En effet, une cyberattaque coupe votre activité, chiffre vos données ou affiche un message de rançon. Chaque minute compte et vous n’avez pas le temps de vous perdre dans la théorie. Vous vous demandez concrètement que faire en cas de cyberattaque pour limiter les dégâts et relancer votre entreprise au plus vite.

C’est pourquoi nous vous proposons une checklist d’urgence pensée comme un guide pompier à suivre pas à pas. Elle s’appuie sur les recommandations des autorités françaises et sur notre expérience de terrain auprès des TPE-PME. Gardez cette page sous la main et, si possible, imprimez les étapes clés pour disposer d’un plan hors ligne.

Par ailleurs, en cas de doute sur une des étapes décrites ci-dessous, mieux vaut interrompre temporairement l’activité que laisser l’attaque se propager. Et si la situation vous dépasse, appelez immédiatement notre numéro d’urgence indiqué sur cette page pour être accompagné dans les premières minutes.

Que faire en cas de cyberattaque : la checklist d’urgence pour limiter les dégâts

Temps de lecture : ~11 min

1. Que faire en cas de cyberattaque dans les 60 premières minutes
2. Piloter la crise et remplir vos obligations
3. Activer rapidement les bons services et prestataires
4. À faire et à ne pas faire en cas de cyberattaque
5. Après la cyberattaque : renforcer votre résilience
6. Étapes pour passer à l’action avec ISISCOM
7. Questions fréquentes

Que faire en cas de cyberattaque dans les 60 premières minutes

Concrètement, dans la première heure, votre objectif est simple : contenir l’attaque, préserver les preuves, organiser la riposte.

Chronologie des premiers gestes

Voici une synthèse des actions prioritaires à accomplir dans la première heure suivant la découverte d’une cyberattaque.

Isoler sans paniquer

Couper trop vite ou n’importe comment peut aggraver la situation. Débranchez les câbles réseau des postes compromis, désactivez leur Wi-Fi et stoppez provisoirement le VPN ou les accès distants sensibles. N’éteignez pas les machines : les traces techniques sont précieuses pour la suite. Interdisez temporairement l’usage des comptes administrateurs et le branchement de supports USB inconnus afin d’éviter toute propagation.

Préserver les preuves techniques

Demandez la sauvegarde des journaux d’événements, photographiez les messages de rançon ou d’erreur et consignez l’heure de découverte, les symptômes et les premières actions. Conservez les fichiers chiffrés : ils pourront servir lors de l’analyse ou d’une restauration.

Alerter les bonnes personnes

Prévenez votre responsable informatique ou prestataire, votre direction pour activer la cellule de crise et votre référent RGPD si nécessaire. Selon la nature de l’attaque, un dépôt de plainte et une notification à la CNIL peuvent être requis ; un prestataire expérimenté vous guidera.

Piloter la crise et remplir vos obligations

Structurer votre cellule de crise

Désignez : un pilote de crise pour trancher, un référent technique pour le SI, un référent métier pour évaluer l’impact sur la production et un référent communication pour les messages internes et externes. Cette organisation conserve une vue d’ensemble pendant l’intervention.

Tenir un journal de bord

Notez chronologiquement ce qui est découvert (services indisponibles, fichiers chiffrés), ce qui est décidé (coupure de serveur, quarantaine réseau) et ce qui est communiqué (clients, partenaires). Ce document servira à l’assureur, aux autorités et au retour d’expérience.

Obligations légales et assurances

Selon l’attaque, un dépôt de plainte est recommandé, la CNIL doit être notifiée sous 72 h en cas de données personnelles violées et les personnes concernées doivent être informées le cas échéant. Prévenez aussi votre assureur cyber : certains contrats fixent des délais stricts et couvrent tout ou partie des frais d’expertise et de remise en état.

Activer rapidement les bons services et prestataires

Priorités d’activation

Mobilisez : un prestataire cybersécurité pour diagnostiquer et contenir, votre prestataire informatique pour la remise en route progressive et votre assureur (ainsi que la banque si nécessaire) pour le volet financier. ISISCOM dispose d’un dispositif d’urgence : appelez le numéro indiqué sur cette page dès le moindre doute. Découvrez aussi nos solutions réseau informatique pour renforcer la sécurité de votre organisation.

À faire et à ne pas faire en cas de cyberattaque

À faire immédiatement

• Isoler les postes et serveurs touchés sans les éteindre ;
• Prévenir rapidement le support informatique et la direction ;
• Conserver les preuves techniques et noter les observations ;
• Informer les équipes de ne plus utiliser les équipements suspects ;
• Préparer pour l’expert : journal de bord, systèmes critiques, contacts clés.

À ne pas faire

• Ne pas redémarrer serveurs ou postes sans avis spécialisé ;
• Ne pas lancer de nettoyage ou réinstallation précipitée ;
• Ne pas payer de rançon sans analyse experte ;
• Ne pas minimiser l’incident auprès des équipes ou des autorités ;
• Ne pas communiquer à chaud sur les réseaux sociaux sans stratégie.

Après la cyberattaque : renforcer votre résilience

Retour d’expérience et plan d’amélioration

Avec vos équipes et prestataires, évaluez ce qui a bien fonctionné (détection, réactivité) et ce qui a posé problème (sauvegardes, procédures, ressources). Définissez les actions concrètes à mener : segmentation réseau, accès distants, gestion de crise. ISISCOM vous accompagne sur la sécurité informatique.

Sauvegardes et conformité RGPD

Vos sauvegardes doivent être régulières, testées et partiellement hors ligne. Profitez de l’incident pour revoir votre conformité RGPD : registre des traitements, politiques de conservation et mesures de sécurité.

Étapes pour passer à l’action avec ISISCOM

1. 1. Audit de votre situation actuelle : état des lieux de l’infrastructure, des sauvegardes et des pratiques de sécurité.
2. 2. Élaboration de votre plan d’urgence cyber : procédure claire avec contacts, systèmes prioritaires et décisions clés, à conserver hors ligne.
3. 3. Renforcement de votre réseau et de vos protections : firewalls, filtrage, supervision et gestion des accès sans jargon inutile.
4. 4. Exercices de crise et sensibilisation : simulations d’incident et formation des équipes pour adopter les bons réflexes. Gardez toujours notre numéro d’urgence à portée de main.

Questions fréquentes sur que faire en cas de cyberattaque

Faut-il payer une rançon pour récupérer ses données ?

Dans la grande majorité des cas, il est déconseillé de payer. Rien ne garantit la restitution des données et vous financez potentiellement d’autres attaques. Faites analyser la situation par un expert et privilégiez la restauration depuis vos sauvegardes.

Combien de temps dure généralement une gestion de cyberattaque ?

Tout dépend de l’ampleur de l’incident, de votre préparation et de la qualité des sauvegardes. D’une poignée d’heures pour une attaque limitée à plusieurs jours, voire semaines pour un sinistre majeur. Un plan de continuité bien conçu réduit fortement l’impact.

Dois-je communiquer auprès de mes clients ?

Oui, si l’incident affecte la disponibilité de vos services ou la confidentialité de leurs données. La transparence mesurée vaut mieux qu’un silence source de rumeurs. Préparez cependant la communication et alignez-la sur les exigences légales, notamment celles de la CNIL.

Conclusion : que faire en cas de cyberattaque pour être prêt ?

La meilleure façon de savoir que faire en cas de cyberattaque est de préparer dès maintenant vos réflexes, vos contacts et vos procédures. En vous appuyant sur l’expertise ISISCOM, présent auprès des entreprises, vous gagnez de précieuses minutes lorsqu’une crise survient. Découvrez tous nos services sur isiscom.cloud et conservez notre numéro d’urgence comme point d’appui en cas d’incident.