Il est 7h42. Vous arrivez au bureau, café à la main. Vous allumez votre ordinateur. Et là — écran noir. Ou pire : un fond rouge avec un message que vous n’aurez jamais voulu lire : « Vos fichiers ont été chiffrés. Vous avez 72 heures. »
Ou alors ce n’est pas aussi spectaculaire. Un collaborateur vient vous voir, gêné : il a cliqué sur un lien bizarre. Votre banque vient d’appeler pour un virement inhabituel. Votre boîte mail envoie des messages à vos clients sans que vous n’ayez rien fait.
Dans tous les cas, vous avez la même question dans la tête : qu’est-ce que je fais maintenant ?
C’est exactement l’objet de cet article. Pas de jargon technique, pas de théorie. Une procédure concrète, étape par étape, adaptée à votre réalité de dirigeant PME/TPE.
Les 3 réflexes des premières minutes
Quelle que soit l’attaque, les 30 premières minutes sont les plus importantes. Votre objectif : limiter la propagation, pas réparer. On répare après. D’abord, on stoppe.
Réflexe 1 — Coupez le réseau immédiatement
Débranchez les câbles réseau. Coupez le Wi-Fi sur les machines concernées. Si vous n’êtes pas sûr des machines touchées, coupez le routeur. Oui, ça va bloquer le travail. Non, ce n’est pas une décision excesssive — c’est la bonne.
La plupart des ransomwares se propagent de poste en poste en quelques minutes. Un poste infecté qui reste connecté peut chiffrer votre serveur, vos sauvegardes réseau, les ordinateurs de vos collègues. Chaque seconde compte.
Réflexe 2 — Ne payez pas, ne redémarrez pas, ne supprimez rien
Trois erreurs classiques des premières minutes qui aggravent la situation :
- Payer la rançon sans avoir consulté un expert : dans 40 % des cas, les hackers ne déchiffrent pas les fichiers même après paiement. Et vous financez les attaques suivantes.
- Redémarrer les machines infectées : sur certains ransomwares, le redémarrage déclenche le chiffrement complet. Ne touchez à rien.
- Supprimer des fichiers ou “nettoyer” : vous détruisez des preuves et rendez la récupération plus difficile.
Réflexe 3 — Documentez tout, tout de suite
Prenez des photos avec votre téléphone. Notez l’heure exacte où vous avez découvert le problème. Gardez les emails suspects (ne les effacez pas). Ce journal de bord vous sera indispensable pour votre assurance, le dépôt de plainte et l’éventuelle notification à la CNIL.
- Date et heure de découverte
- Qui a découvert quoi (email reçu ? message sur écran ? appel externe ?)
- Quelles machines semblent touchées
- Actions déjà effectuées (redémarrage, etc.)
Identifier le type d’attaque dont vous êtes victime
Avant d’aller plus loin, il faut nommer ce qui s’est passé. Les procédures sont différentes selon le type d’attaque. Voici les 4 situations les plus courantes en PME.
| Ce que vous observez | Type d’attaque probable | Section à suivre |
|---|---|---|
| Fichiers inaccessibles, message de rançon | Ransomware | → Section 3 |
| Un collaborateur a cliqué sur un lien douteux / saisi son mot de passe sur un faux site | Phishing | → Section 4 |
| Connexion inconnue à un compte, mots de passe changés, mails envoyés à votre insu | Piratage de compte | → Section 5 |
| Données clients potentiellement volées ou exposées | Fuite / violation de données | → Section 6 |
Note : ces situations peuvent se cumuler. Un ransomware s’accompagne souvent d’une fuite de données. Un phishing peut mener à un piratage de compte. Lisez la section qui vous correspond en priorité, puis vérifiez les suivantes.
Ransomware (rançongiciel) : la procédure complète
C’est l’attaque la plus redoutée. Vos fichiers sont chiffrés, vos systèmes paralysés, et une rançon est exigée. Voici comment réagir, dans l’ordre.
Étape 1 — Isoler les machines touchées (si ce n’est pas fait)
Débranchez le réseau (câble + Wi-Fi) sur chaque machine qui affiche le message ou dont les fichiers sont devenus illisibles. N’attendez pas de comprendre “jusqu’où ça s’est propagé” — isolez d’abord, analysez ensuite.
Étape 2 — Évaluer l’étendue des dégâts
Depuis un appareil non connecté au réseau infecté (votre téléphone, un ordinateur perso), répondez à ces questions :
- Vos sauvegardes sont-elles accessibles ? (sauvegardes hors ligne ou cloud non synchronisé ?)
- Vos serveurs internes sont-ils touchés ?
- Vos outils cloud (Microsoft 365, Google Workspace) fonctionnent-ils encore ?
Étape 3 — Appelez cybermalveillance.gouv.fr
Avant de prendre toute décision (y compris sur la rançon), contactez cybermalveillance.gouv.fr au 3018. C’est le service public de référence. Ils peuvent vous orienter vers des prestataires spécialisés en réponse à incident, et vous dire si une solution de déchiffrement gratuite existe pour le ransomware dont vous êtes victime (c’est parfois le cas).
Étape 4 — Déposez plainte
Rendez-vous à la gendarmerie ou au commissariat, ou déposez plainte en ligne sur thesaurus.pj.interieur.gouv.fr. Cette étape est indispensable pour votre assurance. Elle déclenche aussi l’intervention possible de l’OCLCTIC (l’office de lutte contre la cybercriminalité).
Étape 5 — Sur la rançon : ne décidez pas seul
Payer ne garantit pas la récupération. Ne pas payer peut signifier perdre vos données définitivement. C’est une décision stratégique qui dépend de la valeur de vos données, de l’état de vos sauvegardes, et du montant demandé. Prenez-la avec un expert, pas dans la panique des premières heures.
Étape 6 — Restauration
Si vous avez des sauvegardes propres (antérieures à l’infection), la restauration est possible. Elle doit être effectuée par un professionnel — assurez-vous d’abord que le vecteur d’infection est identifié et éliminé, sinon vous serez réinfecté dans les 48 heures.
Phishing / arnaque par email : que faire
Un collaborateur a cliqué sur un lien, saisi ses identifiants sur un faux site, ou ouvert une pièce jointe douteuse. La menace est réelle, même si rien de visible ne s’est passé.
Étape 1 — Isolez la machine
Même consigne qu’au-dessus : déconnectez-la du réseau immédiatement. Un simple clic sur un lien peut installer un logiciel malveillant silencieux.
Étape 2 — Changez tous les mots de passe concernés
Si votre collaborateur a saisi son mot de passe (Microsoft 365, Google, CRM, ERP…), changez-le immédiatement depuis un autre appareil sain. Activez l’authentification à deux facteurs (2FA) si ce n’est pas déjà fait.
Étape 3 — Vérifiez les accès et les règles de messagerie
Les hackers qui obtiennent l’accès à une boîte mail créent souvent des règles automatiques (redirection de tous les emails vers une adresse externe, suppression silencieuse des alertes de sécurité). Vérifiez les règles de transfert dans la messagerie du compte compromis.
Étape 4 — Analysez la machine avec un antivirus
Faites réaliser un scan complet par votre prestataire informatique avant de reconnecter la machine au réseau. Ne vous fiez pas à votre antivirus habituel s’il n’a rien détecté — certains malwares le désactivent en priorité.
Étape 5 — Informez vos contacts si nécessaire
Si la boîte mail a été utilisée pour envoyer des messages frauduleux à vos clients ou partenaires, prévenez-les rapidement. Une communication rapide et transparente limite les dégâts en termes de réputation.
Étape 6 — Signalez le phishing
Transférez l’email frauduleux à phishing-initiative.fr et signalez-le sur signal-spam.fr. Cela aide à fermer les sites frauduleux et protège d’autres entreprises.
Piratage d’un compte (email, réseaux sociaux, banque)
Votre compte email envoie des messages sans vous. Votre page LinkedIn ou Instagram poste à votre place. Un virement a été effectué depuis votre compte bancaire professionnel. Ce scénario est plus courant qu’on ne le croit en PME.
Compte email professionnel (Microsoft 365 / Google Workspace) piraté
- Changez le mot de passe immédiatement depuis un appareil sain (téléphone ou autre ordinateur).
- Activez le 2FA si ce n’est pas en place.
- Déconnectez toutes les sessions actives (option disponible dans les paramètres de sécurité du compte).
- Vérifiez les règles de messagerie et les accès tiers (applications tierces connectées à votre boîte).
- Consultez les logs de connexion : vous y verrez depuis quels pays et adresses IP le compte a été utilisé.
- Si des données sensibles ont transité, considérez une notification CNIL (voir section suivante).
Compte bancaire professionnel
- Appelez immédiatement votre banque pour bloquer les accès et signaler la fraude. Demandez le numéro de dossier.
- Si un virement frauduleux a eu lieu, demandez le rappel de fonds — plus vous agissez vite, plus les chances sont élevées.
- Déposez plainte auprès de la police ou de la gendarmerie (obligatoire pour toute procédure de remboursement).
- Vérifiez si vous disposez d’une assurance cyber ou d’une garantie fraude — de nombreux contrats pros la prévoient.
Compte sur les réseaux sociaux
- Utilisez la procédure de récupération de compte de la plateforme (LinkedIn, Instagram, Facebook proposent tous un process dédié au piratage).
- Si vous n’avez plus accès, contactez le support directement en précisant que le compte appartient à une entreprise.
- Signalez le compte piraté via les boutons de signalement de la plateforme pour limiter les dégâts si du contenu frauduleux est publié à votre nom.
Fuite de données clients : vos obligations légales
Si l’attaque a potentiellement exposé des données personnelles de vos clients, salariés ou partenaires, vous avez des obligations légales en vertu du RGPD. Ce n’est pas optionnel.
Devez-vous notifier la CNIL ?
Oui, si la violation de données présente un risque pour les droits et libertés des personnes concernées. Vous disposez de 72 heures après avoir eu connaissance de la violation pour notifier la CNIL. Ce délai est très court — c’est pourquoi il faut agir vite.
La notification se fait en ligne sur notifications.cnil.fr. La CNIL est généralement compréhensive envers les organisations qui déclarent de bonne foi — en revanche, elle est sévère avec celles qui tentent de cacher un incident.
Devez-vous informer vos clients ?
Si la violation est susceptible d’entraîner un risque élevé pour les personnes (vol d’identité, préjudice financier, etc.), vous devez également informer les personnes concernées directement, sans délai injustifié. Cette communication doit expliquer clairement ce qui s’est passé, les données concernées, les mesures prises et un contact pour les questions.
Les contacts et ressources d’urgence en France
Gardez cette liste accessible — idéalement imprimée et affichée dans votre bureau ou enregistrée hors ligne.
| Organisme | Contact | Pour quoi |
|---|---|---|
| Cybermalveillance.gouv.fr | cybermalveillance.gouv.fr / 3018 | Assistance, orientation, prestataires de confiance |
| CNIL | notifications.cnil.fr | Notification violation de données (72h) |
| Signalement phishing | phishing-initiative.fr | Signaler un email ou site frauduleux |
| Signal Spam | signal-spam.fr | Signaler des spams et tentatives de phishing |
| Police / Gendarmerie | Commissariat ou pre-plainte-en-ligne.gouv.fr | Dépôt de plainte (obligatoire pour assurance) |
| ANSSI | ssi.gouv.fr | Ressources techniques, guides sectoriels |
| No More Ransom | nomoreransom.org/fr | Vérifier si un déchiffrement gratuit existe pour votre ransomware |
Après la crise : les actions à ne pas rater
La tentation après une attaque est de “tourner la page” dès que les systèmes sont rétablis. C’est une erreur. Les entreprises qui se font attaquer une deuxième fois dans les 12 mois qui suivent sont souvent celles qui ont restauré leurs systèmes sans comprendre comment elles ont été compromises.
1. Faites une analyse post-incident
Avec votre prestataire ou un expert externe : comment l’attaquant est entré, ce qu’il a fait, ce qu’il a potentiellement volé. C’est le seul moyen de colmater la vraie brèche.
2. Auditez vos sauvegardes
Avez-vous des sauvegardes hors ligne ? Avez-vous testé leur restauration récemment ? Une sauvegarde non testée est une sauvegarde qui pourrait ne pas fonctionner le jour où vous en avez vraiment besoin.
3. Changez tous les mots de passe
Pas seulement ceux du compte compromis. Après une intrusion, considérez que l’ensemble de vos accès est potentiellement connu. Changez tout, activez le 2FA partout.
4. Informez vos collaborateurs
Sans chercher de coupable — cela ne sert à rien et détériore le climat. Expliquez ce qui s’est passé, ce que vous avez fait, et les nouvelles règles à respecter. La cyberattaque est souvent une opportunité pour sensibiliser l’équipe de façon concrète, là où les formations théoriques n’auraient pas eu le même impact.
5. Vérifiez votre couverture assurance
De nombreuses PME ont une assurance cyber sans le savoir (incluse dans leur RC Pro ou leur multirisque professionnelle). Vérifiez vos contrats. Et si vous n’êtes pas couvert, c’est le bon moment pour y remédier.
6. Faites un diagnostic de sécurité
Vous venez de subir une attaque. Vous ne savez peut-être pas encore quelles autres failles existent dans votre système. Un diagnostic permet d’identifier vos vulnérabilités actuelles avant que les hackers ne le fassent à votre place.
Vous voulez savoir à quel point vous êtes exposé avant la prochaine attaque ?
Notre diagnostic cybersécurité identifie vos principales vulnérabilités en 10 minutes. Résultats concrets, sans jargon, adaptés aux PME.
Faire mon diagnostic — 9,99 €En résumé : ce que vous devez retenir
Une cyberattaque, c’est stressant. C’est déstabilisant. Et dans les premières minutes, l’instinct peut vous pousser à faire exactement ce qu’il ne faut pas faire (redémarrer, supprimer, payer vite).
Retenez trois choses :
- Isolez d’abord, réparez ensuite. La propagation est votre ennemi numéro un dans les premières minutes.
- Appelez cybermalveillance.gouv.fr. C’est gratuit, c’est fait pour vous, et ça peut changer radicalement la suite des événements.
- Documentez tout. Pour l’assurance, pour la plainte, pour la CNIL. Chaque action tracée est une action qui compte.
Et si vous lisez cet article sans être en train de subir une attaque — c’est encore mieux. Profitez de ce calme relatif pour faire le point sur votre niveau de protection. Parce que la question pour une PME aujourd’hui n’est plus “est-ce que je vais être attaqué ?” mais “quand est-ce que ça va arriver, et est-ce que je serai prêt ?”