Cyberattaque sur une PME toulousaine : que faire dans les premières heures ?
Ransomware, piratage de comptes, intrusion réseau… les premières décisions que vous prenez dans les heures qui suivent une cyberattaque déterminent largement l’ampleur des dégâts. Voici le guide d’urgence.
Vous êtes en train de subir une attaque ? Passez directement aux étapes ci-dessous. Chaque minute compte. Ne redémarrez pas les machines touchées et ne payez pas la rançon avant d’avoir appelé votre prestataire ou les autorités.
Les étapes d’urgence heure par heure
Isoler immédiatement les machines touchées
Débranchez le câble réseau (Ethernet) de chaque poste affecté et désactivez le Wi-Fi. L’objectif est d’empêcher la propagation du malware aux autres machines et aux serveurs. Ne redémarrez pas les machines — cela peut déclencher des mécanismes de suppression de preuves.
Alerter les personnes clés en interne
Prévenez votre direction, votre responsable IT ou votre prestataire informatique. Identifiez l’étendue visible de l’attaque : combien de postes ? Les serveurs sont-ils touchés ? La messagerie fonctionne-t-elle encore ? Utilisez des moyens de communication hors réseau (téléphone mobile) pour ne pas alerter les attaquants.
Contacter votre prestataire informatique en urgence
Votre prestataire peut intervenir à distance ou sur site pour évaluer l’étendue de l’attaque, sécuriser ce qui peut encore l’être et initier la procédure de récupération. Ne tentez pas de nettoyage maison — vous risquez de supprimer des éléments forensiques utiles à l’enquête.
Déposer plainte
Rendez-vous au commissariat ou à la gendarmerie pour déposer une plainte. Signalez également l’incident sur cybermalveillance.gouv.fr, qui peut vous mettre en relation avec des prestataires spécialisés. Conservez toutes les preuves : captures d’écran des messages d’attaque, logs, liste des fichiers chiffrés.
Notifier la CNIL si des données personnelles sont compromises
Si l’attaque a pu exposer des données personnelles de clients, salariés ou prospects, vous avez 72 heures pour le notifier à la CNIL via son portail. Le non-respect de ce délai est une infraction RGPD supplémentaire. Votre prestataire et/ou un juriste peuvent vous accompagner dans cette démarche.
Analyser, reconstruire, renforcer
Une fois la crise passée, il faut comprendre comment l’attaquant est entré et boucher la faille. Audit de sécurité post-incident, mise à jour des accès et mots de passe, déploiement de solutions de protection renforcées. Ne repartez pas à l’identique.
Qui appeler en cas d’attaque ?
🛠️ Votre prestataire IT
Premier appel à passer. Il connaît votre infrastructure et peut intervenir immédiatement pour limiter les dégâts et démarrer la récupération.
ISNAN Informatique Toulouse →🚔 Police / Gendarmerie
Dépôt de plainte obligatoire. La gendarmerie dispose d’un référent cybersécurité dans chaque département. Conservez les preuves avant d’y aller.
🌐 Cybermalveillance.gouv.fr
Plateforme nationale d’assistance aux victimes. Vous oriente vers des prestataires qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité).
cybermalveillance.gouv.fr →📋 La CNIL
Notification obligatoire dans les 72 h si des données personnelles sont concernées. Portail de notification disponible sur leur site.
Notifier la CNIL →Comment éviter d’en arriver là
La meilleure gestion de crise est celle qu’on n’a pas à gérer. Voici les 5 mesures qui réduisent drastiquement le risque :
Sauvegarde immuable testée
Une sauvegarde que le ransomware ne peut pas chiffrer, testée régulièrement. C’est la seule vraie garantie de récupération.
EDR sur tous les postes
Un antivirus de nouvelle génération à détection comportementale bloque la majorité des attaques avant qu’elles ne se propagent.
MFA sur tous les accès distants
L’authentification à deux facteurs sur VPN, messagerie et outils cloud rend le vol de mot de passe inopérant.
Formation anti-phishing
80 % des attaques démarrent par un clic humain. Former vos équipes à reconnaître un mail frauduleux est la mesure la plus efficace rapport coût/risque.
Plan de réponse aux incidents
Avoir documenté à l’avance qui appelle qui, dans quel ordre, évite la panique et les mauvaises décisions sous le choc.
Questions fréquentes
Faut-il payer la rançon en cas d’attaque ransomware ?
Dois-je déclarer une cyberattaque aux autorités ?
Ne découvrez pas votre plan de crise pendant la crise
Je vous aide à mettre en place les protections essentielles et à documenter votre procédure d’urgence avant qu’un incident ne se produise.
Demander mon diagnostic de sécurité gratuit →Toulouse et sa région · Intervention possible en urgence · Réponse sous 24 h
Pour aller plus loin : notre page cybersécurité pour PME à Toulouse →
