Comment savoir quelles données ont été volées lors d'une cyberattaque ?

L'analyse forensique des logs réseau, des proxies sortants et des journaux d'accès aux serveurs de fichiers permet d'identifier les données exfiltrées. Les ransomwares modernes exfiltrent avant de chiffrer — les groupes publient parfois les données volées sur des sites de fuite si la rançon n'est pas payée.

Un vol de données oblige-t-il à notifier les clients ?

Si des données personnelles de clients ont été exfiltrées et que la violation présente un risque élevé pour leurs droits et libertés, l'article 34 du RGPD impose de les notifier individuellement dans les meilleurs délais. Le défaut de notification peut être sanctionné par la CNIL.

Les données volées peuvent-elles être récupérées ou supprimées ?

Techniquement non, dans la majorité des cas. Une fois exfiltrées, les données sont copiées — leur suppression chez l'attaquant n'est jamais garantie, même en cas de paiement de rançon. L'objectif est de limiter leur diffusion et d'en informer les personnes concernées pour qu'elles puissent se protéger.

ExfiltrationPME & ETI9 min de lecture

GUIDE EXFILTRATION · ÉDITION 2026

Vos données
ont été volées.

Ce qui est copié ne peut pas être récupéré.

Le vol de données informatique en entreprise est devenu la première arme des groupes criminels. Avant même de chiffrer vos fichiers, ils copient silencieusement vos données clients, vos documents RH, votre propriété intellectuelle. Ce guide explique comment réagir après une exfiltration de données — identifier ce qui a été volé, respecter vos obligations légales, et gérer les 72 premières heures.

80%des ransomwares incluent désormais une exfiltration préalable

72hpour notifier la CNIL sous peine de sanction RGPD

0%de garantie de suppression des données après paiement

ÉTAPE 1 : ÉVALUER

Identifier ce qui a été volé et son impact RGPD

Toutes les données volées n'ont pas le même niveau de risque légal. Si vous ne savez pas encore précisément ce qui a été exfiltré, commencez par ce tableau : il vous aide à évaluer l'impact selon le type de données et les obligations qui en découlent.

Type de donnéesRGPDNiveau de risque

Données bancaires ou financières (IBAN, CB)⚠ OuiCritique

Données de santé (diagnostics, traitements)⚠ OuiCritique

Identifiants et mots de passe⚠ OuiCritique

Données clients (nom, email, téléphone, adresse)⚠ OuiÉlevé

Données RH (salaires, contrats, évaluations)⚠ OuiÉlevé

Propriété intellectuelle, R&D, brevetsNonÉlevé

Documents internes (contrats, bilans, stratégie)NonModéré

Code source, configurations techniquesNonModéré

Si l'étendue exacte de l'exfiltration est inconnue, partez du principe que tout ce qui était accessible depuis les systèmes compromis a pu être copié. L'analyse forensique précisera le périmètre.

À COMPRENDRE

Double extorsion : pourquoi payer ne suffit plus

Depuis 2020, les groupes criminels ont adopté une stratégie systématique : exfiltrer vos données avant de les chiffrer. Résultat — même en payant pour récupérer vos fichiers, vos données sont déjà entre leurs mains et peuvent être publiées, revendues, ou utilisées à tout moment.

J-7 à J-1

Phase 1

Exfiltration silencieuse

L'attaquant copie vos données vers un serveur externe. Aucun signal visible côté utilisateur. Cette phase peut durer des jours — parfois des semaines.

Phase 2

Chiffrement

Le ransomware se déclenche. Vos fichiers sont chiffrés. C'est seulement maintenant que vous découvrez l'attaque — mais les données sont déjà parties.

J0 + quelques heures

Phase 3

Double pression

Deux demandes simultanées : payer pour la clé de déchiffrement ET payer pour ne pas publier vos données sur leur site de fuite.

Une fois exfiltrées, les données ne peuvent pas être récupérées. Elles sont copiées, pas déplacées. Même avec un paiement, rien ne garantit leur suppression — les groupes publient parfois les données malgré le paiement.

OBLIGATIONS RGPD

La fenêtre des 72 heures : ne pas rater les délais

L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles. Ce délai court en parallèle de votre gestion de crise — voici toutes les actions à mener simultanément.

H+0Appeler un expert en réponse à incident

H+4Notifier votre assureur cyber

H+12Déposer plainte (gendarmerie / BL2C / cybermalveillance.gouv.fr)

H+48Préparer la notification CNIL avec le rapport forensique

H+72Notifier la CNIL — article 33 RGPD (délai légal)

H+72+Informer les personnes concernées si risque élevé (art. 34)Si risque élevé

COMMUNICATION

Quoi dire et à qui : modèles prêts à adapter

Communiquer trop tôt ou de manière imprécise amplifie la crise. Communiquer trop tard sur une obligation légale aggrave les sanctions. Cliquez sur chaque catégorie pour accéder au modèle correspondant.

INTERVENTION

Ce que comprend une intervention sur vol de données

Une intervention sur exfiltration de données se déroule en trois phases : investigation forensique pour identifier précisément ce qui a été volé, remédiation pour colmater la brèche et éradiquer l'accès persistant, et accompagnement sur les obligations légales — rapport CNIL, communication aux personnes concernées, assistance à la déclaration de sinistre auprès de votre assureur.

Forfait CyberUrgence pour vol de données / exfiltration : 800–2 000 € selon la complexité. Expert certifié disponible en moins de 15 minutes. Diagnostic de départ gratuit.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides