Comment déterminer le T0 d’une cyberattaque
« L’attaque est survenue dans la nuit du samedi au dimanche ». Ou bien « mardi matin ». Techniquement, ces déclarations de victimes de cyberattaque avec ransomware sont erronées : le début de l’attaque est antérieur au déclenchement du chiffrement et à l’observation de ses premiers effets sur le système d’information ou la disponibilité des services IT affectés Mais remonter plus loin dans la cinétique d’attaque est plus laborieux : il faut généralement des jours d’investigation pour arriver à une date de “première connexion adverse probable”, et souvent sans certitude que ce soit la compromission initiale.
> Lire l'article de Valéry Rieß-Marchive