Cyberattaque sur une PME toulousaine : que faire dans les premières heures ?

Ransomware, piratage de comptes, intrusion réseau… les premières décisions que vous prenez dans les heures qui suivent une cyberattaque déterminent largement l’ampleur des dégâts. Voici le guide d’urgence.

Cyberattaque PME Ransomware que faire Plan d’urgence cyber
🚨

Vous êtes en train de subir une attaque ? Passez directement aux étapes ci-dessous. Chaque minute compte. Ne redémarrez pas les machines touchées et ne payez pas la rançon avant d’avoir appelé votre prestataire ou les autorités.

Les étapes d’urgence heure par heure

⏱ 0 – 15 minutes

Isoler immédiatement les machines touchées

Débranchez le câble réseau (Ethernet) de chaque poste affecté et désactivez le Wi-Fi. L’objectif est d’empêcher la propagation du malware aux autres machines et aux serveurs. Ne redémarrez pas les machines — cela peut déclencher des mécanismes de suppression de preuves.

⏱ 15 – 30 minutes

Alerter les personnes clés en interne

Prévenez votre direction, votre responsable IT ou votre prestataire informatique. Identifiez l’étendue visible de l’attaque : combien de postes ? Les serveurs sont-ils touchés ? La messagerie fonctionne-t-elle encore ? Utilisez des moyens de communication hors réseau (téléphone mobile) pour ne pas alerter les attaquants.

⏱ 30 minutes – 2 heures

Contacter votre prestataire informatique en urgence

Votre prestataire peut intervenir à distance ou sur site pour évaluer l’étendue de l’attaque, sécuriser ce qui peut encore l’être et initier la procédure de récupération. Ne tentez pas de nettoyage maison — vous risquez de supprimer des éléments forensiques utiles à l’enquête.

⏱ Dans les 4 heures

Déposer plainte

Rendez-vous au commissariat ou à la gendarmerie pour déposer une plainte. Signalez également l’incident sur cybermalveillance.gouv.fr, qui peut vous mettre en relation avec des prestataires spécialisés. Conservez toutes les preuves : captures d’écran des messages d’attaque, logs, liste des fichiers chiffrés.

⏱ Dans les 72 heures

Notifier la CNIL si des données personnelles sont compromises

Si l’attaque a pu exposer des données personnelles de clients, salariés ou prospects, vous avez 72 heures pour le notifier à la CNIL via son portail. Le non-respect de ce délai est une infraction RGPD supplémentaire. Votre prestataire et/ou un juriste peuvent vous accompagner dans cette démarche.

⏱ Après la crise

Analyser, reconstruire, renforcer

Une fois la crise passée, il faut comprendre comment l’attaquant est entré et boucher la faille. Audit de sécurité post-incident, mise à jour des accès et mots de passe, déploiement de solutions de protection renforcées. Ne repartez pas à l’identique.

Qui appeler en cas d’attaque ?

🛠️ Votre prestataire IT

Premier appel à passer. Il connaît votre infrastructure et peut intervenir immédiatement pour limiter les dégâts et démarrer la récupération.

ISNAN Informatique Toulouse →

🚔 Police / Gendarmerie

Dépôt de plainte obligatoire. La gendarmerie dispose d’un référent cybersécurité dans chaque département. Conservez les preuves avant d’y aller.

🌐 Cybermalveillance.gouv.fr

Plateforme nationale d’assistance aux victimes. Vous oriente vers des prestataires qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité).

cybermalveillance.gouv.fr →

📋 La CNIL

Notification obligatoire dans les 72 h si des données personnelles sont concernées. Portail de notification disponible sur leur site.

Notifier la CNIL →

Comment éviter d’en arriver là

La meilleure gestion de crise est celle qu’on n’a pas à gérer. Voici les 5 mesures qui réduisent drastiquement le risque :

💾

Sauvegarde immuable testée

Une sauvegarde que le ransomware ne peut pas chiffrer, testée régulièrement. C’est la seule vraie garantie de récupération.

🛡️

EDR sur tous les postes

Un antivirus de nouvelle génération à détection comportementale bloque la majorité des attaques avant qu’elles ne se propagent.

🔑

MFA sur tous les accès distants

L’authentification à deux facteurs sur VPN, messagerie et outils cloud rend le vol de mot de passe inopérant.

🧠

Formation anti-phishing

80 % des attaques démarrent par un clic humain. Former vos équipes à reconnaître un mail frauduleux est la mesure la plus efficace rapport coût/risque.

📋

Plan de réponse aux incidents

Avoir documenté à l’avance qui appelle qui, dans quel ordre, évite la panique et les mauvaises décisions sous le choc.

Questions fréquentes

Faut-il payer la rançon en cas d’attaque ransomware ?
Non. L’ANSSI et les forces de l’ordre recommandent de ne pas payer. Payer ne garantit pas la récupération des données (dans 30 % des cas les fichiers restent chiffrés après paiement), finance les groupes criminels et peut faire de vous une cible récurrente — vous signifiez que vous payez. La bonne réponse est d’isoler, contacter les autorités et s’appuyer sur des sauvegardes préalablement mises en place.
Dois-je déclarer une cyberattaque aux autorités ?
Oui. Vous devez déposer plainte auprès de la police ou de la gendarmerie. Si des données personnelles ont été compromises, vous devez notifier la CNIL dans les 72 heures. Vous pouvez également signaler l’incident sur cybermalveillance.gouv.fr pour être mis en relation avec des prestataires spécialisés. Le non-signalement peut aggraver votre situation juridique.

Ne découvrez pas votre plan de crise pendant la crise

Je vous aide à mettre en place les protections essentielles et à documenter votre procédure d’urgence avant qu’un incident ne se produise.

Demander mon diagnostic de sécurité gratuit →

Toulouse et sa région · Intervention possible en urgence · Réponse sous 24 h

Pour aller plus loin : notre page cybersécurité pour PME à Toulouse →

Retour en haut