🚨 Incident·8 min read

Cyberattaque : que faire dans les 24 premières heures (plan d'action PME)

Le plan d'action heure par heure des 24 premières heures suivant une cyberattaque dans une PME française : isoler, alerter, notifier, restaurer.

Iris
Réponse à incident · published on April 29, 2026

TL;DR

Quand une cyberattaque touche une PME, les 24 premières heures décident souvent de l'ampleur des dégâts. Voici un plan d'action concret heure par heure : isoler les machines compromises, alerter les bons interlocuteurs (banque, assurance, CNIL), préserver les preuves, communiquer aux clients. À imprimer et à mettre dans un classeur, pas dans un cloud que vous ne pourrez peut-être plus ouvrir.

Le scénario classique : un lundi matin pas comme les autres

Vous arrivez au bureau, vous allumez l''ordinateur, et au lieu de votre fond d''écran habituel, vous voyez un message : « Tous vos fichiers ont été chiffrés. Pour les récupérer, contactez-nous à... ». C''est un ransomware. Il était probablement dans votre système depuis plusieurs jours, parfois plusieurs semaines.

Dans 70 % des cas observés en France en 2024-2025 (source cybermalveillance.gouv.fr), le scénario suit ce pattern : un employé ouvre une pièce jointe, l''attaquant prend pied, navigue silencieusement quelques jours pour identifier les sauvegardes, désactive ce qu''il peut désactiver, exfiltre les données sensibles, et finit par déclencher le chiffrement quand il a tout préparé.

À ce moment, vous avez deux choses à faire en parallèle : contenir (empêcher l''attaque de s''étendre) et alerter (les bons interlocuteurs, dans le bon ordre). Tout le reste vient après. Pas de panique, pas d''improvisation — un plan d''action précis.

Heure 0-1 : isoler et préserver

Vos premières actions sont techniques. Pas de communication à l''extérieur tant que la situation n''est pas stabilisée.

  1. Déconnectez les machines suspectes du réseau. Câble Ethernet débranché, Wi-Fi désactivé. Pour les serveurs, si vous savez le faire, mode hors-ligne plutôt qu''extinction.
  2. N''éteignez PAS les machines sauf si l''attaque est en cours et qu''il faut absolument couper. La RAM contient des informations cruciales pour l''analyse forensique. Mise en veille = OK, extinction = perte de preuves.
  3. Isolez les sauvegardes immédiatement. Si vous avez une sauvegarde branchée en permanence sur le réseau (NAS, disque externe), débranchez-la. Si vos sauvegardes sont dans un cloud accessible avec les mêmes identifiants que les comptes compromis, considérez-les comme à risque.
  4. Prenez des photos / captures d''écran des messages affichés (rançon, écrans bizarres). C''est une preuve pour la suite.

Heure 1-3 : alerter les bons interlocuteurs

Une fois la propagation contenue, il faut prévenir les bonnes personnes. Plusieurs en parallèle, pas de hiérarchie : commencez tous les appels en même temps en répartissant entre plusieurs personnes.

La direction et les services internes

  • Direction générale : décision sur la communication externe, la position vis-à-vis d''une éventuelle rançon
  • Service comptable : surveillance des comptes bancaires, blocage préventif si nécessaire
  • RH : si fuite de données salariés possible

Les interlocuteurs externes obligatoires

  • [Cybermalveillance.gouv.fr](https://www.cybermalveillance.gouv.fr/) : plateforme officielle, ils vous orientent vers les bons interlocuteurs et fournissent un diagnostic gratuit. Numéro : 0 805 805 817.
  • Votre banque : prévenir d''une suspicion de fraude, demander surveillance accrue
  • Votre assurance cyber (si vous en avez une) : la déclaration doit souvent être faite dans les 24-48h pour être couverte
  • Forces de l''ordre : dépôt de plainte au commissariat ou en gendarmerie, ou via la pré-plainte en ligne. Indispensable même si vous n''avez aucun espoir de retrouver les attaquants — c''est la trace officielle

Si fuite de données personnelles

  • CNIL sous 72h : article 33 du RGPD. Notification en ligne sur cnil.fr
  • Personnes concernées : salariés, clients, prospects — selon ce qui a fuité

Heure 3-12 : analyse et décisions

À ce stade, vous (ou votre prestataire cyber) commencez à comprendre l''étendue. Plusieurs questions critiques se posent.

Faut-il payer la rançon ?

La réponse officielle française et européenne est NON. Et pour de vraies raisons :

  • 30 % des entreprises qui paient ne récupèrent pas leurs données (l''attaquant disparaît ou la clé fournie ne marche pas)
  • Payer finance le crime organisé, et fait de vous une cible privilégiée pour la prochaine attaque
  • Votre assurance ne couvre généralement pas le paiement de rançon (clause d''ordre public)
  • Certaines juridictions vous interdisent de payer (sanctions OFAC US si l''attaquant est sur liste noire)

La décision finale appartient à la direction, mais elle doit être prise après consultation cybermalveillance.gouv.fr, votre assurance et un avocat — pas dans la panique du premier jour.

Quelles données ont fuité ?

Critique pour la suite. Trois cas typiques :

  • Pas de fuite, juste chiffrement : restauration depuis sauvegarde, communication interne mais pas externe
  • Fuite limitée (factures, contacts professionnels) : notification CNIL, communication mesurée
  • Fuite massive (base clients, RH, données bancaires) : notification CNIL + communication aux personnes concernées + risque de plainte des clients

Restauration

Si vous avez des sauvegardes saines (faites avant l''intrusion, isolées du réseau), c''est votre meilleur atout. Restauration sur un environnement neuf, jamais sur les machines compromises. Compter 2-7 jours pour une PME selon la complexité du SI.

Heure 12-24 : communication et stabilisation

Les 12 dernières heures se concentrent sur deux choses : la communication externe et la mise en place d''une activité dégradée.

Communication aux clients

Si vos clients sont impactés (impossibilité de prendre commande, fuite de leurs données), vous devez communiquer. Quelques principes :

  • Vite, clair, factuel. Pas de minimisation ; pas de panique non plus.
  • Un canal officiel (email pour les clients connus, post sur votre site, message sur LinkedIn pour le réseau pro)
  • Dire ce que vous savez ET ce que vous ne savez pas encore (« nous enquêtons sur l''ampleur exacte »)
  • Donner un point de contact dédié pour les questions (un email, pas le standard téléphonique)

Activité dégradée

Si votre infrastructure est en partie HS, il faut maintenir l''essentiel. Site vitrine en mode lecture seule, prise de commande par téléphone et email plutôt que via le site, équipe relais sur les outils mobiles personnels (Slack, WhatsApp pro).

Documentez TOUT pendant l''incident : actions prises, décisions, qui a été contacté à quelle heure, ce qui marchait et ne marchait pas. Ce sera précieux pour la suite (assurance, CNIL, post-mortem, et préparation des prochaines fois).

Frequently asked questions

Faut-il payer la rançon en cas de ransomware ?

La position officielle française (gouvernement, ANSSI, cybermalveillance.gouv.fr) est de NE PAS payer. Trois raisons : 30 % des entreprises qui paient ne récupèrent pas leurs données, payer finance le crime organisé et vous désigne comme cible facile, et la plupart des assurances cyber excluent le paiement de rançon de leurs garanties. La seule décision rationnelle est de restaurer depuis vos sauvegardes saines. Si vous n''avez pas de sauvegarde, c''est le moment de comprendre que la prévention coûte beaucoup moins cher que la réaction.

Qui contacter en premier après une cyberattaque en France ?

Cybermalveillance.gouv.fr est la plateforme officielle, gratuite, ouverte aux PME 24/7. Numéro : 0 805 805 817. Ils vous orientent vers les bons interlocuteurs (CERT-FR si nécessaire, prestataires labellisés, forces de l''ordre) et font un premier diagnostic. C''est votre premier appel après avoir contenu l''attaque techniquement. Ensuite : votre assurance cyber (déclaration sous 24-48h obligatoire pour être couvert), votre MSP/prestataire cyber, votre banque (suspicion de fraude). Le dépôt de plainte vient après, généralement dans les 72h.

Combien de temps pour qu''une PME se remette d''une cyberattaque ?

Médiane française pour une PME en 2024-2025 : 5 à 21 jours pour une activité normale, 1 à 3 mois pour une situation pleinement stabilisée. Les variables principales : la qualité des sauvegardes (sauvegarde saine = restauration en 2-5 jours, pas de sauvegarde = plusieurs semaines à reconstruire), la taille du SI, la disponibilité d''un prestataire cyber. Le coût total moyen pour une PME est entre 15 000 € et 100 000 €, en cumulant pertes d''activité, prestations externes, communication, et notifications.

Mon assurance cyber couvre-t-elle vraiment quelque chose ?

Oui mais avec des conditions strictes. La plupart des polices cyber couvrent : la prestation d''un expert pour le confinement et l''analyse, la perte d''exploitation (chiffre d''affaires non réalisé pendant l''indisponibilité), les frais de notification CNIL et clients, la défense juridique en cas de plainte. Ce qui n''est généralement PAS couvert : le paiement de rançon (clause d''ordre public), les pertes liées à des manquements de votre part (sauvegardes inexistantes, mises à jour pas faites), les attaques étatiques. Lisez votre contrat AVANT l''incident, pas pendant — c''est trop tard.

Comment éviter une nouvelle attaque après être passé une fois ?

Trois priorités absolues post-incident : 1) Sauvegardes immutables (3-2-1 : 3 copies, 2 supports, 1 hors ligne / hors site) — c''est ce qui vous sauve la vie en cas de récidive. 2) MFA partout, sans exception, sur tous les comptes admin (email, banque, cloud, accès distants). 3) Mises à jour automatiques activées sur tout ce qui peut l''être (OS, navigateurs, WordPress, applications métier). Ensuite, exercice de simulation tous les 6 mois (« on coupe le serveur principal, comment on continue à travailler ? ») et formation phishing trimestrielle de l''équipe. Aucune protection n''est parfaite, mais ces 3 mesures éliminent 80 % du risque.

Related reading