Retour aux actualités
    Article

    Que faire après une cyberattaque ?

    Votre entreprise vient d'être victime d'une cyberattaque ? Les premières heures sont cruciales. Les décisions prises dans l'urgence détermineront l'ampleur des dégâts et la vitesse de rétablissement. Ce guide vous donne les étapes à suivre, dans l'ordre, pour gérer la crise efficacement.

    ⚠️ Urgence immédiate

    Si vous êtes en cours d'attaque, appelez immédiatement votre prestataire de sécurité ou le numéro d'urgence cyber de l'ANSSI. Chaque minute compte pour limiter la propagation.

    Étape 1 : Contenir l'attaque (0-4 heures)

    La priorité absolue est d'empêcher l'attaque de se propager davantage. Mais attention : contenir ne signifie pas tout éteindre aveuglément. Certaines actions précipitées peuvent détruire des preuves essentielles à l'investigation.

    Ce qu'il faut faire :

    • Isoler les systèmes compromis en les déconnectant du réseau (débrancher le câble réseau, désactiver le Wi-Fi) SANS les éteindre. L'extinction supprime la mémoire vive qui contient des preuves précieuses pour l'investigation.
    • Changer immédiatement les mots de passe des comptes administrateur et des comptes potentiellement compromis, en priorité ceux qui ont des privilèges élevés (Active Directory, accès cloud, VPN).
    • Bloquer les accès distants (VPN, RDP, accès prestataires) jusqu'à ce que l'étendue de la compromission soit déterminée.
    • Préserver les logs et toutes les traces de l'attaque (emails suspects, URLs, fichiers suspects). Ne supprimez rien, même si cela semble anodin.
    • Documenter toutes les actions prises et les constats faits, avec horodatage. Ce journal sera essentiel pour l'investigation et les démarches juridiques.

    Ce qu'il ne faut surtout PAS faire :

    • Éteindre ou réinstaller les machines compromises (destruction de preuves)
    • Communiquer via les canaux internes potentiellement compromis (email d'entreprise)
    • Payer une rançon sans avoir consulté un expert (pas de garantie de récupération)
    • Tenter de "réparer" vous-même si vous n'avez pas les compétences
    • Minimiser l'incident ou le cacher à la direction

    Étape 2 : Mobiliser les ressources (4-24 heures)

    Une fois l'attaque contenue, il faut mobiliser rapidement les compétences nécessaires pour gérer la crise. Si vous ne disposez pas d'une équipe de sécurité interne (ce qui est le cas de la plupart des PME), faites appel à des experts externes.

    Votre prestataire de sécurité / CERT

    Un prestataire disposant d'un CERT (Computer Emergency Response Team) pourra intervenir rapidement pour analyser l'attaque, déterminer son étendue et guider la remédiation. Si vous n'avez pas de prestataire identifié, l'ANSSI maintient une liste de prestataires qualifiés PRIS (Prestataire de Réponse aux Incidents de Sécurité).

    Votre assureur cyber

    Si vous disposez d'une assurance cyber, notifiez votre assureur dans les plus brefs délais. La plupart des contrats imposent un délai de notification (souvent 72 heures). L'assureur peut également mettre à disposition des experts en gestion de crise, des juristes et des communicants.

    Un avocat spécialisé

    En cas de violation de données personnelles, les obligations légales sont nombreuses et les délais serrés. Un avocat spécialisé en droit du numérique vous accompagnera dans les démarches auprès de la CNIL, les notifications aux personnes concernées et la gestion des éventuelles responsabilités.

    Étape 3 : Respecter les obligations légales (24-72 heures)

    En tant qu'entreprise, vous avez des obligations légales en cas de cyberattaque, particulièrement si des données personnelles sont concernées.

    Notification à la CNIL (72 heures)

    Si des données personnelles ont été compromises (accès, vol, destruction, modification non autorisée), vous devez notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). La notification doit décrire la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables et les mesures prises ou envisagées.

    Notification aux personnes concernées

    Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (article 34 du RGPD), vous devez également informer directement les personnes concernées. Cette communication doit être claire, précise et indiquer les mesures de protection que les personnes peuvent prendre (changement de mot de passe, surveillance des comptes).

    Dépôt de plainte

    Déposez plainte auprès de la police ou de la gendarmerie (brigade de lutte contre la cybercriminalité). Le dépôt de plainte est essentiel pour activer votre assurance cyber, pour les démarches juridiques ultérieures et pour contribuer à la lutte contre la cybercriminalité. Vous pouvez également signaler l'incident sur la plateforme cybermalveillance.gouv.fr.

    Étape 4 : Investiguer (jours 2-14)

    L'investigation forensique (ou analyse post-incident) vise à comprendre précisément ce qui s'est passé : comment l'attaquant est entré, quels systèmes ont été compromis, quelles données ont été accédées ou exfiltrées, et si l'attaquant a maintenu des accès persistants.

    Cette phase est réalisée par des experts en forensique numérique qui analysent les logs, les images disque, la mémoire vive et les traces réseau. Les résultats de l'investigation sont essentiels pour : s'assurer que l'attaquant n'a plus d'accès, identifier l'étendue exacte de la compromission, alimenter le dossier juridique, et tirer les leçons pour éviter une récurrence.

    Pour les PME, le coût d'une investigation forensique se situe généralement entre 5 000€ et 30 000€ selon la complexité. C'est un investissement qui peut sembler élevé en pleine crise, mais qui est indispensable pour garantir un retour à la normale sécurisé et pour alimenter les procédures d'assurance et juridiques.

    Étape 5 : Restaurer et renforcer (semaines 2-8)

    Une fois l'investigation terminée et l'étendue de la compromission déterminée, vient la phase de restauration. L'objectif n'est pas simplement de revenir à l'état initial (qui était vulnérable) mais de reconstruire en intégrant les enseignements de l'incident.

    • Restaurer les systèmes à partir de sauvegardes vérifiées saines (antérieures à la compromission). Réinstaller complètement les systèmes compromis plutôt que de tenter de les "nettoyer".
    • Corriger les vulnérabilités exploitées par l'attaquant avant de remettre les systèmes en production. Appliquer les recommandations issues de l'investigation.
    • Renforcer les défenses : déployer la MFA partout, durcir les configurations, segmenter le réseau, mettre en place une supervision de sécurité (SOC/SIEM).
    • Changer tous les mots de passe et secrets (clés API, certificats) de l'environnement compromis.
    • Tester la restauration avant de remettre en production : un pentest de validation peut être utile pour vérifier que les correctifs sont efficaces.

    Étape 6 : Retour d'expérience et amélioration continue

    Une fois la crise passée, il est essentiel de mener un retour d'expérience (RETEX) approfondi pour tirer les leçons de l'incident. Ce RETEX doit impliquer toutes les parties prenantes (direction, IT, métiers, prestataires) et couvrir tant les aspects techniques qu'organisationnels.

    Questions à se poser lors du RETEX : L'attaque aurait-elle pu être évitée ? Comment a-t-elle été détectée ? Le plan de réponse à incident a-t-il fonctionné ? Quelles actions de remédiation ont été les plus efficaces ? Quelles lacunes sont apparues dans nos processus ? Quels investissements sont nécessaires pour éviter une récurrence ?

    Le RETEX doit déboucher sur un plan d'action concret et budgété pour renforcer la posture de sécurité. Paradoxalement, une cyberattaque bien gérée peut devenir un levier de transformation : elle crée une prise de conscience au niveau de la direction et débloque souvent les budgets nécessaires pour une vraie démarche de cybersécurité.

    Urgence cyberattaque ? Notre CERT intervient 24/7

    Notre équipe CERT est disponible 24h/24, 7j/7 pour vous accompagner en cas de cyberattaque : containment, investigation forensique, restauration et retour d'expérience.

    Contacter le CERT

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.