En 2025, le délai moyen entre l'intrusion initiale et la détection d'une attaque dans une PME française était de 23 jours. Mais une fois l'attaque détectée, les 4 premières heures sont déterminantes : confinement, préservation des preuves, notification légale et activation de l'assurance. Voici le protocole exact.
Phase 1 — Détection et confinement immédiat (H0 à H1)
Action 1 — Alerter sans paniquer. Dès que vous suspectez une compromission (écran chiffré, comportement anormal, message de rançon), alertez votre responsable IT ou votre prestataire informatique. Ne tentez pas de régler le problème seul.
Action 2 — Isoler, ne pas éteindre. Déconnectez les machines suspectes du réseau (câble réseau, Wi-Fi) sans les éteindre. L'extinction brutale peut détruire des preuves en mémoire vive indispensables aux forensics. Les logs actifs permettent de remonter la chaîne d'attaque.
Action 3 — Documenter l'état actuel. Photographiez les écrans, notez l'heure exacte de détection, listez les systèmes potentiellement compromis. Cette documentation servira à l'assureur, aux forensics et aux autorités.
Action 4 — Changer les mots de passe des comptes d'administration.Depuis un appareil non compromis et une connexion externe (4G/5G, pas votre réseau d'entreprise), changez immédiatement les mots de passe des comptes d'admin (Active Directory, VPN, cloud, messagerie).
Phase 2 — Activation de l'assurance et experts (H1 à H4)
Action 5 — Appeler votre assureur cyber. La hotline 24/7 de votre contrat cyber est la première chose à activer. Ne commencez pas à restaurer quoi que ce soit avant l'intervention des forensics mandatés par l'assureur — une restauration maladroite peut invalider des preuves et compliquer l'indemnisation.
Action 6 — Activer la cellule de crise. Constituez un groupe restreint : dirigeant, IT, communication, juridique. Toutes les communications internes sensibles passent par des canaux hors réseau compromis (téléphone mobile, messagerie personnelle).
Action 7 — Signaler à l'ANSSI. Via le portail cybermalveillance.gouv.fr, signalez l'incident. Ce signalement est non obligatoire pour les entreprises non-NIS2, mais il ouvre accès à une assistance technique gratuite et améliore le suivi statistique national. Pour les entités NIS2, la notification ANSSI est obligatoire sous 24h.
Phase 3 — Obligations légales (H4 à H72)
Action 8 — Évaluer la violation de données personnelles. Si l'attaque a touché des données personnelles (clients, employés, fournisseurs), vous êtes sous l'obligation de notification CNIL du RGPD. L'avocat mandaté par votre assurance cyber vous aide à qualifier la violation.
Action 9 — Notifier la CNIL dans les 72h. Si la violation est avérée et présente un risque pour les personnes concernées, déposez une notification via le portail CNIL (notifications.cnil.fr). Passé 72h, vous vous exposez à une sanction administrative indépendante de l'attaque elle-même.
Action 10 — Déposer plainte. Rendez-vous à la gendarmerie ou au commissariat pour déposer plainte pour accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) et, si applicable, pour extorsion. Cette plainte est nécessaire pour l'assureur et peut déclencher une enquête OCLCTIC (office cybercriminalité).
Phase 4 — Reconstruction et retour à la normale (J1 à J30)
Action 11 — Restaurer à partir de sauvegardes vérifiées. Ne restaurez jamais depuis la sauvegarde la plus récente sans vérifier qu'elle n'est pas elle-même compromise. Les forensics identifient le "patient zéro" et la date exacte d'intrusion pour choisir la bonne fenêtre de restauration.
Action 12 — Prévenir vos parties prenantes. Clients, fournisseurs, partenaires bancaires : informez-les si vos systèmes communs ont pu être affectés. La communication transparente préserve la relation et réduit votre exposition légale. L'assurance peut financer la communication de crise externe.
Ce que fait votre assureur cyber à chaque phase
Un contrat cyber bien rédigé prend en charge : la hotline de crise 24/7 dès H0, l'envoi d'une équipe forensics sous 4h (selon le contrat), l'avocat spécialisé pour les notifications CNIL et ANSSI, la gestion de la communication externe, les frais de restauration des systèmes, les pertes d'exploitation pendant l'interruption, la RC cyber si un tiers est touché, et le suivi post-sinistre pour éviter la récidive.
Attention : certains contrats bon marché ne couvrent que l'indemnisation financière, sans les services. Or, en cas de crise, c'est l'assistance qui fait la différence sur la durée de l'interruption — et donc sur le coût réel du sinistre.
FAQ — Cyberattaque : que faire en urgence
Faut-il payer la rançon en cas de ransomware ?
En France, payer est légal mais fortement déconseillé par l'ANSSI et par les assureurs. Le paiement ne garantit pas la restitution des données, finance des groupes criminels et fait de vous une cible pour les prochaines attaques. L'assurance cyber couvre les frais de restauration alternatifs sans encourager le paiement.
Dans quel délai déclarer un incident à la CNIL ?
Le RGPD impose une notification à la CNIL dans les 72 heures suivant la détection d'une violation de données personnelles. L'assurance cyber prend en charge l'accompagnement juridique pour cette notification.
Faut-il éteindre les serveurs immédiatement lors d'une cyberattaque ?
Non. L'action correcte est d'isoler les systèmes compromis du réseau sans les éteindre, le temps que les experts forensics interviennent. L'extinction brutale peut détruire des preuves et rendre la restauration plus difficile.
Que couvre l'assurance cyber pendant une crise ?
Hotline de crise 24/7, équipe forensics, avocat pour les obligations légales de notification, communication de crise, pertes d'exploitation et restauration des systèmes. C'est la combinaison services + indemnisation qui fait la valeur d'un bon contrat.