Portail officiel de la sécurité informatique - ANSSI - République française
Mémentos > Que faire en cas d’incident ?Étape 3 : Limiter l’extension possibleUne fois convaincu que vous faites face à un incident de sécurité, la toute première priorité est de limiter l’extension possible de ce sinistre. Si vous ne faites rien, il y a en effet un risque que l’incident, qui se limite pour le moment à une seule machine, prenne de l’ampleur en touchant en cascade d’autres machines :
Pour éviter cette propagation, la solution la plus simple est de débrancher du réseau la machine attaquée. La machine se trouve ainsi isolée. Elle ne peut plus attaquer d’autres machines et elle est aussi protégée puisqu’inaccessible pour l’agresseur. Attention cependant : si la machine affectée est un serveur, le fait de la débrancher va rendre indisponible ce serveur pour son usage légitime. Dans ce cas, il vaut mieux prendre le temps de la réflexion (pour mesurer l’impact exact de la perte de la machine et trouver une solution palliative), plutôt que de débrancher brutalement ce serveur du réseau. Toutefois, en théorie, il suffit de se référer à ce qui a été prévu dans l’étape 1, où on a mesuré l’impact exact de la perte de la machine ; encore une fois, la prévention évite de débrancher brutalement un serveur du réseau, sans en avoir au préalable et sans urgence prévu les conséquences. La volonté prioritaire de "limiter l’extension possible" que nous présentons ici pour un incident informatique est en fait exactement la même que celle qui est préconisée pour faire face à un incendie : avant de chercher à éteindre le feu proprement dit, il faut tout faire pour empêcher son extension (par exemple, fermer les portes pour éviter les courants d’air). Article Précédent | Lire la suite |
Dans le cas d’une attaque virale (cas où un virus infecte une machine), la propagation du sinistre sera très rapide : dans les secondes qui suivent l’infection, la machine infectée peut se mettre à attaquer les machines voisines.