Go DSI
DSI Externalisé à Temps Partagé pour TPE/PME
Secrets
My GO DSI

Cyberattaque : Que faire dans les 2 premières heures ?

Lors d’une cyberattaque, chaque minute compte. Ce guide détaille heure par heure les actions prioritaires à lancer dès la découverte de l’incident. À destination des dirigeants de PME.
Rançongiciels
Patrice Bonhomme
juin 12, 2025
Sécurité et Menaces

Sommaire

Heure par heure, le plan d’urgence du dirigeant PME

Lundi, 8h43. Vous arrivez au bureau. L'écran de votre serveur affiche une tête de mort et une demande de rançon en bitcoins. Vos 25 collaborateurs ne peuvent plus accéder à rien. Que faites-vous, minute par minute ?

🕐 Heure H – L’instant de la découverte

Tout commence ici. Il est 8h43. Un collaborateur vous appelle : Son écran est figé, tous ses fichiers ont disparu. Un autre vous dit que le serveur de fichiers est inaccessible. Un troisième aperçoit un message étrange : "Vos données ont été chiffrées".
Pas de doute : Quelque chose de grave est en train de se passer.

A partir de maintenant, vous allez tenir un registre des actions avec l'heure et l'action réalisée.

1. Garder la tête froide

C’est contre-intuitif, mais vital : Ne cédez pas à la panique. Le rôle du dirigeant est d'apporter du calme dans la tempête. Plus vous êtes lucide, plus vous pouvez contenir l'impact.
Respirez. Vous avez besoin de sang-froid pour activer les bons réflexes.

🎯 Objectif : Stopper l’escalade émotionnelle et prendre la main sur la situation.

2. Détecter l’alerte : Quelques signaux typiques

Dans 90 % des cas, ce n’est pas une alerte automatique mais un salarié ou un prestataire qui découvre le problème. Voici les signes qui doivent immédiatement faire penser à une cyberattaque :

  • Les fichiers sont renommés ou chiffrés (souvent avec une extension étrange comme .lock, .crypted, .phobos)
  • Un message d’extorsion ou de rançon (ransomware) est affiché en plein écran
  • L'antivirus ou l'EDR est en alerte rouge
  • Les l
  • Les logiciels refusent de se lancer ou redémarrent en boucle
  • La messagerie ou les accès cloud ne répondent plus
  • Un pic d’activité réseau inexpliqué

3. Ne surtout pas redémarrer

Erreur classique : Redémarrer un PC qui “bug” en pensant le réparer. C’est risqué.

Pourquoi ?

  • Vous pouvez effacer des traces essentielles (journaux, fichiers temporaires).
  • Vous risquez d’activer une charge virale au redémarrage (notamment pour certains malwares).
  • Si l’attaque est en cours, vous donnez du temps au code malveillant pour se propager plus loin.

🛑 Stoppez les gestes réflexes. Chaque action compte.

4. Prendre une capture et documenter

Avant même d’appeler qui que ce soit, notez les premières infos visibles :

  • Heure exacte de la découverte
  • Message(s) affiché(s) à l’écran
  • Quels postes sont touchés ?
  • Le nom des utilisateurs concernés
  • Toute activité inhabituelle

Prenez des captures d’écran ou des photos avec votre smartphone si besoin.

📝 Ces éléments peuvent servir de preuves techniques mais aussi à mieux comprendre comment l’attaque a commencé.

5. Informer immédiatement le bon référent

À ce stade, vous devez prévenir la bonne personne :

  • Votre prestataire informatique ou DSI à Temps Partagé
  • Votre référent interne si vous en avez un
  • Si vous êtes seul… vous êtes le référent. Ne tardez pas à passer à l’étape suivante : L’isolement.

Prévenez-les en priorité haute, par téléphone si possible. Ne vous fiez pas à votre messagerie : Elle peut déjà être compromise.

En résumé – Objectifs de l’heure H :

🔹 Ce qu’il faut faire🔻 Ce qu’il faut éviter
Garder son calmeRedémarrer dans la panique
Noter l’heure, les signes, les postes touchésAttendre "voir si ça revient"
Contacter votre DSI/prestataireEnvoyer un mail sans vérifier s’il part
Préparer les étapes suivantes (isolement)Informer tous les clients trop tôt

🕐 +10 minutes – Isoler pour contenir

Chaque seconde compte. Si l’attaque est toujours active, le temps joue contre vous. Le but de cette phase n’est pas encore de comprendre ni de réparer mais d’éviter que le mal ne se propage plus loin.

Imaginez un incendie : Avant d’éteindre les flammes, on ferme les portes pour éviter qu’il ne ravage tout l’immeuble. Ici, c’est pareil.

1. Déconnecter physiquement les postes suspects

Dès qu’un poste semble compromis :

  • Débranchez-le immédiatement du réseau (câble Ethernet, Wi-Fi, prise électrique si nécessaire).
  • Si vous avez un parc Wi-Fi, coupez l’accès Wi-Fi à la box ou au point d’accès (via bouton physique ou interface d’administration).
  • Si vous disposez d’un switch manageable, isolez les ports des machines suspectes.

Astuce : Un simple débranchement du câble réseau peut sauver le reste de votre SI.

2. Stopper les accès distants

L’attaque peut venir de l’extérieur ou s’y propager :

  • Désactivez les VPN : Fermez les tunnels actifs dans le firewall ou dans l’outil de supervision.
  • Coupez les connexions Bureau à distance si elles sont ouvertes sur l’extérieur.
  • Suspendez temporairement les accès à distance au cloud si vous avez un doute sur la compromission de comptes (ex : OneDrive, Google Drive, etc.).

🛡️ Bon réflexe : Changez les mots de passe d’accès administrateur si possible. En cas de doute, tout accès externe est un risque.

3. Isoler les serveurs sensibles

Même si rien n’a encore été confirmé mieux vaut être excessivement prudent :

  • Déconnectez temporairement les serveurs, NAS du réseau interne.
  • Si vous avez un NAS ou serveur de fichiers vérifiez qu’il n’est pas en train de chiffrer des fichiers en direct.
  • Évitez d’éteindre sans analyse préalable sauf si vous êtes sûr qu’un processus de chiffrement est en cours (clignotement anormal, fichiers qui disparaissent).

⚠️ Attention : Un arrêt brutal peut corrompre les systèmes mais mieux vaut un arrêt propre qu’un serveur compromis.

4. Identifier ce qui semble encore sain

Pendant que vous isolez cartographiez rapidement ce qui semble encore fonctionner :

  • Quels postes ne sont pas impactés ?
  • Quel segment réseau est épargné ?
  • Les sauvegardes sont-elles toujours visibles, accessibles et non chiffrées ?

Cette cartographie vous permettra de construire une stratégie de reprise plus ciblée et moins risquée.

5. Ne pas sous-estimer la vitesse de propagation

Certains ransomwares peuvent contaminer des dizaines de postes en quelques minutes. Une PME de 20 postes peut être totalement verrouillée en moins d’une heure si rien n’est fait.

🧯 En limitant la contamination dès les 10 premières minutes, vous réduisez les dégâts de 70 % selon les retours d’expérience d'incidents réels.

En résumé – Objectifs des +10 minutes :

🔹 Ce qu’il faut faire🔻 Ce qu’il faut éviter
Débrancher les machines suspectesAttendre d’avoir "plus d’infos"
Couper VPN, Wi-Fi, connexions distantesLaisser les accès ouverts par habitude
Isoler serveurs ou NAS en cas de douteÉteindre à l’aveugle sans analyse préalable
Définir les zones épargnéesToucher à tout en pensant résoudre l’incident

🕐 +30 minutes – Informer sans propager la panique

Vous avez isolé l’incident. Les premières lignes de défense sont en place.
C’est le moment de prendre le rôle de capitaine. Celui qui informe, qui structure les décisions et qui évite deux dangers : L’immobilisme et la panique collective.

1. Informer l’interne : Vos collaborateurs d’abord

Vos équipes sont les premières concernées. Ne laissez pas la rumeur s’installer. Même partiellement, l’absence de communication crée plus de stress que l’incident lui-même.

Ce qu’il faut dire :

  • Oui, un incident informatique est en cours.
  • Non, il ne faut pas tenter de “se reconnecter”, de redémarrer ou de forcer l’ouverture de documents.
  • La priorité est à la protection et à la conservation des données.
  • Toutes les consignes viendront d’un point unique (vous ou votre DSI).

💬 Un simple message oral ou écrit :
« Un incident technique est en cours. Merci de ne pas utiliser votre poste pour l’instant. Nous vous tiendrons informés. L’équipe informatique est mobilisée. »

2. Identifier vos référents opérationnels

Même en PME, il faut organiser la répartition des rôles :

  • Le dirigeant ou son représentant : Décideur et coordinateur de crise.
  • Le DSI / prestataire IT : Diagnostic, sécurisation et plan de reprise.
  • Un référent communication interne (même informel) : Relais d’infos aux équipes.
  • Un référent métier : Logistique, production, commercial, selon les impacts identifiés.

🧭 Objectif : Ne pas disperser les prises de décisions. Vous êtes en gestion de crise, pas en réunion d’équipe.

3. Alerter votre prestataire informatique ou DSI à Temps Partagé

Même si vous avez commencé à isoler les machines, vous avez besoin d’un professionnel pour analyser et sécuriser la situation.

  • Transmettez les infos collectées à l’heure H : Captures d’écran, symptômes observés, machines impactées.
  • Laissez-le établir un diagnostic technique rapide.
  • Assurez-lui un accès direct à la salle serveur, aux backups ou à vos outils d’admin.

🛠️ Il devient votre copilote technique. Et parfois, votre seul rempart contre une crise plus grave.

4. Contacter votre assureur (si contrat cyber ou RC Pro)

Certaines assurances imposent une déclaration dans les 24 ou 48h maximum. Et certaines incluent :

  • Une assistance d’expert cyber,
  • Une prise en charge des frais de restauration,
  • Une aide à la communication de crise.

Préparez :

  • Le type d’incident présumé (ex. ransomware, vol de données),
  • L’heure de découverte,
  • Les premières actions engagées.

📄 Votre assureur peut aussi vous orienter sur les obligations légales comme le dépôt de plainte ou la notification CNIL en cas de fuite de données personnelles.

5. Ne communiquez pas (encore) vers l’extérieur

Tant que vous ne savez pas exactement ce qui est touché, ce qui est en danger ou ce qui est récupérable, ne communiquez pas vers l’extérieur.

⚠️ Un message mal calibré à un client, un fournisseur ou sur les réseaux sociaux peut :

  • Amplifier la crise (perte de confiance),
  • Donner des infos utiles à l’attaquant,
  • Engager votre responsabilité juridique.

Si une communication devient nécessaire, faites-le avec des faits concrets, validés et sur décision conjointe avec votre DSI/assureur.

En résumé – Objectifs des +30 minutes :

🔹 Ce qu’il faut faire🔻 Ce qu’il faut éviter
Informer calmement les équipesLaisser les rumeurs ou incertitudes se propager
Structurer une cellule de criseMultiplier les décideurs sans coordination
Prévenir le prestataire IT et l’assureurAttendre « que ça passe » avant d’agir
Conserver une communication centraliséeParler trop tôt à l’extérieur

🕐 +1 heure – Évaluer les dégâts, sans précipiter la reprise

Vous avez agi vite. Les connexions sont coupées, les équipes informées, votre prestataire ou DSI à Temps Partagé est mobilisé. Mais maintenant ? Il faut comprendre ce qu’il s’est passé, sans se précipiter dans la restauration ou le redémarrage.

🧭 C’est une phase d’analyse rapide mais structurée. On cherche à établir une cartographie de l’impact pour décider de la suite en connaissance de cause.

1. Identifier ce qui est touché… et ce qui ne l’est pas

Avec l’appui du prestataire ou de votre référent SI, vous devez établir une vue synthétique de la situation :

  • Quels postes utilisateurs sont chiffrés ou bloqués ?
  • Quels serveurs sont atteints ? Fichiers ? ERP ? Messagerie ?
  • Des outils cloud (ex : Google Workspace, Microsoft 365, Dropbox, Sage Online...) sont-ils compromis ?
  • Avez-vous reçu un message de rançon (ransomware) ? À quel moment ?
  • Y a-t-il des soupçons de vol de données ?

🛠️ Créez un tableau à 3 colonnes : impacté / sain / inconnu. Vous y verrez vite plus clair.

2. Analyser l’état des sauvegardes (sans restaurer !)

Vos sauvegardes sont votre planche de salut… si elles sont valides et non compromises.

À ce stade, il ne faut surtout pas restaurer :

  • Une restauration trop rapide peut réinjecter le code malveillant.
  • Il faut d’abord vérifier que la sauvegarde n’a pas été chiffrée ou contaminée.

Ce que vous devez savoir :

  • La date du dernier backup complet et fonctionnel.
  • Le type de sauvegarde (locale, cloud, déconnectée).
  • La capacité de restauration testée : Combien de temps pour remettre en service tel ou tel système ?

🔍 Si vous n’avez jamais testé vos sauvegardes, ce moment sera malheureusement celui de vérité…

3. Repérer la faille initiale (si possible)

L’origine de l’attaque n’est pas toujours identifiable tout de suite mais quelques pistes peuvent déjà être explorées :

  • Un email piégé ouvert récemment ?
  • Un poste sans antivirus à jour ?
  • Un mot de passe faible ou partagé ?
  • Une faille connue (logiciel non mis à jour, ouverture RDP…) ?

Vous n’aurez pas forcément toutes les réponses mais chaque indice compte pour reconstruire l’enchaînement des événements.

4. Documenter, tracer, garder les preuves

Continuez à :

  • Prendre des captures d’écran.
  • Sauvegarder les messages suspects (ransomware, logs, alertes).
  • Noter les heures d’apparition des différents symptômes.
  • Enregistrer tout échange avec prestataires, experts ou assurance.

🧾 Ces éléments vous serviront pour :

  • La plainte auprès des autorités.
  • Le dossier assurance.
  • Une analyse post-mortem de l’incident.

5. Ne pas relancer l’activité trop vite

Le pire réflexe, c’est de vouloir « redémarrer pour livrer les clients » alors que la faille est toujours présente. Reprendre sans :

  • avoir éradiqué l’attaque,
  • restauré depuis une source saine et validée,
  • sécurisé l’environnement,

… c’est réexposer votre entreprise à un second choc, parfois plus violent que le premier.

🚫 En cybersécurité, la précipitation coûte souvent plus cher que l’arrêt temporaire.

En résumé – Objectifs de l’heure +1 :

🔹 Ce qu’il faut faire🔻 Ce qu’il faut éviter
Faire l’état des lieux complet (systèmes, cloud)Supposer que « tout est sous contrôle »
Vérifier les sauvegardes sans restaurerRelancer les systèmes à l’aveuglette
Chercher des indices de faille initialeChercher un coupable avant d’avoir des preuves
Documenter tous les constatsSe fier uniquement à la mémoire ou à l’oral

🕐 +2 heures – Décider comment reprendre, en mode dégradé

Vous avez contenu l’incident, sécurisé l’environnement, évalué les dégâts.
Il est maintenant temps de reprendre le contrôle. Mais attention, la reprise ne signifie pas un retour à la normale. Elle doit être progressive, contrôlée, et sécurisée.

🧩 L’objectif ici n’est pas d’avoir tout réparé mais de réamorcer l’activité sans prendre de risque supplémentaire. C’est la phase de reprise en mode dégradé.

1. Définir ce qui est vital pour continuer à travailler

Posez-vous cette question simple :
Quelles fonctions de l’entreprise doivent repartir en priorité ?

Cela peut varier selon votre activité :

  • Production : peut-elle redémarrer manuellement ou sans certaines machines connectées ?
  • Logistique : avez-vous accès aux bons de commande ou aux plannings ?
  • Service client : pouvez-vous communiquer autrement qu’avec la messagerie ?
  • Comptabilité / facturation : les échéances sont-elles critiques ?

🧠 Listez les tâches essentielles puis évaluez ce qui peut être réalisé :

  • Sans SI
  • Avec des outils alternatifs
  • Avec un accès limité, sécurisé et surveillé

2. Mettre en place un fonctionnement en mode dégradé

Le mode dégradé consiste à faire fonctionner l’entreprise à capacité réduite mais de manière fiable :

ActivitéSolution en mode dégradé
Commandes clientsSuivi sur tableau blanc ou fichier Excel local
Communication interneTéléphone, SMS, groupe WhatsApp sécurisé
MessagerieCompte Gmail temporaire (avec précaution)
Planning productionRéimpression du dernier planning disponible

Ce mode doit être documenté, centralisé et communiqué aux équipes.

✅ L’objectif n’est pas la perfection, mais la résilience.

3. Encadrer strictement la reprise des systèmes

Avant de relancer quoi que ce soit :

  • Scannez intégralement les postes et serveurs avec un outil antivirus/EDR à jour.
  • Validez l’intégrité des sauvegardes et restaurez uniquement à partir de versions saines.
  • Priorisez les systèmes critiques à redémarrer, un par un, sous supervision.

⚠️ Une restauration trop rapide peut réactiver le malware s’il est encore dans l’environnement.

Faites appel à votre DSI ou prestataire pour vous accompagner sur cette phase. Il ne s’agit plus d’un simple redémarrage, mais d’une reconstruction partielle du SI.

4. Envisager une communication externe, si nécessaire

Vous pouvez envisager une communication vers :

  • Vos clients : En cas de retard de livraison ou d’interruption temporaire.
  • Vos fournisseurs : S’ils sont impactés dans la chaîne logistique.
  • Vos partenaires ou organismes publics : En cas de suspicion de fuite de données (CNIL notamment).

Mais attention : Communiquez uniquement avec des faits après validation avec votre prestataire ou votre assureur cyber.

🧷 Un message sobre, honnête et factuel est plus rassurant qu’un silence ou une annonce trop technique.

En résumé – Objectifs des +2 heures :

🔹 Ce qu’il faut faire🔻 Ce qu’il faut éviter
Prioriser les fonctions critiques à relancerViser un redémarrage complet immédiat
Mettre en place un plan de reprise partielle sécuriséRelancer sans avoir sécurisé l’environnement
Encadrer les communications externesMinimiser ou communiquer sans preuve
S’appuyer sur son DSI/prestataire pour la relanceLancer des actions techniques non coordonnées

🎯 Et maintenant ?

Vous avez passé les 2 premières heures. Vous êtes encore dans l’urgence mais vous avez repris la main.
Le temps est venu de :

  • Consolider ce que vous avez fait
  • Initier une analyse complète
  • Lancer une vraie stratégie de résilience pour ne plus jamais vivre ça dans l’improvisation

✅ Conclusion – Un plan de 2 heures, des impacts divisés

En cas de cyberattaque, les deux premières heures font la différence entre un incident maîtrisé et une crise dévastatrice. Vous n’avez pas besoin d’être un expert en cybersécurité. Vous avez besoin :

  • D’un réflexe clair à l’instant de la découverte,
  • D’actions rapides et ordonnées pour contenir,
  • D’une reprise progressive et sécurisée,
  • Et surtout, d’un rôle assumé de pilote de crise, même sans tous les détails techniques.

Ce plan, heure par heure, n’est pas une théorie. C’est un guide de survie numérique accessible à toute PME.

Une attaque peut paralyser votre activité.
Un bon plan peut la sauver.

📌 Dirigeant de PME, êtes-vous prêt ?

Ne restez pas dans l’improvisation. Anticipez, organisez, et formalisez votre propre plan de réaction.
Et pour aller plus loin, téléchargez votre ressource pratique :

🎁 [Checklist] Les 10 Clés d’un Système d’Information Fiable et Sécurisé pour votre PME

🎁[eBook] Que faire en cas de Cyberattaque (version 2025) ?

Dirigeant de TPE/PME, prêt pour anticiper, préparer et formaliser votre plan d'actions ? Réservez en ligne votre créneau pour un appel découverte de 30mn gratuit et sans engagement.

Partager l'article sur :

Facebook
Email