H+0 — Détecter et reconnaître la situation
Signes typiques d'un incident grave :
- Fichiers chiffrés avec extensions inconnues, message de rançon affiché.
- Plusieurs collaborateurs ne peuvent plus accéder à leurs fichiers ou à la messagerie.
- Activité réseau anormale signalée par votre EDR.
- Comptes administrateur déconnectés sans raison.
- Notification d'un partenaire : « On reçoit des emails bizarres venant de chez vous. »
Première règle : ne pas paniquer. Deuxième règle : ne pas éteindre les machines (la mémoire vive contient des indices précieux pour l'analyse).
H+0 à H+30 — Isoler
- Couper le réseau interne : débrancher les câbles ethernet, désactiver le Wi-Fi entreprise, ou couper directement le pare-feu.
- Déconnecter physiquement les sauvegardes hors ligne (le ransomware peut encore s'y propager via les partages).
- Ne pas éteindre les serveurs et postes : la RAM est nécessaire pour l'analyse forensique.
- Isoler physiquement les postes manifestement compromis dans une pièce séparée.
H+30 à H+2 — Mobiliser
Appeler dans cet ordre :
- Votre prestataire IT et/ou cabinet cyber. Si vous n'en avez pas, Scryptoura ou tout autre cabinet local.
- Votre assureur cyber (s'il existe). Important : la plupart des contrats imposent que le cabinet d'intervention soit validé par eux. Sinon, l'indemnisation peut être refusée.
- CSIRT régional ou Cybermalveillance.gouv.fr (0809 80 51 52). Gratuit, anonymisable.
Désigner un porte-parole interne unique, idéalement le dirigeant, pour éviter les communications contradictoires. Personne d'autre ne parle aux médias, aux clients, à la presse.
H+2 à H+24 — Qualifier
L'objectif est de répondre à 5 questions :
- Quels systèmes sont affectés ? (postes, serveurs, cloud, sauvegardes)
- Quelles données sont compromises ? (clients, employés, financières)
- Combien de personnes physiques sont concernées au sens RGPD ?
- L'attaquant a-t-il toujours accès au système ?
- Comment est-il entré (vecteur initial) ?
Documentation continue dans un fichier Word ou un cahier physique, avec horodatages. Cette documentation servira au rapport CNIL et à l'assureur.
H+24 à H+72 — Notifier
Si données personnelles compromises, notification à la CNIL obligatoire dans les 72 heures. Voir notre article Le rôle de la CNIL en cas de piratage.
Si l'incident perturbe gravement vos opérations et que vous fournissez un service à un acteur sous NIS2, prévenez aussi vos donneurs d'ordre — c'est dans leurs obligations de gestion de chaîne d'approvisionnement.
Si des données clients sont en danger : communication aux personnes concernées dans les meilleurs délais (article 34 RGPD).
Ce qu'il NE faut PAS faire dans les 7 premières heures
- Ne payez pas la rançon sans concertation avec le CSIRT, l'assureur et un avocat. Payer alimente l'écosystème criminel et n'offre aucune garantie de récupération.
- Ne réinstallez pas les systèmes avant l'analyse forensique. Vous effaceriez les preuves utiles.
- Ne communiquez pas publiquement avant d'avoir une vision claire : démentir trop tôt et se contredire ensuite est pire.
- Ne tentez pas de contre-attaquer. C'est illégal en France et peut aggraver la situation.
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte évalue l'existence et la qualité de votre procédure d'incident. Notre offre Cybersécurité peut produire la procédure en 1 page personnalisée et organiser un test de table annuel.