Comment savoir si mon serveur a été piraté ?

Les signes d'une intrusion informatique incluent : connexions inconnues dans les logs, processus inconnus en cours d'exécution, fichiers modifiés à des heures anormales, comptes administrateurs créés sans raison, trafic réseau inhabituel vers des IP externes. Un expert en réponse à incident peut effectuer une analyse forensique pour confirmer le périmètre.

Que faire en priorité si mon système informatique a été compromis ?

Isoler immédiatement le ou les systèmes compromis du réseau sans les éteindre (pour préserver les preuves en mémoire vive), changer les mots de passe des comptes administrateurs depuis une machine saine, et contacter un expert en réponse à incident. Ne pas effacer de logs ni formater avant l'analyse forensique.

Combien de temps un attaquant peut-il être présent sur un réseau avant d'être détecté ?

En moyenne, un attaquant reste présent sur un réseau d'entreprise entre 100 et 200 jours avant détection (données ANSSI/Mandiant). C'est pourquoi une analyse forensique complète est indispensable : l'intrusion visible n'est souvent que la partie émergée d'une présence plus ancienne.

IntrusionPME & ETI10 min de lecture

GUIDE FORENSIQUE · ÉDITION 2026

Votre système
a été compromis.

190 jours. C'est le temps que l'attaquant était déjà là avant que vous le sachiez.

Une intrusion informatique est rarement spectaculaire au moment de la découverte. Pas d'écran bleu, pas de message de rançon visible. Juste des logs anormaux, un processus inconnu, un comportement réseau qui ne colle pas. Ce guide explique comment identifier une intrusion sur votre système, préserver les preuves, et reprendre le contrôle — dans le bon ordre.

190jdurée moyenne de présence avant détection

43%des intrusions détectées par un tiers externe

72hdélai légal CNIL si données personnelles exposées

ÉTAPE 1 : DÉTECTER

Les signaux d'une intrusion informatique en entreprise

Une intrusion ne ressemble pas à ce que les films montrent. Elle se manifeste par des anomalies subtiles, souvent ignorées pendant des semaines. Les signaux critiques (rouge) exigent une réaction immédiate. Les signaux élevés (ambre) méritent une investigation.

Connexions inconnues dans les logs d'authentification

Notamment depuis des IP étrangères ou hors des horaires habituels. Les attaquants opèrent souvent la nuit.

Comptes administrateurs créés sans raison connue

Signe classique de persistence — l'attaquant crée ses propres backdoors pour maintenir l'accès.

Trafic réseau sortant anormal vers des IP inconnues

Exfiltration en cours ou canal C2 actif. Vérifiez aussi les flux DNS (exfiltration DNS).

Processus inconnus tournant en tâche de fond

Vérifiez depuis un endpoint sain — pas depuis la machine suspecte dont les outils peuvent être compromis.

Fichiers modifiés à des heures anormales (2h–5h du matin)

Les attaquants opèrent la nuit pour réduire les chances d'être vus par les équipes IT.

Performances dégradées sans explication technique

Peut indiquer du cryptomining parasite ou une activité de scan interne à la recherche de nouvelles cibles.

COMMENT ÇA MARCHE

La progression silencieuse d'un attaquant

Entre l'accès initial et l'objectif final, un attaquant suit une séquence prévisible. Comprendre ces étapes permet d'identifier où en est l'attaque et quelles traces forensiques chercher.

⚡

Accès initial

Phishing, CVE exploitée, credential stuffing

🔗

Établissement

Backdoor implantée, canal C2 actif

⬆

Élévation

Privilege escalation, accès admin obtenu

↔

Latéralisation

Pivot réseau, reconnaissance interne

📦

Collecte

Exfiltration de données, cartographie des biens

🎯

Objectif final

Ransomware, sabotage ou revente

L'attaquant était peut-être présent depuis des semaines avant la détection. L'analyse forensique doit remonter au-delà de la date apparente de l'incident pour identifier le vecteur initial.

ACTIONS IMMÉDIATES

Préserver les preuves : la règle d'or

La règle d'or d'une intrusion informatique est à l'inverse de l'intuition : ne pas éteindre, ne pas effacer, ne pas nettoyer. Chaque action spontanée peut détruire des preuves forensiques essentielles à l'investigation et à la procédure judiciaire.

Ne pas éteindre les machines compromises

La RAM contient des preuves volatiles (clés de session, connexions actives). Elles disparaissent à l'extinction.

Photographier tous les écrans avec un téléphone

Messages d'erreur, connexions actives, processus visibles — documentez avant toute intervention.

Isoler du réseau sans éteindre (câble ou WiFi)

Débrancher physiquement ou désactiver l'interface réseau. L'attaquant perd son accès sans perdre les preuves.

Ne pas lancer d'antivirus ou de scan en urgence

Un scan modifie les timestamps et peut écraser des logs utilisables en justice. À faire après la capture forensique.

Changer les mots de passe admin depuis une machine saine

Pas depuis les machines compromises — l'attaquant peut intercepter les saisies (keylogger).

Appeler un expert, ne pas tenter une remédiation solo

Sans analyse forensique préalable, une remédiation partielle laisse des backdoors résiduelles actives.

FORENSIQUE

Expert IR vs. prestataire IT : ce que ça change concrètement

Votre prestataire IT habituel gère les pannes et les installations. La réponse à incident est une discipline distincte — investigation forensique, recherche d'IOC, éradication de backdoors résiduelles.

Expert IR certifiéCe qu'il fait

✓Capture forensique de la RAM et des disques avant intervention

✓Reconstruction chronologique complète des événements

✓Recherche d'IOC (indicateurs de compromission) sur tout le réseau

✓Identification du vecteur d'entrée initial

✓Détection de backdoors résiduelles après nettoyage

✓Rapport forensique certifiable pour la justice et la CNIL

Prestataire IT classiqueCe qu'il ne peut pas faire

✗Analyse forensique de la mémoire volatile (RAM)

✗Reconstruction de la kill chain complète

✗Certification des preuves pour une procédure judiciaire

✗Évaluation précise du volume de données exfiltrées

✗Vérification de l'absence de backdoors résiduelles

✗Rédaction du rapport de violation de données RGPD

CyberUrgence met en relation avec des experts certifiés PRIS disponibles en moins de 15 minutes. Forfait intrusion informatique : 600–1 500 €. Diagnostic de départ gratuit.

OBLIGATIONS LÉGALES

Ce que la loi impose après une intrusion

Une intrusion qui touche des données personnelles déclenche automatiquement des obligations sous RGPD. Deux délais à ne pas rater — ils courent dès votre prise de connaissance, pas après résolution.

72h

Notifier la CNIL

Si des données personnelles ont été exposées (article 33 RGPD). Le délai démarre à la prise de connaissance. En cas de doute, notifiez tôt — une notification complémentaire peut suivre.

Immédiat

Déposer plainte

Condition préalable à l'activation de la majorité des assurances cyber depuis janvier 2023. Gendarmerie, commissariat ou BL2C à Paris. Conservez le récépissé.

48–72h

Déclarer à l'assurance

Vérifiez votre contrat — la plupart des polices cyber imposent un délai de 48 à 72 heures. Un retard peut invalider la prise en charge même si l'incident est couvert.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides