La chronique du Cesin : Allo ! La Police ?

Le téléphone sonne :

– … Allo, ici Thierry [le RSSI].

– Bonjour Thierry, est-ce que tu peux nous dire auprès de qui on doit porter plainte pour l’attaque de la semaine passée sur nos systèmes d’information ?

– Ah ! vous avez donc décidé de porter plainte ?

Pourquoi avoir cette réflexion ? N’est-ce pas normal de porter plainte suite à une attaque ?

Avant toute chose il faut bien comprendre que déposer plainte est un acte juridique, à savoir un signalement à une autorité judiciaire, d’une agression, en la matière sur l’intégrité d’un système de traitement automatisé de données (STAD) ou de façon plus générique sur le patrimoine informationnel de l’entreprise. Ce n’est en aucun cas une remédiation technique qui rétablira la bonne marche du système. Il faut savoir également que seule la victime est en droit de déterminer le bien fondé de déposer plainte ou non. Le signalement de l’agression à l’autorité judiciaire ne conduit donc pas forcement à un dépôt de plainte.

Cet acte doit donc être pris en connaissance de cause et mérite d’y être préparé en se posant quelques bonnes questions :

  • Quels sont les bons réflexes suite à cette découverte afin de sauvegarder des preuves numériques ?
  • Auprès de qui porter plainte ?
  • Comment fournir aux enquêteurs les données nécessaires et comment travailler en bon intelligence avec eux ?
  • Quelles suites peut-on attendre après le dépôt de plainte ?

La caractérisation d’une attaque se fait souvent par la découverte des conséquences : le service n’est plus opérationnel, des données ont disparues ou ont fuité, etc. Le réflexe naturel est de vouloir rétablir la bonne marche du système, ce qui semble pertinent mais qui va souvent à l’encontre de la démarche de dépôt de plainte pour laquelle il faudra apporter des éléments de preuve. Pour prendre une image, c’est comme si des policiers devaient relever des indices sur une scène de crime qui aurait été piétinée par des dizaines de personnes. Quelles sont les traces de l’agresseur parmi toutes celles que l’on constate ?

La contradiction vient du fait que le temps du judiciaire est beaucoup plus long que le temps opérationnel (business) de l’entreprise. Le rétablissement des applications métiers peut souvent entrainer un risque de déperdition de preuves.

La première conclusion est donc qu’il faut se donner les moyens de déposer plainte : cela doit être anticipé, il faut avoir quelque chose à montrer aux enquêteurs, à savoir des logues, des traces de qui a fait quoi, à quel moment, afin de démêler les actions licites de celles illicites. Il est donc important que les équipes informatiques acquièrent le réflexe lors d’une attaque, de sauvegarder le maximum de données du système par un gel des données, autrement dit par une image du système au moment de la découverte de l’attaque. En l’occurrence, les sociétés qui disposent d’un SOC ou d’un SIEM auront beaucoup plus de données d’analyse à présenter en permettant de remonter dans le temps afin de pouvoir identifier l’origine de l’attaque. Sans ces éléments d’enquête le dépôt de plainte restera sans suites. extrait cybersécurité Le Numérique en Pratique

Maintenant une question se pose, auprès de qui déposer plainte ? la police, oui mais laquelle ? cela n’est pas si simple et là aussi une anticipation est nécessaire. Même si toutes les forces de l’ordre de proximité sont censées pouvoir recueillir un dépôt de plainte, il est préférable de le faire auprès d’enquêteurs spécialisés. Plusieurs éléments entrent en ligne de compte et en premier lieu la localisation de la victime. Sur Paris intra-muros et la petite couronne l’interlocuteur est la BEFTI ou Brigade d’Enquête sur les Fraudes aux Technologies de l’Information dépendant de la Préfecture de Police de Paris. Sur les grandes villes il faut contacter l’OCLCTIC ou Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication qui dépend de la Direction Centrale de la Police Judiciaire. Partout ailleurs c’est la gendarmerie et ses enquêteurs spécialisés NTECH et au niveau central le C3N ou centre de lutte contre les criminalités numériques qui sont compétents.

En réalité les choses peuvent être plus complexes selon le statut de l’entreprise, en particulier si elle est Opérateur d’Importance Vitale, auquel cas la DGSI ou Direction Générale de la Sécurité Intérieure peut être compétente, ou selon le type d’attaque comme la pédopornographie ou la fraude au président pour lesquelles l’informatique n’est qu’un vecteur d’attaque et pas la cible en elle-même. A retenir que l’ANSSI n’a pas de pouvoir judiciaire et qu’elle ne pourra donc pas recueillir un dépôt de plainte.

Est-ce au RSSI de déposer plainte ?
Non, en général c’est au service juridique, représentant de l’entité légale d’entreprise de déposer plainte. En revanche, celui-ci n’est pas souvent au fait des technologies de l’information et l’assistance d’un sachant de la DSI ou le RSSI lui-même peut être nécessaire lors du dépôt de plainte.

Que se passe-t-il suite à un dépôt de plainte ?
Une collaboration étroite doit être mise en œuvre entre les enquêteurs et les services concernés de l’entreprise afin de recueillir le maximum d’information permettant de caractériser l’attaque, ses origines, sa motivation, ses conséquences techniques et financières. Mais les choses peuvent devenir beaucoup plus complexes s’il s’avère que l’agresseur est un personnel interne. La découverte de l’attaque doit rester dans ce cas très discrète afin de permettre l’établissement de preuves indiscutables voire d’établir un flagrant délit avec les enquêteurs.

En tout état de cause il s’agit pour l’entreprise de bien déterminer les motivations qui vont la pousser à porter plainte. Cette action judiciaire est un acte « positif » de l’entreprise qui recherche à montrer sa bonne foi en particulier si les conséquences ont un impact sur ses clients ou son image, mais également si son SI a pu être utilisé comme rebond pour perpétrer une attaque sur un tiers. Le dépôt de plainte peut également être nécessité vis-à-vis de l’assurance perte d’exploitation de l’entreprise (ou cyberassurance si elle en a une). En revanche, les garanties de remboursement en dommages et intérêts des pertes engagées, si un procès peut avoir lieu sont bien faibles, surtout si l’agression provient de l’étranger, même si en l’état de gros progrès ont été fait pour permettre des poursuites internationales avec la collaboration de services spécialisés de nombreux pays.

LES BONS REFLEXES :

  • Préserver les éléments de preuve, conserver tout ce qui peut matérialiser l’attaque ;
  • Garder les élément bruts, l’intégralité des fichiers de logues, pas que des extraits ;
  • Faire une image disque le plus rapidement possible (minimiser les altérations) ;
  • Identifier tout ce qui peut matérialiser la chronologie de l’attaque ;
  • Savoir qui a fait quoi et quand au niveau des équipes internes : avoir une main courante des actions entreprises en interne ;
  • L’équipe SSI peut commencer l’investigation (mais doit garder des traces).

Liens utiles :