Vous arrivez au bureau. Plus rien ne fonctionne. Un message s'affiche : vos fichiers sont chiffrés, payez X bitcoins. Que faire dans les 24 prochaines heures ? Voici le plan d'action que nous appliquons chez nos clients.
Heure 0 — Isoler sans éteindre
Premier réflexe : isoler les machines compromises du réseau. Débrancher le câble Ethernet, désactiver le WiFi, éteindre les switches si nécessaire. Mais NE PAS éteindre les machines elles-mêmes. Les analyses forensiques peuvent récupérer des données en mémoire vive (RAM) qui aident à identifier la souche du ransomware et parfois récupérer la clé.
Heure 1 — Activer la cellule de crise
Réunir : dirigeant, DSI ou prestataire IT, RH, communication, juridique. Nommer un chef de cellule unique. Couper toute communication externe non maîtrisée le temps du diagnostic — pas de tweet, pas de post LinkedIn.
Heure 2 — Appeler les bons interlocuteurs
- 17 / Police : dépôt de plainte (obligatoire pour assurance et CNIL)
- Cybermalveillance.gouv.fr : assistance État gratuite
- Votre ESN / partenaire cyber : intervention technique immédiate
- Votre cyber-assureur : déclaration sinistre (souvent contrat exige notification sous 24-48h)
- ANSSI si vous êtes structure essentielle NIS2 (déclaration obligatoire sous 24h)
- CNIL si données personnelles concernées (notification sous 72h)
Heure 4 — Ne PAS payer la rançon
Payer ne garantit pas la récupération (30 % des paiements ne donnent rien selon l'ANSSI). Payer finance le crime organisé et vous expose juridiquement (financement de terrorisme dans certaines juridictions). Payer signale aux attaquants que vous êtes une cible facile — récidive fréquente.
Heure 6 — Diagnostic technique
Identifier la souche du ransomware (LockBit, BlackCat, Akira, etc.), le vecteur d'entrée (phishing, RDP exposé, exploit logiciel non patché), l'étendue de la propagation (1 poste ? tous les serveurs ? l'AD ?). Cette analyse conditionne toute la suite.
Heure 8 — Plan de remédiation
Trois scénarios selon la profondeur de la compromission : (1) restauration depuis sauvegarde immuable validée — meilleur cas, 24-48h de bascule ; (2) rebuild partiel d'environnements compromis + restauration data uniquement — 3-7 jours ; (3) rebuild complet AD + endpoints + serveurs — 1 à 3 semaines, scénario catastrophe.
Heure 24 — Communication interne et externe
Informer les salariés (rassurer + cadrer la communication externe). Informer les clients critiques avec un message factuel et professionnel. Préparer un communiqué pré-validé juridiquement si l'incident devient public. La transparence professionnelle protège la réputation mieux que le silence.
Et après ?
Une fois la crise gérée, vient le post-mortem : reconstitution chronologique, identification de la racine, plan de remédiation pour empêcher la récidive. Toutes les structures que nous accompagnons après incident en sortent renforcées — la douleur sert, à condition d'en tirer les leçons.