Assistance en cas d’incident de cybersécurité
#Incident #Assistance #Cybersécurité
Signaler un incident numérique
Un établissement de la région PACA victime d’un cyber-incident peut être amené à prendre contact avec le GRADeS ieSS et CAPSI de plusieurs manières en vue d’obtenir des conseils ou une assistance technique.
De manière générale, il est rappelé que tout établissement sanitaire ou médico-social est tenu de signaler tout incident de sécurité numérique (dont les cyber-incidents) par la voie de la chaîne de signalement nationale.
Il est impératif de procéder à la déclaration de l’événement de sécurité via le portail national mentionné ci-dessus afin que les dispositifs d’assistance et la chaîne de réaction nationale puissent être déployés et les différents échelons d’acteurs concernés mobilisés et informés.
Contacter l’équipe CAPSI du GRADeS ieSS
En parallèle du signalement sur le portail national, un établissement sanitaire ou médico-social de la région PACA peut contacter directement et rapidement l’équipe CAPSI du GRADeS ieSS pour obtenir de l’aide pour traiter la situation de crise dont il est victime.
Pour obtenir l’aide des équipes CAPSI dans le cas d’un incident de sécurité numérique, l’établissement sanitaire ou médico-social de la région PACA peut utiliser l’adresse mail suivante :
Un numéro d’urgence cyber administré par le GRADeS PACA et fonctionnant en 24/7 est également disponible au
Les bons réflexes en cas de cyber incident
IDENTIFICATION DE LA MACHINE COMPROMISE
S'agit-il d'un hôte virtuel ?
(VPS, Machine virtuelle…)
LA MACHINE EST-ELLE EN PAUSE ?
Si oui :
- Figer les preuves (Faire un snapshot ou un clone ; copier tous les fichiers de la VM)
- Faire Appel
- Exporter les journaux (Équipements réseau, pare-feux, serveurs mandataires, proxy, IDS, EDR…)
Sinon :
- Isoler la machine (Couper les inferfaces réseau et/ou mettre la VM en pause)
- Figer les preuves (Faire un snapshot ou un clone ; copier tous les fichiers de la VM)
- Faire appel
- Exporter les journaux (Équipements réseau, pare-feux, serveurs mandataires, proxy, IDS, EDR…)
S'agit-il d'un hôte physique ?
(Serveur dédié, poste de travail…)
LA MACHINE EST-ELLE EN VEILLE PROLONGÉE ?
Si oui :
- Figer les preuves (Récupérer le disque dur ; faire une copie bit à bit du disque)
- Faire appel
- Exporter les journaux (Équipements réseau, pare-feux, serveurs mandataires, proxy, IDS, EDR…)
Sinon :
- Isoler la machine (Couper les interfaces réseau et/ou mettre la machine en veille prolongée
- Figer les preuves (Récupérer le disque dur ; faire une copie bit à bit du disque)
- Faire appel
- Exporter les journaux (Équipements réseau, pare-feux, serveurs mandataires, proxy, IDS, EDR…)
Les bons réflexes
NE PAS ÉTEINDRE LA MACHINE
Privilégier la mise en veille prolongée ou en pause pour éviter de perdre la mémoire
CONSERVER LES PREUVES
Systématiquement dupliquer les données et les preuves avant de mener des analyses
CHIFFRER LES DONNÉES RÉCOLTÉES
Copier les preuves dans des conteneurs chiffrés (VERACRYPT)
Préparation de la fiche d’incident
- Quels sont les symptômes détéctés ?
- Quand ? Comment ? Par qui ?
- Quels impacts (biens/personnes) et conséquences observées ?
- Mesures prises par léquipe locale ?
- Périmètre initial de l’incident (technique/géographique) ?
- Cela s’est-il déjà produit ?

