Quand une entreprise découvre qu'elle est rançonnée, le premier réflexe est souvent de vouloir redémarrer le plus vite possible. C'est humain : les fichiers sont inaccessibles, les équipes appellent, les clients attendent, la facturation est bloquée, et chaque heure donne l'impression de coûter cher. Pourtant, la mauvaise reprise peut coûter encore plus cher. Redémarrer sans comprendre ce qui s'est passé peut remettre en ligne la même porte d'entrée, reconnecter une sauvegarde contaminée, ou laisser un compte compromis actif dans l'entreprise.
Les premières heures ne servent pas à tout résoudre. Elles servent à stabiliser. Une entreprise qui panique efface parfois des preuves utiles, réinstalle trop vite, perd la trace des accès utilisés par l'attaquant, ou détruit l'information qui aurait permis de comprendre le chemin d'entrée. À l'inverse, une entreprise qui fige tout sans méthode peut aggraver l'arrêt d'activité. Il faut donc une séquence simple : isoler, préserver, vérifier, décider, puis reprendre avec un minimum de certitude.
1. Isoler ce qui est suspect, sans tout effacer
La priorité est de limiter la propagation. Si un poste, un serveur ou un partage de fichiers semble touché, il faut le déconnecter du réseau autant que possible. Débrancher le câble réseau ou couper le Wi-Fi d'une machine suspecte peut être plus utile que l'éteindre brutalement, surtout si quelqu'un doit ensuite comprendre ce qui s'est passé. Dans le doute, il vaut mieux isoler que laisser une machine continuer à communiquer.
Il ne faut pas confondre isolation et nettoyage. Réinstaller immédiatement peut donner l'impression d'agir, mais cela efface souvent des traces importantes : fichiers récents, journaux, processus, connexions, chemins d'accès, comptes utilisés. Avant de nettoyer, il faut noter ce qui est observé : message affiché, extension des fichiers chiffrés, heure approximative de découverte, machines touchées, dossiers concernés, comptes utilisés récemment, changements visibles dans les outils.
Pour une TPE ou une PME, il n'est pas toujours possible de mener une investigation complète. Mais même une collecte simple aide énormément : photos de l'écran, liste des machines touchées, copie du message de rançon, capture des derniers emails suspects, relevé des accès inhabituels. Ce sont des éléments concrets qui permettent ensuite de décider plus vite.
2. Protéger les sauvegardes avant de les utiliser
La sauvegarde est souvent le sujet le plus critique. Mais avant de restaurer, il faut vérifier qu'elle est saine. Si la sauvegarde est connectée en permanence au même réseau, accessible par les mêmes comptes, ou synchronisée automatiquement avec les fichiers chiffrés, elle peut être touchée elle aussi. Restaurer une sauvegarde compromise ou incomplète peut faire perdre du temps et donner une fausse impression de reprise.
La bonne question n'est pas seulement : avons-nous une sauvegarde ? La vraie question est : pouvons-nous restaurer les bonnes données, à une date antérieure fiable, dans un environnement propre, avec des comptes sécurisés ? Si la réponse n'est pas claire, il faut tester sur un espace séparé. Restaurer un petit échantillon de fichiers permet déjà de vérifier si les données sont lisibles et exploitables.
Il faut aussi protéger les sauvegardes restantes. Si elles sont encore accessibles par un compte potentiellement compromis, il faut couper ou limiter cet accès avant toute opération. Si elles sont sur un NAS, un stockage cloud ou un outil de sauvegarde administré par un compte unique, ce compte doit être traité comme critique. Une sauvegarde saine peut devenir inutilisable si elle est exposée pendant la phase de reprise.
3. Comprendre ce qui est vraiment bloqué
Toutes les données n'ont pas la même urgence. Une entreprise doit distinguer ce qui bloque l'activité immédiate, ce qui contient des informations sensibles, et ce qui peut attendre. Les fichiers clients, la facturation, les commandes, le site de vente, les emails, les accès bancaires ou les outils métiers n'ont pas tous le même niveau de priorité. Cette hiérarchie évite de disperser l'énergie sur des sujets secondaires pendant les premières heures.
Un tableau simple suffit : élément touché, impact business, données sensibles, dépendances, sauvegarde disponible, décision. Par exemple, si la comptabilité est bloquée mais que les commandes continuent, la priorité n'est pas la même que si le site e-commerce et les paiements sont arrêtés. Si des données clients sont probablement exposées, la gestion de l'incident doit aussi intégrer les obligations de communication et de protection.
4. Fermer les comptes qui peuvent redonner l'accès
Un rançongiciel n'arrive pas toujours par un fichier ouvert sur un poste. Il peut passer par un compte compromis, un accès distant faible, une interface exposée, un prestataire, un VPN, un serveur mal protégé ou une boîte email. Redémarrer les machines sans fermer ces accès revient parfois à rouvrir la porte. C'est l'un des risques les plus importants après l'incident.
Il faut donc identifier les comptes qui peuvent contrôler l'entreprise : email principal, hébergement, domaine, cloud, sauvegardes, outils de paiement, comptes administrateurs, accès prestataires, outils métiers. Les mots de passe importants doivent être changés depuis une machine saine. La double authentification doit être activée ou réactivée. Les comptes inconnus, anciens ou inutiles doivent être suspendus. Les sessions ouvertes doivent être révoquées quand l'outil le permet.
Cette étape est souvent difficile pour une petite entreprise, car les accès sont dispersés entre plusieurs prestataires et outils. C'est précisément pour cela qu'il faut la traiter méthodiquement. Un accès oublié peut suffire à provoquer une récidive, même si les fichiers ont été restaurés.
5. Ne pas payer trop vite
Le paiement d'une rançon est une décision lourde, qui ne doit pas être prise sous pression. Payer ne garantit pas la récupération complète, ne garantit pas l'absence de fuite, et ne garantit pas que l'accès initial sera fermé. Dans certains cas, l'entreprise reçoit un outil de déchiffrement lent, incomplet ou inutilisable. Dans d'autres cas, les attaquants reviennent plus tard parce que la porte d'entrée est restée ouverte.
Avant toute décision, il faut savoir quelles données sont touchées, quelles sauvegardes existent, quels services doivent reprendre en premier, et quel risque reste ouvert. Il faut aussi documenter les échanges éventuels, conserver les preuves, et éviter qu'une personne isolée prenne seule une décision sous stress. Le sujet peut avoir des implications juridiques, assurantielles et opérationnelles.
6. Préserver les preuves utiles
Préserver les preuves ne signifie pas mener une enquête complexe. Pour une PME, cela peut simplement vouloir dire ne pas effacer trop vite les machines touchées, conserver les messages, noter les heures, garder les journaux disponibles, et stocker les éléments dans un endroit sûr. Ces informations peuvent aider à comprendre l'origine, à justifier des décisions, à échanger avec un assureur, ou à préparer une déclaration si des données personnelles sont concernées.
Les preuves utiles sont souvent très simples : captures d'écran, noms des fichiers chiffrés, machines concernées, comptes connectés, derniers emails reçus, alertes de sécurité, connexions inhabituelles, liste des sauvegardes, chronologie des actions déjà faites. Une chronologie claire vaut mieux qu'un souvenir approximatif reconstruit trois jours plus tard.
7. Reprendre par étapes
La reprise doit être progressive. Il vaut mieux remettre en service un périmètre réduit, vérifié, que reconnecter toute l'entreprise d'un coup. Les postes ou serveurs restaurés doivent être isolés au départ, mis à jour, protégés par de nouveaux accès, puis reconnectés seulement quand les éléments critiques sont maîtrisés. L'objectif est de réduire le risque de rechute.
Pour chaque service remis en ligne, il faut poser trois questions : les comptes qui y accèdent sont-ils sécurisés ? Les données restaurées sont-elles saines ? Le service est-il nécessaire tout de suite ? Cette logique simple évite de rouvrir un outil secondaire qui expose inutilement l'entreprise pendant que la situation principale n'est pas stabilisée.
8. Gérer les clients et partenaires
Une entreprise rançonnée doit parfois communiquer. La communication dépend de ce qui est touché : indisponibilité du service, retard de livraison, suspicion de fuite, données personnelles, paiement, accès client. Il ne faut pas inventer, minimiser ou promettre trop vite. Une phrase claire et factuelle vaut mieux qu'un message rassurant mais imprécis.
Le bon ton consiste à dire ce qui est connu, ce qui est en cours de vérification, et ce qui sera communiqué ensuite. Si des données personnelles peuvent être concernées, il faut vérifier les obligations applicables. Un audit de l'exposition et des accès peut aider à distinguer un simple chiffrement local d'un incident plus large.
9. Auditer avant de considérer l'incident terminé
Une entreprise n'est pas sortie d'un rançongiciel au moment où les fichiers sont à nouveau lisibles. Elle en sort quand les accès importants sont repris en main, quand les sauvegardes sont comprises, quand les services critiques sont restaurés proprement, et quand les faiblesses les plus probables ont été corrigées. Sans cette étape, la reprise peut être fragile.
Un audit court après incident doit répondre à des questions concrètes : qu'est-ce qui est encore visible depuis Internet ? Quels comptes peuvent contrôler l'activité ? Les sauvegardes sont-elles restaurables ? Les paiements et emails sont-ils protégés ? Quels prestataires ont encore accès ? Quelles actions doivent être faites cette semaine, et lesquelles peuvent attendre ?
10. Transformer l'incident en plan d'action
Un incident est coûteux, mais il peut aussi servir à remettre de l'ordre. Beaucoup d'entreprises découvrent à cette occasion qu'elles ne savent pas vraiment où sont leurs données, qui possède les accès, comment restaurer, ou quels services sont exposés. Le but n'est pas de culpabiliser. Le but est de sortir de l'urgence avec un plan simple.
Ce plan doit rester réaliste : sécuriser les comptes importants, tester les sauvegardes, retirer les accès oubliés, mettre à jour les services critiques, documenter les prestataires, protéger les paiements et clarifier les responsabilités. C'est souvent suffisant pour réduire fortement le risque de récidive sans transformer l'entreprise en organisation lourde.
Ce qu'il faut retenir
Dans les premières heures, la vitesse compte, mais la méthode compte davantage. Il faut éviter de redémarrer aveuglément, éviter d'effacer les traces trop vite, protéger les sauvegardes, reprendre les comptes critiques et décider avec une vision claire des priorités. Une entreprise qui reprend proprement n'est pas celle qui réinstalle le plus vite. C'est celle qui comprend assez pour ne pas rouvrir la même porte.
Ressources utiles après un rançongiciel
Après un incident, l'objectif est de reprendre proprement, mais aussi de signaler, conserver les preuves et vérifier les obligations si des données personnelles peuvent être concernées.
- 17CyberOrientation officielle en cas de rançongiciel, compte compromis, fraude ou suspicion d'intrusion.
- Cybermalveillance.gouv.frRessources de prévention et d'assistance aux victimes, avec des fiches réflexes adaptées aux entreprises.
- Plainte en lignePour préparer une démarche auprès des services de police ou de gendarmerie selon la situation.
- CNIL : violation de donnéesÀ consulter si des données clients, salariés ou partenaires ont pu être consultées, copiées ou perdues.
- Audit d'urgence rançongicielContact rapide si vous devez cadrer une reprise ou vérifier ce qui reste exposé.
- Checklist préventionÀ utiliser après la stabilisation pour transformer l'incident en plan d'amélioration concret.