Les équipes ont bien planifié leurs actions et les ont exécutées de manière délibérée. Une réponse efficace type a consisté à suivre un processus tel que celui qui est référencé dans le guide Computer Security Incident Handling Guide (publication spéciale 800-61 du National Institute of Standards and Technology - NIST).
Dans un premier temps, l’évaluation de l’amplitude de l’impact et l’analyse de sa cause ont permis de prendre des mesures afin de contenir l’événement. Mais, dans de nombreux cas, cela n’a pas été possible.
Pour certains, pratiquement tous les ordinateurs Windows connectés à leur système de commande industrielle en réseau étaient touchés par le WiperWorm NotPetya.
Les perspectives de récupération des systèmes infectés étant minces, l’étape logique suivante a consisté à parcourir les sauvegardes système existantes et tenter la restauration à partir de là. En l’absence de sauvegarde, tous les systèmes de production allaient devoir être reconstruits à partir de zéro, une entreprise coûteuse et chronophage.
Pour les chanceux, les sauvegardes laissaient espérer, mais encore fallait-il adopter une approche très disciplinée pour faire en sorte que les systèmes récupérés soient placés sur un réseau isolé pour éviter toute réinfection.