Tous les articles
Menaces & PMEréponse à incidentransomwaregestion de crise

Cyberattaque en cours : le plan de réponse à incident pour PME (les 48 premières heures)

HJ
Hugo Joucla
· 13 juillet 2026· 6 min

Il est 8h12 un lundi matin. Les écrans affichent un message de rançon, les fichiers portent une extension bizarre, et personne ne peut se connecter à la comptabilité. Dans ce moment précis, ce qui va décider de la survie de votre entreprise, ce n'est pas votre antivirus : c'est ce que vous faites — ou ne faites pas — dans les 48 heures qui suivent. La plupart des PME improvisent, paniquent, et commettent des erreurs irréversibles. Voici le plan de réponse à incident que nous appliquons sur le terrain, expliqué simplement.

Une cyberattaque, ça se prépare avant qu'elle arrive

La vérité que peu de prestataires osent dire : **vous serez attaqué un jour, la seule inconnue est la date.** Une réponse à incident réussie ne s'improvise pas le jour J. Elle repose sur trois choses préparées à froid : une **liste de contacts d'urgence** (dirigeant, prestataire IT, assureur cyber, avocat, CNIL), un **inventaire de vos systèmes critiques**, et des **sauvegardes testées et déconnectées**. Si vous n'avez que ces trois éléments, vous êtes déjà devant 80 % des PME. Sans plan, chaque décision se prend dans la panique — et la panique coûte cher.

Les 6 étapes d'une réponse à incident maîtrisée

1. Détecter et qualifier

Avant d'agir, comprenez ce qui se passe. **Est-ce un poste isolé ou tout le réseau ?** Des données sont-elles chiffrées, volées, ou les deux ? Notez l'heure, les symptômes, les machines touchées. Ne cliquez sur rien, ne payez rien, ne répondez pas aux attaquants. Cette qualification initiale oriente toute la suite : un ransomware sur un serveur de fichiers ne se gère pas comme un compte Microsoft 365 compromis.

2. Isoler — surtout ne pas éteindre

L'erreur la plus fréquente : débrancher ou éteindre brutalement les machines infectées. **Éteindre un poste efface la mémoire vive, qui contient des preuves essentielles** (clés de déchiffrement parfois, traces de l'attaquant). Le bon geste : isoler du réseau. Débranchez le câble Ethernet, coupez le Wi-Fi, mais laissez la machine allumée. Isolez aussi les sauvegardes et les systèmes encore sains pour stopper la propagation. On sépare le malade, on ne le tue pas.

3. Préserver les preuves

Une cyberattaque est un délit : vous devrez **déposer plainte** et, souvent, fournir des éléments à votre assureur. Conservez les journaux (logs) des serveurs, pare-feu et messagerie, prenez des photos des écrans, gardez le message de rançon. Ne réinstallez rien tant que ces preuves ne sont pas sécurisées. Ces traces permettront aussi de comprendre **par où l'attaquant est entré** — sans quoi vous rouvrirez la même porte après restauration.

4. Éradiquer et restaurer proprement

Ne restaurez jamais sur un environnement encore compromis. Il faut d'abord **identifier et fermer le point d'entrée** (un RDP exposé, un mot de passe volé, une faille non patchée), puis reconstruire à partir de sauvegardes saines et vérifiées. C'est ici que la règle **3-2-1-1-0** prend tout son sens : une sauvegarde hors ligne et testée est votre seule alternative crédible au paiement de la rançon. Restaurer trop vite, c'est risquer une seconde attaque en 72 heures.

5. Notifier — CNIL, assureur, parfois vos clients

Si des données personnelles sont concernées (clients, salariés, prospects), le RGPD vous impose de **notifier la CNIL sous 72 heures** après la prise de connaissance de la violation. En cas de risque élevé pour les personnes, vous devez aussi les informer. Prévenez votre **assurance cyber immédiatement** : beaucoup de contrats exigent une déclaration rapide et donnent accès à une cellule de crise. Déposez plainte auprès de la police ou gendarmerie. La transparence maîtrisée protège votre responsabilité juridique.

6. Tirer les leçons (le RETEX)

Une fois la crise passée, le travail n'est pas fini. **Un incident qui ne débouche sur aucune correction se reproduira.** Documentez la chronologie, la cause racine, les décisions prises. Corrigez la faille exploitée, renforcez la surveillance, formez les équipes sur ce qui a réellement échoué. C'est ce retour d'expérience qui transforme une catastrophe en montée en maturité durable.

Les erreurs qui aggravent tout

Sur le terrain, trois réflexes empirent systématiquement la situation. **Payer la rançon** : rien ne garantit la récupération des données, vous financez le crime et vous devenez une cible marquée comme « bon payeur ». **Communiquer trop tôt ou dans la panique** : un message maladroit sur les réseaux ou aux clients peut faire plus de dégâts que l'attaque. **Vouloir tout gérer seul** : sans compétences en investigation numérique, vous détruisez des preuves et laissez souvent l'attaquant à l'intérieur. Une réponse à incident, ça s'accompagne.

Combien de temps, combien ça coûte ?

Soyons honnêtes : pour une PME, un incident sérieux, c'est généralement **plusieurs jours à plusieurs semaines** d'activité perturbée. Le coût réel dépasse largement la rançon : arrêt de production, perte de clients, heures d'expertise, remise en conformité, atteinte à la réputation. À l'inverse, une PME **préparée**, avec sauvegardes testées et un plan écrit, s'en sort souvent en 24 à 72 heures sans payer. La différence entre les deux scénarios ne se joue pas pendant l'attaque : elle se joue **maintenant**, à froid.

Vous n'avez pas encore de plan de réponse à incident ni de sauvegardes réellement testées ? Demandez dès aujourd'hui votre diagnostic cybersécurité gratuit avec JOUCLA CYBERDÉFENSE : nous évaluons votre exposition et vous repartez avec un plan d'action concret, avant que l'attaque n'arrive.

réponse à incidentransomwaregestion de crisePMECNIL

Vous voulez aller plus loin ?

Découvrez Sérénité Cyber PME, notre offre packagée qui couvre l'ensemble des risques décrits dans cet article — pour un prix mensuel unique.

Newsletter cyber

Recevez nos analyses cyber chaque mois

Alertes CVE critiques, retours d'expérience terrain, conseils concrets pour PME. Pas de spam, désabonnement en un clic.

En vous abonnant, vous acceptez de recevoir nos emails. Vos données ne sont jamais partagées.

Appeler