Que faire en priorité si mon entreprise est victime d'une cyberattaque ?

Isoler immédiatement les machines touchées du réseau (déconnecter le câble Ethernet ou couper le Wi-Fi) sans les éteindre, prendre des captures d'écran des messages d'erreur, et contacter un expert cybersécurité. Ne pas tenter de nettoyer les machines soi-même avant l'analyse forensique.

Faut-il éteindre les ordinateurs lors d'une cyberattaque ?

Non. Éteindre les machines détruit la mémoire vive (RAM), qui contient souvent les traces les plus importantes pour identifier le vecteur d'attaque. L'expert a besoin de ces données pour comprendre comment l'attaquant est entré et jusqu'où il est allé.

Quel est le délai légal pour notifier la CNIL après une cyberattaque ?

72 heures à partir du moment où vous avez connaissance de la violation de données personnelles, conformément à l'article 33 du RGPD. Ce délai court dès la prise de connaissance, pas depuis la résolution de l'incident. En cas de doute, notifiez sans attendre.

Comment savoir quel type de cyberattaque j'ai subi ?

Le type d'attaque se détermine par les symptômes : fichiers chiffrés avec demande de rançon (ransomware), connexions anormales détectées (intrusion), emails envoyés depuis votre nom sans votre accord (compromission de messagerie), site inaccessible (DDoS). Un expert peut qualifier l'attaque en moins de 15 minutes.

Combien coûte une réponse à incident cyberattaque pour une PME ?

CyberUrgence propose des forfaits fixes par type d'attaque : phishing 200–500 €, DDoS 300–800 €, malware 500–1 200 €, intrusion 600–1 500 €, fuite de données 800–2 000 €, ransomware 1 000–2 500 €. Le diagnostic initial est gratuit. Seules les heures réellement travaillées sont facturées.

Urgence active12 min de lecture

Guide de triage · Édition 2026

Cyberattaque.
Par où commencer.

Quelque chose ne va pas. Les machines sont lentes, bloquées ou inaccessibles. Un email bizarre. Un accès qui ne fonctionne plus. Peut-être que vous savez déjà ce qui se passe. Peut-être pas. La décision la plus coûteuse en cas de cyberattaque, c'est d'attendre de comprendre avant d'agir. Ce guide explique quoi faire dans le bon ordre, même quand vous ne savez pas encore quel type d'attaque vous subissez.

204jdélai médian de détection d'une intrusion

<1hfenêtre pour limiter la propagation

72hdélai CNIL si données exposées

Premier réflexe

Avant même de comprendre ce qui se passe

Vous n'avez pas besoin de savoir si c'est un ransomware, une intrusion ou autre chose pour faire le premier geste. La question n'est pas « quelle est cette attaque », c'est « est-ce qu'elle continue à se propager ». Une attaque qui continue à circuler dans votre réseau pendant que vous essayez de comprendre d'où elle vient, c'est comme chercher la notice de l'extincteur pendant que le bâtiment brûle.

Ne pas éteindre. C'est l'erreur la plus répandue. La mémoire vive contient les traces de l'attaque : signatures du malware, connexions actives, parfois des clés de déchiffrement temporaires dans certains ransomwares. L'extinction détruit tout ça définitivement.

Chronologie de réponse

Ce qui se joue à chaque étape

La plupart des décisions qui déterminent l'étendue des dégâts se prennent dans la première heure. Après, on gère surtout les conséquences.

0 – 5 MINCouper la propagation

Avant de comprendre ce qui se passe, il y a une chose à faire : arrêter l'attaque de continuer à circuler dans votre réseau. Chercher ce qui se passe pendant que les machines restent connectées, c'est laisser la porte ouverte.

Débrancher le câble réseau des machines qui semblent touchées. Pas les éteindre

Désactiver le WiFi sur les postes concernés si pas de câble à débrancher

Photographier chaque écran avec votre téléphone avant de toucher quoi que ce soit

Alerter votre direction par téléphone, pas par email. La messagerie peut être compromise

⚠Ne pas éteindre les machines. La mémoire vive contient des traces de l'attaque qui disparaissent définitivement au redémarrage.

5 – 30 MINDessiner le périmètre

Vous avez isolé les machines suspectes. Maintenant, il faut comprendre l'étendue de ce qui est touché : pas le type d'attaque, juste ce qui fonctionne encore et ce qui ne fonctionne plus.

Lister les machines qui ont l'air touchées, leurs noms et adresses IP si vous les connaissez

Identifier quels comptes utilisateurs ont eu une activité anormale

Vérifier si des données clients ou financières sont potentiellement accessibles depuis les postes touchés

Noter l'heure exacte de découverte et les premiers symptômes observés

⚠Ne rien supprimer, ne rien déplacer. Chaque modification peut effacer une preuve qui sera nécessaire pour l'enquête ou le dépôt de plainte.

30 – 60 MINAppeler un expert en cybersécurité d'urgence

C'est le moment d'appeler quelqu'un qui fait ça tous les jours. Pas votre prestataire informatique habituel. La réponse à incident est une spécialité. Votre DSI ou votre prestataire IT gère des infrastructures ; un expert en réponse à incident gère des attaques actives. Ce n'est pas la même chose.

Contacter un expert en réponse à incident (diagnostic initial gratuit)

Préparer la liste des machines isolées et des comptes suspects à communiquer

Ne pas remettre les systèmes en ligne avant validation d'un expert

Documenter tout par écrit depuis le début : heure, symptômes, actions prises

1H – 24HNotifications et obligations légales

Si des données personnelles ont été exposées, vous avez 72 heures pour notifier la CNIL à partir du moment où vous en avez connaissance. Ce délai court dès maintenant. Ce n'est pas une obligation que vous pouvez remettre à demain.

Notifier la CNIL si des données personnelles sont potentiellement exposées (72h)

Contacter votre assureur cyber si vous avez un contrat (certains ont une hotline dédiée)

Déposer une plainte auprès de la police ou gendarmerie nationale

Informer vos clients ou partenaires si leurs données sont concernées

⚠La notification CNIL n'est pas facultative si des données personnelles sont concernées. Le délai de 72h s'applique même si l'enquête n'est pas terminée.

IDENTIFIER LE TYPE D'ATTAQUE

Qu'est-ce qui se passe sur vos systèmes ?

Cliquez sur la situation qui vous correspond le mieux. Le guide adapté s'affiche directement.

Périmètre exposé

Quels types de données ou systèmes sont exposés

Cette évaluation est pour vous, pas seulement pour l'expert que vous allez appeler. Savoir ce qui est potentiellement exposé vous aide à prioriser vos notifications et à comprendre les obligations légales qui s'appliquent.

Données clients ou financières

Factures, contrats, données RH, informations bancaires accessibles depuis les machines touchées.

RGPD · Notification 72h

Systèmes de production

ERP, site web, CRM, outils métier inaccessibles ou en comportement anormal.

Arrêt d'activité · Perte de revenus

Comptes et accès

Connexions non reconnues, mots de passe changés, accès administrateur suspect.

Intrusion active possible

Messagerie et communications

Emails envoyés à l'insu de l'utilisateur, redirections suspectes, contacts spammés.

Atteinte à la réputation · Phishing

RÉFLEXES IMMÉDIATS

Dans les 15 premières minutes

Ces actions ne nécessitent aucune compétence technique. Elles préservent les preuves et limitent la propagation de l'attaque.

Couper la connexion internet des machines suspectes

Débrancher le câble réseau ou désactiver le WiFi. Pas d'extinction.

Ne pas éteindre les ordinateurs

La mémoire vive contient des preuves qui disparaissent au redémarrage.

Photographier les écrans avec votre téléphone

Messages d'erreur, fenêtres suspectes, notes de rançon, horodatages visibles.

Alerter votre direction et votre responsable IT

Par téléphone, pas par email. Les messageries peuvent être compromises.

Ne rien supprimer, ne rien déplacer

Chaque fichier modifié peut effacer une preuve légale.

Appeler un expert en réponse à incident

Votre prestataire habituel ne suffit pas (voir plus bas). Diagnostic de départ gratuit.

À ÉVITER ABSOLUMENT

Les erreurs qui aggravent tout

Les premières réactions instinctives sont souvent les plus destructrices sur le plan forensique. Ce qui suit n'est pas intuitif, mais ça change tout.

✗

Redémarrer les machines

La mémoire vive est effacée au redémarrage. Les traces de l'attaquant disparaissent avec elle.

✗

Lancer un antivirus ou un scan en urgence

Un scan peut modifier des timestamps, écraser des logs et détruire des preuves forensiques utilisables en justice.

✗

Payer sans avoir consulté un expert

Identifier la souche prend 30 minutes. Des clés de déchiffrement gratuites existent pour certains ransomwares.

✗

Communiquer publiquement avant d'avoir évalué la situation

Toute déclaration prématurée peut alerter les attaquants, inquiéter inutilement les clients ou créer des obligations légales supplémentaires.

✗

Tout coordonner par email

Si les attaquants ont encore accès à votre messagerie, ils lisent tout ce que vous écrivez sur la situation.

Guides spécifiques

Si vous avez identifié le type d'attaque

Chaque guide va plus loin sur ce scénario précis : confinement, investigation, obligations légales.

Vous voyez des fichiers chiffrés, une note de rançon

Guide ransomware

Vous voyez site inaccessible, services en panne

Guide DDoS

Vous voyez un email suspect cliqué, un compte compromis

Guide phishing

Vous cherchez un plan de réponse structuré pour votre équipe

Plan de réponse en 6 étapes

Qui appeler

Votre informaticien et un expert en réponse à incident ne font pas le même travail

Ce n'est pas une critique de votre prestataire informatique. Il est probablement compétent dans ce qu'il fait : gérer des infrastructures, configurer des postes, gérer des mises à jour. Mais gérer une attaque active, c'est une autre discipline. Le réflexe d'appeler le prestataire habituel en premier coûte du temps qui ne se récupère pas.

Votre prestataire informatique

✓Maintient votre infrastructure

✓Gère les sauvegardes et mises à jour

✓Réinitialise les mots de passe et comptes

✓Réinstalle les logiciels

✕Analyse forensique de l'attaque

✕Préservation des preuves

✕Confinement de l'attaquant sans couper les systèmes

Expert en réponse à incident

→Identifie le type d'attaque et son origine

→Préserve les preuves pour les recours légaux

→Confine l'attaquant sans détruire les traces

→Conseille sur le paiement (ransomware)

→Coordonne avec les obligations légales (CNIL, assureur)

CyberUrgence vous met en relation avec des experts en réponse à incident vérifiés, disponibles 24h/24 et 7j/7. Le diagnostic initial est gratuit, vous ne payez que si vous décidez de poursuivre avec l'accompagnement de l'expert.

OBLIGATIONS LÉGALES

Ce que la loi vous impose

Deux délais que beaucoup d'entreprises ratent, pas par mauvaise volonté, mais parce que personne ne les avait signalés avant l'incident.

72h

Notifier la CNIL

Si des données personnelles ont été touchées. Le délai démarre au moment où vous prenez connaissance de l'incident, pas après résolution. En cas de doute, notifiez tôt.

Immédiat

Déposer plainte

Depuis janvier 2023, c'est une condition préalable à l'activation de votre assurance cyber. BL2CN à Paris ou votre commissariat local. Gardez une copie du récépissé.

Dès que possible

Prévenir votre assureur

Les délais de déclaration varient selon les polices, souvent entre 48 et 72 heures. Relisez votre contrat. Un retard peut invalider la prise en charge.

Cyberattaque.Par où commencer.