D'abord, ne rien effacer, ne rien éteindre

C'est le réflexe le plus naturel, et le plus mauvais. En éteignant les machines ou en supprimant des fichiers suspects, vous détruisez les preuves dont un expert aura besoin pour comprendre ce qui s'est passé, tracer l'attaquant et s'assurer qu'il n'est plus dans votre réseau. Avant toute chose, respirez, et lisez ces 7 actions dans l'ordre.

🚨 Si vous êtes en train de vivre un incident actif

Appelez un prestataire de réponse à incident immédiatement. Chaque minute compte. ONYX-CYBER intervient en urgence 24h/24 contactez-nous maintenant.

Les 7 actions immédiates, dans l'ordre

  • 1. Isoler les machines compromises, sans les éteindre. Débranchez le câble réseau ou désactivez le Wi-Fi des postes suspects. L'objectif est de couper la communication avec l'attaquant sans perdre la mémoire vive, qui contient des preuves précieuses. Ne redémarrez pas.
  • 2. Changer tous vos mots de passe critiques depuis un appareil sain. Messagerie professionnelle, accès VPN, comptes bancaires, outils cloud (Microsoft 365, Google Workspace), portail de votre hébergeur. Faites-le depuis un téléphone ou un ordinateur qui n'était pas connecté au réseau compromis.
  • 3. Alerter votre équipe et bloquer les accès distants. Prévenez vos collaborateurs de ne rien faire sur leur poste pour le moment. Désactivez les accès VPN et bureaux distants en attendant d'y voir clair.
  • 4. Identifier ce qui a été touché. Quelles données sont concernées ? Quels systèmes ne répondent plus ? Y a-t-il un message de demande de rançon ? Notez tout, avec les heures. Cette timeline sera indispensable pour l'investigation.
  • 5. Notifier votre assurance cyber si vous en avez une. La plupart des polices exigent une notification sous 24 à 72h. Un délai peut invalider votre couverture.
  • 6. Déposer une plainte. En France, vous pouvez déposer plainte auprès de la police ou de la gendarmerie. C'est une étape souvent négligée mais indispensable, notamment pour activer certaines assurances et pour permettre aux autorités de tracer les attaquants.
  • 7. Appeler un expert en réponse à incident. Pas votre prestataire informatique habituel. Un spécialiste de la réponse à incident. La remédiation d'un incident cyber ne s'improvise pas, une erreur à ce stade peut laisser l'attaquant dans le réseau, ou détruire définitivement des données récupérables.

Ce que vous ne devez surtout pas faire

  • Payer la rançon sans consulter un expert. Le paiement ne garantit pas la récupération des données, finance les attaquants, et peut vous exposer à des sanctions si le groupe est sous embargo international. Dans certains cas, les données récupérables sans paiement.
  • Tenter de "nettoyer" vous-même. Supprimer des fichiers malveillants sans avoir compris le vecteur d'entrée ne résout rien, l'attaquant peut avoir déposé plusieurs accès persistants que vous ne trouverez pas sans outil forensique.
  • Communiquer publiquement avant d'avoir les faits. Informez votre équipe, mais attendez d'avoir une image claire de l'incident avant toute communication externe. Une communication prématurée mal calibrée aggrave souvent la situation.

Et après l'urgence ?

Une fois l'incident contenu, vous devrez évaluer si vous êtes soumis à une obligation de notification. Si des données personnelles ont été compromises, le RGPD impose une déclaration à la CNIL sous 72h après la découverte. Si vous êtes une entité soumise à NIS2, des obligations supplémentaires s'appliquent. Un prestataire spécialisé vous guidera sur ces obligations en même temps qu'il conduit la remédiation technique.

Votre entreprise a été compromise ?

ONYX-CYBER intervient en urgence 24h/24 pour contenir, analyser et remédier. Chaque heure compte. Contactez-nous maintenant.

Contacter ONYX-CYBER en urgence