C'est l'un des moments les plus stressants qu'un dirigeant de PME puisse vivre. Votre informatique est compromise. Les premières réactions instinctives sont souvent les mauvaises. Voici ce qu'il faut faire, et ne pas faire, dans les premières 24 heures.

Les 15 premières minutes : contenir

Isoler immédiatement les machines touchées

Déconnectez physiquement les machines suspectes du réseau (débranchez le câble Ethernet, désactivez le WiFi). N'éteignez pas les machines, les logs en mémoire peuvent être précieux pour l'investigation.

Ne pas communiquer via les systèmes compromis

Si vos e-mails sont sur un serveur compromis, ne les utilisez pas. Utilisez des téléphones personnels ou une messagerie externe non liée à votre réseau.

Appeler votre prestataire IT

Immédiatement. Pas dans une heure. Maintenant. Chez Leader System, notre numéro d'urgence est disponible 24h/24 pour les clients sous contrat.

La première heure : évaluer

Déterminer l'étendue de l'incident

  • Combien de machines sont touchées ?
  • Quels serveurs sont compromis ?
  • Les sauvegardes sont-elles intactes ?
  • Depuis quand l'attaque a-t-elle commencé ? (souvent bien avant la détection)

Photographier les écrans

Si un message de rançon s'affiche, photographiez-le avant toute action. Ces informations sont utiles pour l'investigation et le dépôt de plainte.

Les premières heures : décider

Payer ou ne pas payer ?

Notre recommandation : ne payez pas. Voici pourquoi :

  • 50 % des victimes qui paient ne récupèrent pas toutes leurs données
  • Payer finance les groupes criminels
  • Vous vous signalez comme cible solvable
  • Les autorités déconseillent formellement le paiement

Si vous avez des sauvegardes externalisées testées, la restauration sans payer est possible.

Notifier les parties concernées

  • La CNIL : obligatoire sous 72 heures si des données personnelles sont compromises
  • Votre assureur cyber : immédiatement si vous avez une assurance cyber
  • La police / gendarmerie : déposer plainte est indispensable pour les assurances et potentiellement utile pour l'enquête
  • cybermalveillance.gouv.fr : déclarer l'incident et accéder aux ressources d'aide

Les 24 premières heures : documenter

Documentez tout ce que vous faites, observez et décidez. Cette documentation est indispensable pour l'assurance, la plainte, la CNIL et l'analyse post-incident.

Après l'incident : tirer les leçons

Une fois la crise passée, une analyse post-incident est indispensable pour comprendre comment l'attaque a réussi et corriger les failles. Leader System réalise ces analyses dans le cadre de ses prestations de sécurité.