PORTAILS DE L'ADMINISTRATION Gouvernement Service public Légifrance
Portail officiel de la sécurité informatique - ANSSI - République française

Portail officiel de la sécurité informatique - ANSSI - République française

Mémentos >  Que faire en cas d’incident ?

Étape 5 : Rétablir un système sain

Dès que l’analyse a permis de comprendre quelle est la faille à l’origine de l’incident, il est possible de commencer à restaurer un système sain. Si vous avez réalisé une copie de disque, il est même possible d’effectuer cette restauration sans attendre la fin complète de l’analyse (qui se poursuit en parallèle).

Il est parfois très difficile de remettre en état un système qui a été compromis :
- certains virus, s’ils n’ont pas été interceptés avant qu’ils n’infectent le système sont capables de s’incruster tellement profondément dans le système qu’un antivirus ne sera pas toujours capable de les déloger complètement (c’est souvent le cas pour les virus intégrant un outil de dissimulation d’activité ou rootkit), et cela même si l’antivirus déclare avoir effectué la désinfection avec succès ;
- de même, si un pirate est rentré sur le système, il est très courant qu’il y cache plusieurs outils qui lui permettront (si vous ne les découvrez pas tous) de revenir ultérieurement sur le système (on appelle ces outils des "portes dérobées" ou backdoors).

La seule façon d’être sûr d’avoir totalement éradiqué une infection ou une intrusion est donc de réinstaller complètement le système. Cela veut dire :
- reformater les disques durs,
- installer complètement le système d’exploitation,
- restaurer les applications à partir de sauvegardes.

Attention : Dans le cas des attaques les plus graves, il faut savoir que les logiciels contenus dans le matériel (BIOS, firmware, etc.) peuvent également être pris pour cible. La restauration du système devient alors extrêmement délicate. En outre, il est recommandé d’utiliser le moins possible de données provenant des sauvegardes car, si le pirate a pris le contrôle de la machine depuis quelque temps, les "portes dérobées" déposées par le pirate peuvent déjà avoir été copiées dans vos sauvegardes.

À l’occasion de cette réinstallation, pensez également à :
- appliquer tous les correctifs de sécurité qui ont été publiés par le constructeur de votre système d’exploitation ;
- changer les mots de passe de tous les comptes (car il se peut que le pirate ait volé les anciens mots de passe) ;
- protéger la machine pendant toute la durée de la réinstallation (en interdisant par exemple le trafic extérieur à destination de cette machine au niveau de votre pare-feu et en téléchargeant les mises à jour nécessaires vers une autre machine saine de votre réseau) ;
- reconnectez la machine au réseau une fois la remise en service totalement terminée.


Article Précédent | Lire la suite
RÉPUBLIQUE FRANÇAISE | SGDSN | ANSSI © 2011 | Informations éditeur