SOC managé - surveillance continue  ·  veille cyber : CERT-FR / CISA / NVD  ·  réponse à incident en priorité
Toutes les actualités

Cyberdéfense · Guide

Cyberattaque : que faire dans les premières heures.

Une cyberattaque se découvre rarement au bon moment : un vendredi soir, un écran de rançon, des fichiers illisibles, des services à l'arrêt. Dans ces instants, la panique fait commettre des erreurs irréversibles. Or les premières heures décident souvent de l'ampleur des dégâts. Voici les bons réflexes, dans le bon ordre.

1. Isoler, sans tout éteindre brutalement

Le premier objectif est de stopper la propagation. Déconnectez les machines touchées du réseau (câble, Wi-Fi, VPN) et isolez les segments concernés. En revanche, évitez d'éteindre les systèmes de façon sauvage : une extinction brutale peut détruire des traces précieuses (mémoire vive, journaux) utiles à l'investigation. Débrancher du réseau n'est pas la même chose qu'arrêter la machine.

2. Activer la cellule de crise

Une crise cyber n'est pas qu'un sujet technique. Réunissez rapidement les bonnes personnes : direction, IT/sécurité, juridique, communication, et un référent décisionnaire capable de trancher vite. Désignez qui fait quoi, ouvrez un canal de communication hors du système compromis (les attaquants peuvent lire vos e-mails), et tenez une main courante horodatée des décisions et actions.

Le piège classique

Continuer à utiliser le système d'information compromis pour gérer la crise (mails, messageries internes). Si l'attaquant est encore présent, il voit tout : vos constats, votre plan de réponse, vos échanges avec les autorités. Basculez sur des moyens de communication externes dès le départ.

3. Préserver les preuves

Avant de nettoyer ou de réinstaller, conservez les éléments de preuve : journaux, images disque des machines clés, messages de rançon, adresses et indicateurs techniques. Ils serviront à comprendre l'origine et l'étendue de l'attaque, à déposer plainte et, le cas échéant, à répondre aux autorités. Effacer trop vite, c'est se priver de la seule vision fiable de ce qui s'est passé.

4. Ne pas payer la rançon

La recommandation des autorités françaises est constante : ne payez pas. Payer ne garantit ni la récupération des données, ni l'absence de fuite, ni la fin de l'attaque, et cela alimente l'écosystème criminel. Concentrez l'énergie sur la restauration à partir de sauvegardes saines et sur le durcissement. C'est aussi là qu'une stratégie de sauvegarde éprouvée fait toute la différence.

5. Notifier et déclarer

Plusieurs obligations et recours s'enclenchent :

  • CNIL : en cas de violation de données personnelles, une notification est requise dans les 72 heures après en avoir pris connaissance (RGPD).
  • Plainte : déposez plainte auprès de la police ou de la gendarmerie.
  • Assistance : le dispositif public Cybermalveillance.gouv.fr oriente et met en relation avec des prestataires ; le CERT-FR publie alertes et conseils.
  • Assurance et obligations sectorielles : déclarez à votre assureur cyber et vérifiez vos obligations propres (secteur régulé, NIS2 à venir).

6. Restaurer, puis tirer les leçons

La remise en service se fait de façon maîtrisée : on ne rebranche pas un système tant qu'on n'a pas compris le point d'entrée et refermé la porte. Une fois l'activité rétablie, le retour d'expérience est essentiel : comment l'attaquant est-il entré, qu'est-ce qui a manqué, quelles mesures évitent la récidive. Une crise bien gérée renforce durablement la posture.

Se préparer avant, pas pendant

Le meilleur plan de réponse est celui qu'on a écrit et répété à froid : qui appeler, avec quels moyens, dans quel ordre. Kenawek vous aide à bâtir et éprouver votre dispositif de réponse à incident. Parlons-en.

Sources