Que faire en premier si mon entreprise vient d'être piratée ?

Isoler immédiatement les machines suspectes du réseau (débrancher le câble réseau, désactiver le WiFi) sans les éteindre, photographier les écrans avec un téléphone, alerter la direction par téléphone (pas par email si la messagerie peut être compromise), et contacter un expert en réponse à incident. Ne pas tenter de nettoyer ou redémarrer les systèmes.

Faut-il éteindre les ordinateurs lors d'un piratage informatique ?

Non. Éteindre les machines détruit la mémoire vive (RAM), qui contient souvent les traces les plus importantes pour l'analyse forensique : processus actifs, connexions réseau ouvertes, clés de chiffrement en mémoire. L'expert a besoin de ces données pour identifier le vecteur d'attaque et l'étendue de la compromission.

Mon prestataire informatique habituel peut-il gérer une cyberattaque ?

Probablement pas seul. Votre prestataire IT connaît votre infrastructure mais la réponse à incident est une spécialité distincte : préservation des preuves légales, analyse forensique, identification des backdoors résiduelles, obligations ANSSI/CNIL. Une intervention non formée peut détruire des preuves utilisables en justice ou aggraver la situation.

Dois-je appeler la police si mon entreprise est piratée ?

Oui, et c'est une obligation depuis janvier 2023 pour activer votre assurance cyber. Déposez plainte auprès du BL2CN (Brigade de Lutte contre la Cybercriminalité) à Paris ou de votre commissariat local. Conservez une copie du récépissé de plainte.

Quelles sont mes obligations légales en cas de piratage d'entreprise ?

Trois obligations principales : notifier la CNIL dans les 72 heures si des données personnelles ont été exposées (article 33 RGPD), déposer plainte auprès des autorités (condition préalable à l'assurance cyber), et prévenir votre assureur dans les délais prévus par votre contrat (souvent 48 à 72 heures).

UrgencePME & ETI8 min de lecture

GUIDE DE TRIAGE · ÉDITION 2026

Votre entreprise
a été piratée.

Les 30 prochaines minutes comptent.

La découverte prend des formes très différentes. Des écrans qui se bloquent d'un coup. Un email bizarre envoyé depuis le compte du directeur à toute la liste de contacts. Le site de l'entreprise qui affiche n'importe quoi. Avant même de comprendre ce qui se passe vraiment, voici ce qu'il faut faire et, surtout, ce qu'il ne faut pas faire.

30 minfenêtre critique avant propagation

67%des PME victimes ferment dans les 6 mois

72hdélai légal pour notifier la CNIL

ÉTAPE 1 : IDENTIFIER

Qu'est-ce qui se passe sur vos systèmes ?

Cliquez sur la situation qui vous correspond le mieux. Le guide adapté s'affiche directement.

ÉTAPE 2 : AGIR

Dans les 15 premières minutes

Ces actions ne nécessitent aucune compétence technique. Elles préservent les preuves et limitent la propagation de l'attaque.

Couper la connexion internet des machines suspectes

Débrancher le câble réseau ou désactiver le WiFi. Pas d'extinction.

Ne pas éteindre les ordinateurs

La mémoire vive contient des preuves qui disparaissent au redémarrage.

Photographier les écrans avec votre téléphone

Messages d'erreur, fenêtres suspectes, notes de rançon, horodatages visibles.

Alerter votre direction et votre responsable IT

Par téléphone, pas par email. Les messageries peuvent être compromises.

Ne rien supprimer, ne rien déplacer

Chaque fichier modifié peut effacer une preuve légale.

Appeler un expert en réponse à incident

Votre prestataire habituel ne suffit pas (voir plus bas). Diagnostic de départ gratuit.

À ÉVITER ABSOLUMENT

Les erreurs qui aggravent tout

Les premières réactions instinctives sont souvent les plus destructrices sur le plan forensique. Ce qui suit n'est pas intuitif, mais ça change tout.

✗

Redémarrer les machines

La mémoire vive est effacée au redémarrage. Les traces de l'attaquant disparaissent avec elle.

✗

Lancer un antivirus ou un scan en urgence

Un scan peut modifier des timestamps, écraser des logs et détruire des preuves forensiques utilisables en justice.

✗

Payer sans avoir consulté un expert

Identifier la souche prend 30 minutes. Des clés de déchiffrement gratuites existent pour certains ransomwares.

✗

Communiquer publiquement avant d'avoir évalué la situation

Toute déclaration prématurée peut alerter les attaquants, inquiéter inutilement les clients ou créer des obligations légales supplémentaires.

✗

Tout coordonner par email

Si les attaquants ont encore accès à votre messagerie, ils lisent tout ce que vous écrivez sur la situation.

POURQUOI PAS LUI

Votre prestataire IT habituel ne suffit pas

Ce n'est pas une critique. Votre informaticien connaît votre parc, il gère les pannes et installe les logiciels. Mais la réponse à incident, c'est une spécialité à part entière.

Un expert en réponse à incident sait comment préserver les preuves légales, identifier comment l'attaquant est entré et par où, évaluer ce qui a été exfiltré, et répondre aux obligations CNIL et ANSSI. Une intervention non formée peut détruire des preuves utilisables en justice ou, dans certains cas, aggraver la situation.

CyberUrgence met en relation avec des experts certifiés en réponse à incident, disponibles en moins de 15 minutes. Le diagnostic de départ est gratuit.

OBLIGATIONS

Ce que la loi vous impose

Deux délais que beaucoup d'entreprises ratent, pas par mauvaise volonté, mais parce que personne ne les avait signalés avant l'incident.

72h

Notifier la CNIL

Si des données personnelles ont été touchées. Le délai démarre au moment où vous prenez connaissance de l'incident, pas après résolution. En cas de doute, notifiez tôt.

Immédiat

Déposer plainte

Depuis janvier 2023, c'est une condition préalable à l'activation de votre assurance cyber. BL2CN à Paris ou votre commissariat local. Gardez une copie du récépissé.

Dès que possible

Prévenir votre assureur

Les délais de déclaration varient selon les polices, souvent entre 48 et 72 heures. Relisez votre contrat. Un retard peut invalider la prise en charge.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides