Une page d'urgence doit être directe, mais elle ne doit pas être vide. Lorsqu'une entreprise subit un rançongiciel ou soupçonne une intrusion, elle a besoin de comprendre ce qui se joue. Le problème n'est pas seulement de récupérer des fichiers. Le problème est de reprendre le contrôle sans réouvrir la même porte. Une reprise trop rapide, sans vérification des accès et des sauvegardes, peut transformer un incident en deuxième incident.
Cette page s'adresse aux TPE et PME qui n'ont pas d'équipe cyber en interne et qui doivent prendre des décisions vite. Elle ne remplace pas les services d'urgence publics, juridiques ou assurantiels. Elle sert à cadrer les premières décisions techniques et opérationnelles : quoi isoler, quoi préserver, quoi vérifier, quoi remettre en ligne, et quoi ne surtout pas faire trop vite.
Comment je cadre une urgence
Une urgence cyber ne doit pas devenir une facture impossible à comprendre. Je commence par une vérification courte, à distance, avec les accès nécessaires et validés par vous. Si je ne trouve aucune piste utile ou aucune action réaliste dans un maximum de deux heures, je ne facture pas cette première analyse. L'objectif est simple : éviter de vous faire payer pour un diagnostic qui ne débouche sur rien.
Si une action utile est possible, notamment une récupération de données, une remise en accès ou une reprise partielle, le prix est cadré avant de continuer. Selon la quantité de données, leur importance et la complexité de la reprise, l'intervention se situe généralement entre 1 200 € et 5 000 € HT. Ce n'est pas une promesse de récupération garantie : c'est un cadre pour décider calmement si l'intervention vaut le coût.
Pour travailler proprement, il me faut des accès distants temporaires, un interlocuteur capable de valider les décisions, et les informations disponibles : domaine, machines touchées, sauvegardes, message d'erreur, outil utilisé, prestataire éventuel. Sans accès ou sans périmètre clair, je préfère le dire rapidement plutôt que donner une fausse impression de contrôle.
La première décision : stabiliser avant de réparer
Dans l'urgence, on veut réparer. Pourtant, la première décision doit être de stabiliser. Si une machine chiffre encore des fichiers, elle doit être isolée. Si un compte semble compromis, il doit être suspendu ou sécurisé. Si une sauvegarde est encore saine, elle doit être protégée. Si un service n'est pas indispensable dans l'heure, il ne doit pas forcément être reconnecté tout de suite.
Stabiliser signifie aussi documenter ce que l'on voit. Quels fichiers sont touchés ? Quel message apparaît ? À quelle heure l'incident a-t-il été découvert ? Quels postes ou serveurs sont concernés ? Qui a utilisé les comptes importants récemment ? Est-ce que des emails suspects ont été reçus ? Ces informations paraissent simples, mais elles évitent de travailler à l'aveugle.
Ne pas effacer les traces trop tôt
Réinstaller une machine peut être nécessaire, mais pas forcément immédiatement. Si l'on efface tout avant de comprendre l'origine, on peut perdre les indices qui auraient permis de savoir si l'accès initial venait d'un email, d'un compte, d'un service exposé, d'un prestataire ou d'une sauvegarde accessible. Une entreprise peut alors restaurer proprement les fichiers tout en laissant l'accès de l'attaquant ouvert.
Il faut préserver ce qui peut l'être : captures d'écran, messages, fichiers de rançon, journaux disponibles, liste des machines, emails suspects, alertes, connexions inhabituelles. Même une collecte imparfaite vaut mieux qu'aucune trace. Elle permet ensuite d'établir une chronologie et de prendre des décisions plus solides.
Les sauvegardes : vérifier avant de restaurer
La sauvegarde est le sujet central. Beaucoup d'entreprises pensent être couvertes parce qu'une sauvegarde existe. Mais après un rançongiciel, il faut vérifier qu'elle est lisible, complète, suffisamment ancienne, et séparée de l'incident. Une sauvegarde synchronisée automatiquement peut avoir copié les fichiers chiffrés. Une sauvegarde accessible par le même compte compromis peut avoir été supprimée ou altérée.
La bonne approche est de tester une restauration limitée dans un environnement propre. Quelques fichiers, un dossier critique, un export de base de données ou un échantillon métier peuvent suffire à vérifier la situation. Il faut aussi savoir combien de temps prendrait la restauration complète et quels services doivent revenir en premier. La reprise doit être priorisée, pas improvisée.
Les comptes qui doivent être repris en main
Après un incident, les comptes importants doivent être considérés avec prudence. Le compte email du dirigeant, les comptes administrateurs, l'hébergement, le domaine, le cloud, les outils de paiement, les sauvegardes et les accès prestataires doivent être vérifiés. Il ne suffit pas de changer un mot de passe au hasard. Il faut changer depuis un poste sain, révoquer les sessions, activer la double authentification, supprimer les comptes inconnus et retirer les accès inutiles.
Cette étape est souvent plus importante que la réparation visible. Si l'attaquant est entré par un compte et que ce compte reste actif, l'entreprise peut être touchée à nouveau. La sécurisation des comptes doit donc faire partie de la reprise, pas d'un chantier reporté à plus tard.
Ce qui doit rester hors ligne
Tout ne doit pas revenir en même temps. Les services qui ne sont pas nécessaires à la reprise immédiate peuvent rester isolés le temps de vérifier les accès. Les interfaces d'administration, les anciens outils, les partages de fichiers secondaires ou les environnements de test ne doivent pas être reconnectés automatiquement. Chaque remise en ligne doit avoir une raison.
La question pratique est simple : ce service est-il indispensable pour reprendre l'activité aujourd'hui ? Si oui, il doit être sécurisé et surveillé. Si non, il peut attendre. Cette discipline réduit la surface disponible pendant une période où l'entreprise est encore fragile.
Prioriser les paiements, les clients et les fichiers de travail
Une TPE ou PME doit raisonner en impact. Les paiements, les commandes, les emails clients, les fichiers de production, la facturation et les outils métiers sont souvent prioritaires. Les éléments secondaires peuvent attendre. Cette hiérarchie évite de perdre du temps sur des sujets visibles mais peu importants pendant que le coeur de l'activité reste bloqué.
Le plan de reprise doit donc classer les services : critique, important, secondaire. Pour chaque service critique, il faut savoir s'il est touché, s'il peut être restauré, qui possède les accès, et quelles protections doivent être remises avant la reconnexion. Ce travail peut sembler lent, mais il évite des erreurs coûteuses.
Communication et clients
La communication ne doit pas être improvisée. Si l'incident bloque un service, retarde une livraison ou peut concerner des données clients, il faut communiquer de manière factuelle. Dire trop peu peut inquiéter. Dire trop peut créer une confusion ou une promesse impossible à tenir. Le bon message explique ce qui est connu, ce qui est en cours de vérification, et quand l'entreprise reviendra vers les personnes concernées.
Si des données personnelles peuvent être touchées, il faut évaluer les obligations applicables. La partie technique et la partie responsabilité ne doivent pas être séparées. Comprendre ce qui est réellement exposé aide à communiquer correctement.
Pourquoi un regard externe aide
Dans l'urgence, l'équipe interne ou le dirigeant est souvent trop proche du problème. Il faut répondre aux clients, rassurer les équipes, parler aux prestataires, chercher les sauvegardes et prendre des décisions. Un regard externe aide à remettre de l'ordre : ce qui est urgent, ce qui doit attendre, ce qui doit être préservé, ce qui doit être fermé avant la reprise.
Un audit d'urgence à distance ne prétend pas tout résoudre instantanément. Il sert à éviter les erreurs classiques : restaurer trop vite, oublier un compte compromis, reconnecter une sauvegarde fragile, supprimer les traces, ou reprendre sans vérifier les services exposés. La valeur se trouve dans la priorisation.
Après les premières heures
Une fois l'activité partiellement reprise, l'entreprise doit consolider. Les mots de passe importants doivent être changés, les accès prestataires revus, les sauvegardes testées, les outils mis à jour, les services inutiles fermés et les comptes dormants supprimés. Il faut aussi garder une trace de ce qui a été fait : dates, actions, décisions, éléments restaurés, comptes modifiés.
Cette trace sert à l'équipe, aux prestataires, à l'assurance éventuelle, et à la suite de la sécurisation. Elle permet de ne pas repartir dans le flou. Un incident doit déboucher sur un plan d'amélioration court et réaliste.
Ce qu'il ne faut pas promettre
Personne ne peut promettre qu'un incident sera réglé sans perte, sans délai et sans conséquence. En revanche, il est possible de travailler proprement : réduire la propagation, protéger les sauvegardes, reprendre les comptes critiques, comprendre l'exposition et remettre en ligne par étapes. C'est cette méthode qui donne les meilleures chances de reprise.
Une entreprise rançonnée n'a pas besoin d'un discours dramatique. Elle a besoin d'ordre. Les premières heures doivent produire des décisions : isoler, préserver, vérifier, sécuriser, restaurer, communiquer. C'est le chemin le plus fiable pour reprendre sans aggraver la situation.
Ce qu'il faut préparer pour l'appel
Pour gagner du temps, il est utile de rassembler quelques éléments avant de demander un avis externe : le nom du domaine de l'entreprise, les services bloqués, le nombre approximatif de postes touchés, l'existence ou non de sauvegardes, le message affiché par le rançongiciel, les derniers emails suspects, les prestataires qui ont accès aux systèmes, et les outils indispensables à la reprise. Même si tout n'est pas disponible, ces informations donnent un point de départ clair.
Il faut aussi nommer une personne qui décide. Dans une petite entreprise, plusieurs personnes peuvent avoir un morceau de l'information : le dirigeant, le prestataire informatique, l'agence web, le responsable administratif, la personne qui gère les paiements. Sans coordination, chacun agit dans son coin. Avec un interlocuteur clair, les décisions sont plus rapides, les actions sont notées, et la reprise est moins confuse.
La priorité après la reprise
Quand les services reviennent, la tentation est de refermer le sujet. C'est justement le moment de consolider. Les comptes critiques doivent être revus, les sauvegardes testées, les accès prestataires nettoyés, les mots de passe partagés supprimés et les services inutiles fermés. Ce travail n'a pas besoin d'être énorme, mais il doit être fait pendant que l'incident est encore frais et que les priorités sont visibles.
Ressources officielles en cas d'urgence cyber
Si un incident est en cours, ne gardez pas seulement une trace technique. Notez les décisions, conservez les preuves disponibles et utilisez les canaux officiels adaptés à la situation.
- 17CyberOrientation officielle pour les victimes d'attaques, d'arnaques, de comptes compromis ou de rançongiciel.
- Plainte en ligneDémarche officielle pour préparer ou déposer une plainte selon votre situation.
- CNIL : notifier une violationÀ consulter rapidement si des données personnelles peuvent être concernées.
- Cybermalveillance.gouv.frFiches réflexes et ressources pour comprendre les démarches après incident.
- Guide rançongicielVersion détaillée des premières décisions à prendre avant de redémarrer.
- Reprendre les accès critiquesLecture utile une fois la situation stabilisée pour réduire le risque de récidive.