En cas de cyberattaque détectée — message de rançon, fichiers chiffrés, comportement anormal — chaque heure compte. La pire erreur est de chercher à comprendre seul ou d'agir précipitamment en effaçant des preuves. Voici l'ordre exact des actions à mener.
1. Isoler — pas éteindre
Déconnectez les machines suspectes du réseau (câble Ethernet débranché, Wi-Fi coupé). N'éteignez pas : la mémoire vive contient des indices précieux pour les forensics. Idéalement, isolez des segments entiers du réseau si vous avez de la segmentation.
2. Appeler la hotline cyber de l'assureur
C'est l'action n°1 si vous êtes assuré. Hotline 24/7. En moins d'une heure, l'assureur mobilise un forensic, un avocat RGPD et un communicant. Si vous n'êtes pas assuré, appelez le 17 cyber (gendarmerie) et cybermalveillance.gouv.fr.
3. Convoquer la cellule de crise interne
Dirigeant, IT, juridique (ou DPO), communication, finance. Une réunion physique ou via téléphones non-compromis (utilisez des téléphones perso, pas les emails ni les outils habituels). Désignez un décideur unique pour piloter — généralement le dirigeant.
4. Geler les opérations financières sensibles
Suspendez les virements automatiques, prévenez la banque, vérifiez les ordres en attente, surveillez les comptes. Les attaquants couplent souvent ransomware et fraude au virement. Désactivez les accès bancaires des comptes potentiellement compromis.
5. Préserver les preuves
Ne touchez à rien sur les machines compromises tant que les forensics ne sont pas intervenus. Photographiez les écrans (avec un téléphone), notez l'horodatage exact de la découverte. Conservez les emails de demande de rançon. Toute action non documentée peut faire perdre la traçabilité juridique.
6. Lancer le forensic
Si l'assureur n'a pas déjà mobilisé un prestataire, faites appel à un cabinet forensic référencé ANSSI (PASSI). Ils prennent images des disques, analysent les logs, identifient le vecteur d'intrusion et l'étendue de la compromission. Cette étape conditionne toutes les suivantes.
7. Évaluer la portée RGPD
Y a-t-il eu accès à des données personnelles ? Lesquelles ? Combien d'enregistrements ? Cette évaluation déclenche ou non l'obligation de notification CNIL sous 72h. L'avocat RGPD de l'assureur pilote cette analyse en lien avec votre DPO.
8. Communiquer en interne
Informez les salariés en évitant la panique : rappel des consignes (ne rien cliquer, signaler tout comportement suspect), instructions opérationnelles (procédure dégradée), points de contact. Une communication claire évite la fuite désordonnée d'informations vers l'extérieur.
9. Communiquer en externe (si nécessaire)
Pour les clients, partenaires et autorités. Communication factuelle, sans minimiser ni dramatiser. Le communicant de crise prépare un message validé par le juridique. Anticiper les sollicitations presse en cas de sinistre médiatisé. Le silence absolu est rarement la bonne option.
10. Restaurer et capitaliser
Restauration depuis sauvegardes saines (jamais sauvegardes potentiellement compromises). Renforcement des contrôles. Audit post-mortem. Mise à jour du plan de réponse à incident. Les leçons d'un sinistre sont l'investissement le plus rentable d'une entreprise. Documenter ce qui a fonctionné et ce qui a échoué : c'est le matériau de la résilience future.