Secu-Zen
Réaction

Cyberattaque sur votre entreprise : que faire dans les 24 premières heures ?

Vous venez d'être victime d'une cyberattaque. Chaque minute compte. Voici les actions à effectuer dans l'ordre, sans paniquer, pour limiter les dégâts et respecter vos obligations légales.

Publié le
Une cyberattaque provoque immédiatement un sentiment de panique et d'urgence. C'est précisément ce que recherchent les attaquants : vous faire agir de façon désordonnée, éteindre les machines, tout reformater, payer rapidement. Résultat : vous détruisez les preuves, aggravez les dégâts et perdez toute chance de récupération. Voici le protocole à suivre, dans l'ordre, pour les 24 premières heures.

H+0 : isoler sans éteindre

La première réaction est d'isoler les systèmes compromis du reste du réseau — débranchez le câble réseau, désactivez le Wi-Fi — mais ne les éteignez pas. Une extinction forcée peut corrompre des preuves numériques essentielles et, dans le cas d'un rançongiciel, interrompre des processus dont l'analyse permettrait d'identifier la souche et d'obtenir un déchiffreur gratuit. L'isolement stoppe la propagation ; l'extinction détruit les indices.

H+1 : documenter et alerter les bonnes personnes

Photographiez les écrans, notez l'heure exacte de découverte et conservez tous les messages suspects reçus récemment. Appelez votre prestataire informatique ou un expert cybersécurité — si vous n'en avez pas, cybermalveillance.gouv.fr référence des prestataires labellisés ANSSI près de chez vous. Prévenez votre direction et, si votre entreprise compte plusieurs sites, alertez les autres responsables pour qu'ils surveillent leurs systèmes.

H+4 : évaluer et notifier

Avec votre expert, évaluez le périmètre : quels systèmes ont été touchés ? Quelles données ont potentiellement été exposées ? Si des données personnelles de clients ou collaborateurs sont impliquées, vous avez 72h à partir du moment où vous avez connaissance de la violation pour notifier la CNIL sur notifications.cnil.fr. C'est une obligation légale RGPD — le délai court même si vous n'avez pas encore toutes les réponses. Notifiez avec les informations disponibles.

H+24 : déposer plainte et penser à la reprise

Déposez plainte au commissariat ou en gendarmerie avec toutes vos preuves : captures d'écran, logs, emails suspects. Cette plainte est indispensable pour votre assurance cyber et pour le dossier CNIL. Parallèlement, commencez à planifier la reprise d'activité depuis vos sauvegardes — si vous en avez. Si vous ne disposez pas de sauvegardes récentes et hors ligne, c'est le moment de comprendre pourquoi et de ne jamais reproduire cette situation. La règle 3-2-1 (3 copies, 2 supports, 1 hors site) doit devenir un réflexe.

En cas d'incident : fiche réflexe associée
Rançongiciel
Chiffrement total de vos fichiers
Voir la fiche →
Articles liés
Prévention
Sauvegarde 3-2-1 : la règle d'or contre les rançongiciels
Prévention
Antivirus pour entreprise : comment bien choisir en 2026
← Retour aux guides