Attaque ransomware : que faire dans les 72 premières heures

Intelligence › Guides › Réponse ransomware (72h)

Une attaque ransomware se gère dans l'urgence, mais pas dans l'improvisation. Les 72 premières heures déterminent l'ampleur des dégâts, votre capacité à restaurer, et votre conformité légale. Voici la séquence à suivre — et les erreurs qui aggravent tout.

L'essentiel décideur
Quatre réflexes dans l'ordre : isoler (déconnecter, sans éteindre), préserver les preuves, notifier (direction, ANSSI, et la CNIL si des données personnelles sont touchées), puis restaurer depuis des sauvegardes saines. Et une règle : on ne paie pas — c'est sans garantie et ça entretient l'attaque. Si vous n'avez pas de plan écrit aujourd'hui, c'est la première chose à corriger.

Les 72 premières heures — séquence de réponse

Faut-il payer la rançon ?

La position des autorités françaises est claire : le paiement est fortement déconseillé. Il n'offre aucune garantie et entretient le modèle économique des attaquants.

La séquence, heure par heure technique

H+0 — Détecter et isoler. Déconnectez les machines atteintes du réseau (câble, Wi-Fi, VPN). N'éteignez pas les machines : vous perdriez la mémoire vive, précieuse pour l'analyse. Isolez les sauvegardes pour éviter qu'elles soient chiffrées à leur tour.

H+1 — Préserver les preuves. Avant toute remédiation : copies des journaux, images disque des systèmes touchés, note de rançon, adresses et IOC. Ces éléments servent à l'analyse, au dépôt de plainte et à l'éventuelle prise en charge assurantielle.

H+6 — Notifier. Direction en premier (la décision n'est pas que technique). Puis les autorités : en France, signalement possible à l'ANSSI et dépôt de plainte. Si des données personnelles sont concernées, la CNIL doit être notifiée sous 72 h (RGPD). Vérifiez aussi vos obligations contractuelles et assurance cyber.

H+24 — Éradiquer. Identifiez le vecteur initial (phishing, service exposé, identifiants volés) et les mécanismes de persistance. Réinitialisez les identifiants compromis. Restaurer sans éradiquer = se faire re-chiffrer.

H+72 — Restaurer. Reconstruisez depuis des sauvegardes saines et vérifiées, sur un environnement assaini. Restaurez par priorité métier. Surveillez étroitement les jours suivants.

Pourquoi ne pas payer

Payer n'offre aucune garantie de récupérer les données, finance directement la criminalité organisée, et vous re-désigne comme cible solvable. C'est la position constante des autorités françaises. La vraie réponse se prépare avant : sauvegardes testées, plan d'incident, segmentation.

Cette page décrit une démarche générale et ne remplace pas une cellule de crise ni un conseil juridique. En cas d'incident majeur, faites-vous accompagner par des spécialistes de la réponse à incident (IR).

À préparer AVANT (le plus important)

Sauvegardes 3-2-1 testées : 3 copies, 2 supports, 1 hors ligne / immuable. Une sauvegarde jamais restaurée n'est pas une sauvegarde.
Un plan de réponse écrit : qui fait quoi, qui notifie qui, dans quels délais. Imprimé (le réseau sera coupé).
Annuaire de crise : contacts direction, IR, ANSSI, assureur, conseil juridique.
Réduire la surface en amont : MFA partout, services exposés au minimum, segmentation réseau.

Construire ce plan et tester vos sauvegardes avant l'incident, c'est exactement le type d'accompagnement que je propose — bien moins coûteux qu'une crise mal gérée.

Pour aller plus loin

Suivi des gangs ransomware NIS2 : obligations PME Gérer les vulnérabilités

Prioriser ça dans VOTRE SI ?

La donnée est gratuite. Pour un avis sur l'impact réel sur votre parc et un plan de remédiation, on en parle.

Réserver un call 30 min →