

Date :06 Juillet 2005

Publication: Article

Il s'agit d'un guide publié par le magazine CIO (http://www.cio.com) expliquant ce qu'il ne faut pas faire lorsque vous êtes piratés. Les mauvais réflexes à éviter sont, selon CIO, au nombre de cinq :

  1. Nier : ne pas reconnaître que vous avez un problème est la meilleure manière de ne pas se remettre d'un acte de piratage.
  2. Paniquer : lorsque des responsables informatiques pensent être attaqués, ils ont tendance à paniquer, ce qui leur fait prendre de mauvaises décisions : ils ne contactent pas les bonnes personnes, éteignent ou relancent des machines sans discernement et en général finissent par causer encore plus de dégâts.
  3. Détruire les preuves : très souvent les preuves sont mal collectées et mal conservées, ce qui les rend irrecevables. Une bonne réaction serait de faire une image d'un disque dur (avant par exemple d'ouvrir un fichier et de changer ainsi sa date de dernier accès ou de redémarrer le système) et de le conserver de manière sécurisée.
  4. Ne pas appeler les autorités : en cas de menace de la part de pirates, ne pas appeler les autorités leur donne libre champ et dessert non seulement votre compagnie, mais la communauté informatique dans son ensemble.
  5. Ignorer les bruits : lorsqu'un problème de sécurité est découvert, attendre qu'il soit " oublié " constitue là-aussi une mauvaise réaction (la bonne réaction serait d'avertir les clients par une publication officielle et de corriger ce problème).

En résumé et même s'il n'est pas toujours facile de savoir quelle est la conduite à tenir en cas d'incident de sécurité, il est prouvé que les réactions mentionnées ci-dessus ne vont certainement pas dans le bon sens.

A ce sujet, nous vous rappelons que le Cert-IST dispense un cours pouvant apporter des réponses à ce sujet, intitulé "Investigation sur incident".

Pour plus d'information

How to not recover from getting hacked (A loser's guide to failure) : http://www.cio.com/archive/010102/security.html