Un écran gelé, des fichiers devenus illisibles, ou pire, une demande de rançon qui s’affiche sur tous les postes. Le moment où une entreprise réalise qu’elle est la cible d’une attaque informatique est synonyme de panique. Pourtant, la pire réaction est de céder au chaos. Les premiers instants ne sont pas dédiés à la réparation technique, mais à la gestion de crise, un processus méthodique qui s’apparente à un triage médical : contenir, documenter et structurer la réponse pour ne pas aggraver la situation.
Face à une cyberattaque, les actions impulsives, comme éteindre tous les serveurs ou supprimer des fichiers suspects, peuvent détruire des preuves vitales pour les experts. La véritable première ligne de défense est organisationnelle. Il s’agit de savoir qui décide, qui coordonne et qui communique, avant même de toucher à la moindre ligne de code. Cette approche structurée est ce qui distingue une crise maîtrisée d’un désastre opérationnel et financier.
Les 4 étapes pour gérer le début de crise
- Constituer une cellule de crise : Définir immédiatement les rôles (décideur, technicien, communicant) et ouvrir un journal de bord.
- Identifier la nature de l’attaque : Qualifier l’incident (ransomware, vol de données, etc.) sans agir pour préserver les preuves.
- Isoler la menace de façon ciblée : Contenir l’hémorragie en déconnectant les machines critiques selon le scénario, sans alerter l’attaquant.
- Piloter la communication : Informer les équipes avec des consignes claires et préparer la communication externe et légale.
Avant toute action technique : constituez votre cellule de crise et ouvrez le journal de bord
L’urgence absolue n’est pas de débrancher un câble, mais de structurer la réponse humaine. Même dans une PME, la distribution immédiate de trois rôles clés permet d’éviter le chaos : un Décideur (le gérant ou un directeur), un Coordinateur Technique (le référent IT) et un Communicant. Cette répartition claire des responsabilités prévient les ordres contradictoires et la dilution des informations, deux fléaux en temps de crise.
En parallèle, la première action matérielle est de démarrer un « journal de crise ». Utilisez un support non compromis, comme un simple carnet de notes ou un document sur un appareil personnel sain. Chaque information, observation, décision et action doit y être horodatée. Ce document devient la colonne vertébrale de votre gestion de crise, essentiel pour l’analyse post-incident, la déclaration à l’assurance et le dépôt de plainte. Pour une communication fluide et sécurisée, la cellule de crise doit utiliser un canal dédié et externe au système d’information potentiellement compromis, comme une boucle chiffrée sur Signal ou WhatsApp.
Étude de cas : rôles et fonctions essentiels dans une cellule de crise cyber
Le Campus Cyber propose une structuration claire des cellules de crise avec deux niveaux : un volet stratégique regroupant les décideurs (directeur de crise, DPI, responsables métiers) et un volet opérationnel composé de cellules par domaine (cyber, IT, communication, juridique, RH). Pour les PME, les 3 rôles clés à définir en minimum sont : le Décideur (gérant/direction), le Coordinateur Technique (responsable IT ou référent), et le Communicant (interne/externe).
Cette organisation permet de coordonner efficacement les efforts, car la gestion d’une cyberattaque dépasse largement le cadre purement technique. En cas de doute, l’appui d’un partenaire externe est une ressource précieuse, d’autant que 39% des TPE-PME consultent leurs prestataires informatiques pour s’informer sur ces sujets.
Le journal de bord n’est pas une simple formalité ; il constitue une preuve tangible du sérieux de votre réponse. Il permettra de retracer le fil des événements pour comprendre les failles exploitées et de justifier les décisions prises, notamment vis-à-vis des autorités et des assureurs.
Une cellule de crise gère non seulement l’aspect technique, mais aussi la continuité d’activité, la communication avec les parties prenantes et la documentation pour l’analyse post-mortem.
– ANSSI et CampusCyber, Fiche pratique sur les rôles et fonctions en crise d’origine cyber
Le triage d’urgence : identifier la nature de l’attaque pour appliquer les bons gestes conservatoires
Une fois la cellule de crise formée, la règle d’or est « primum non nocere » : d’abord, ne pas nuire. Toute action non maîtrisée risque d’aggraver la situation. Il faut donc proscrire certains gestes instinctifs : éteindre les machines (ce qui efface les preuves en mémoire vive), supprimer des fichiers suspects ou encore connecter un disque dur externe pour tenter de sauvegarder des données.
Quels sont les gestes à ne surtout pas faire lors d’une cyberattaque ?
Évitez de payer la rançon, n’éteignez pas les machines sauf consigne expresse d’un expert, et ne connectez aucun support de stockage externe. Ces actions peuvent détruire des preuves cruciales et aggraver l’infection.
L’étape suivante est de qualifier l’incident. S’agit-il d’un ransomware qui chiffre vos fichiers et affiche une demande de rançon ? D’une compromission de compte de messagerie qui envoie des e-mails frauduleux en votre nom ? D’une attaque par déni de service (DDoS) qui rend votre site web inaccessible ? La nature de l’attaque, souvent identifiable par les symptômes visibles, dictera les premières mesures conservatoires. Il est à noter que 60% des cyberattaques utilisent le phishing comme vecteur d’entrée initial.
L’objectif à ce stade n’est pas de résoudre le problème, mais de préserver la « scène de crime » numérique pour les futurs experts. Prenez des photos des messages d’erreur ou des demandes de rançon avec un téléphone, notez précisément les comportements étranges observés juste avant la détection de l’incident et consignez tout dans le journal de crise. Chaque détail est une pièce du puzzle.
Exécuter une stratégie d’isolement ciblée pour endiguer l’hémorragie
Le conseil générique « isolez le réseau » est souvent mal interprété. Un isolement total et brutal peut non seulement paralyser l’entreprise mais aussi alerter l’attaquant, qui pourrait alors accélérer son action malveillante ou effacer ses traces. La stratégie d’isolement doit être ciblée et adaptée au scénario identifié précédemment.
Par exemple, face à un ransomware qui se propage activement, la déconnexion physique (retrait du câble Ethernet, désactivation du Wi-Fi) des machines est prioritaire pour stopper l’infection. En revanche, pour une suspicion d’exfiltration de données plus discrète, isoler uniquement la machine « patient zéro » tout en surveillant le trafic réseau peut s’avérer plus judicieux pour collecter des informations sur les agissements de l’attaquant, en attendant l’intervention d’un spécialiste.
Checklist d’isolement par scénario
- Étape 1 – Ransomware en propagation : Déconnecter physiquement câbles Ethernet, désactiver Wi-Fi
- Étape 2 – Segmentation du réseau : Utiliser VLAN ou sous-réseaux dédiés pour isoler l’infrastructure
- Étape 3 – Compromission discrète : Isoler machine ‘patient zéro’ et surveiller le trafic sortant
- Étape 4 – Priorisation : Isoler d’abord les machines critiques (ERP, paie, données clients)
- Étape 5 – Sauvegardes : Vérifier que les sauvegardes sont déconnectées physiquement du réseau
Il est également crucial de segmenter la réponse. Toutes les machines ne sont pas égales. Identifiez les serveurs et postes de travail critiques pour la continuité de l’activité (serveur de fichiers, système de paie, base de données clients) et concentrez les efforts pour les isoler et les protéger en premier. Cette priorisation permet d’optimiser les ressources limitées en début de crise.
La rapidité de cet isolement est un facteur déterminant pour limiter l’étendue des dégâts, comme le montre l’impact sur la durée de récupération.
| Délai d’isolement | Machines affectées | Données compromises | Durée de récupération |
|---|---|---|---|
| Moins de 1h | 1-3 machines | Données locales | 2-3 jours |
| 1-4 heures | 5-15 machines | Données locales + partages | 1-2 semaines |
| 4-24 heures | 50-200 machines | Partages réseau | 1-4 semaines |
| Plus de 24h | Plus de 200 machines | Infrastructure critique | 4 semaines à plusieurs mois |
À retenir
- La gestion de crise organisationnelle prime sur toute action technique impulsive au début d’une attaque.
- Le journal de crise est un outil non-négociable pour documenter, analyser et justifier les actions prises.
- L’isolement doit être ciblé et proportionné à la menace, et non un débranchement systématique et aveugle.
- La communication interne et externe doit être maîtrisée pour éviter la panique et respecter les obligations légales.
Piloter la communication de crise pour maîtriser le récit et préparer l’après
La gestion d’une cyberattaque est aussi une bataille de communication. Le premier front est interne. Il faut rapidement diffuser un message simple et direct aux collaborateurs : les informer de l’incident, donner des consignes claires (ne pas se connecter, ne pas allumer son PC) et les rassurer sur la prise en main de la situation. Cela endigue la propagation de rumeurs et prévient les initiatives personnelles qui pourraient aggraver l’incident.
Simultanément, il faut anticiper les obligations légales et contractuelles. En cas de violation de données à caractère personnel, une notification à la CNIL est obligatoire sous 72 heures après la découverte si un risque est avéré pour les droits et libertés des personnes. Préparez les éléments factuels (ce que l’on sait, ce que l’on ignore, les mesures prises) pour une communication transparente et maîtrisée, que ce soit envers les autorités, les clients ou les partenaires.
Le tableau ci-dessous synthétise les phases de communication à orchestrer pour garder le contrôle du récit.
| Phase | Timeline | Cibles internes | Cibles externes |
|---|---|---|---|
| Alerte | 0-2h | Direction, IT, communication | Aucune |
| Confinement | 2-24h | Tous collaborateurs | Clients clés, partenaires critiques |
| Stabilisation | 1-7 jours | Tous collaborateurs | Clients, partenaires, médias |
| Récupération | 1-4 semaines | Tous collaborateurs | Tous stakeholders |
Enfin, lorsque vous contactez vos interlocuteurs externes (prestataire informatique, assureur, services spécialisés comme cybermalveillance.gouv.fr), appuyez-vous sur votre journal de crise. Fournir un résumé factuel, chronologique et précis permet un diagnostic plus rapide et une prise en charge plus efficace. Pour aller plus loin et adopter les bons réflexes après une attaque, une préparation en amont est essentielle. L’idéal reste d’éviter d’en arriver là. Mettre en place une maintenance préventive avec un partenaire de confiance réduit drastiquement les risques.
Questions fréquentes sur la gestion de crise informatique
Dois-je payer la rançon en cas de ransomware ?
Non, il est fortement déconseillé de payer. Le paiement ne garantit en rien la récupération de vos données, il finance les activités criminelles et peut faire de votre entreprise une cible récurrente. Contactez des experts qui pourront évaluer les possibilités de déchiffrement.
Comment savoir si mon entreprise a été victime d’une cyberattaque ?
Les signes peuvent être variés : apparition d’une demande de rançon, fichiers inaccessibles ou renommés, lenteur extrême et inhabituelle du réseau, activité anormale sur les comptes utilisateurs (envois d’emails non sollicités), ou alertes de vos logiciels de sécurité.
Éteindre l’ordinateur est-il une bonne idée ?
En règle générale, non. Éteindre une machine compromet l’analyse forensique en effaçant les informations volatiles contenues dans la mémoire vive (RAM), qui sont souvent cruciales pour comprendre le mode opératoire de l’attaquant. La seule exception est une consigne expresse d’un expert en cybersécurité.