Que faire après une cyberattaque dans une PME ? Plan de réponse incident

Une cyberattaque peut frapper n'importe quelle PME, même celles qui ont mis en place des protections. La différence entre une entreprise qui se relève rapidement et une qui subit des dommages durables réside dans sa capacité à réagir correctement dans les premières heures. Ce guide fournit une procédure de réponse à incident concrète et adaptée aux PME, couvrant les scénarios les plus courants : ransomware, compte compromis, fraude par e-mail et fuite de données.

Les 4 phases de la réponse à incident

Toute réponse à incident suit quatre phases, quel que soit le type d'attaque. La détection et l'analyse : identifier ce qui se passe et évaluer la gravité. L'endiguement : limiter la propagation de l'attaque. L'éradication et la récupération : éliminer la menace et restaurer les systèmes. Le retour d'expérience : comprendre ce qui s'est passé et renforcer les défenses. Chaque phase a ses actions spécifiques selon le type d'incident.

Scénario 1 : Ransomware — vos fichiers sont chiffrés

Les premières minutes : endiguer l'attaque

Déconnectez immédiatement le ou les postes infectés du réseau (débranchez le câble Ethernet, désactivez le Wi-Fi). Ne les éteignez pas : la mémoire vive contient des informations utiles pour l'investigation. Déconnectez les lecteurs réseau partagés et les disques de sauvegarde connectés pour empêcher la propagation du chiffrement. Prévenez immédiatement tous les collaborateurs de ne pas ouvrir de fichiers provenant des postes suspects. Si vous avez un serveur, isolez-le du réseau.

L'heure qui suit : évaluer et alerter

Évaluez l'étendue des dégâts : quels postes sont touchés, quels fichiers sont chiffrés, les sauvegardes sont-elles intactes. Contactez votre prestataire informatique ou votre MSP. Déposez plainte en ligne sur la plateforme Thésée ou au commissariat. Signalez l'incident sur cybermalveillance.gouv.fr pour obtenir une assistance. Si des données personnelles sont compromises, vous devez notifier la CNIL dans les 72 heures. Ne payez pas la rançon : il n'y a aucune garantie de récupérer vos données, et le paiement finance la criminalité.

La récupération : restaurer depuis les sauvegardes

Si vos sauvegardes sont intactes et testées, restaurez les données à partir de la dernière sauvegarde saine (antérieure à l'infection). Reformatez les postes infectés avant toute restauration pour éliminer le malware. Changez tous les mots de passe de l'entreprise. Vérifiez que le vecteur d'entrée (e-mail de phishing, faille RDP, logiciel non mis à jour) est identifié et corrigé avant de remettre les systèmes en production. Si les sauvegardes sont également chiffrées, consultez le site nomoreransom.org qui référence des outils de déchiffrement gratuits pour certaines familles de ransomware.

Scénario 2 : Compte compromis (messagerie, CRM, outil métier)

Signes d'alerte : e-mails envoyés depuis votre adresse que vous n'avez pas écrits, règles de transfert automatique créées à votre insu, connexions depuis des pays inhabituels, alertes de connexion suspecte de votre fournisseur de messagerie. Actions immédiates : changez le mot de passe du compte compromis depuis un autre appareil. Activez le MFA si ce n'est pas déjà fait. Vérifiez et supprimez les règles de transfert ou de redirection d'e-mails ajoutées par l'attaquant. Révoquez toutes les sessions actives. Vérifiez les applications tierces connectées au compte et révoquez les inconnues. Prévenez vos contacts si des e-mails frauduleux ont été envoyés en votre nom. Analysez les journaux de connexion pour déterminer depuis quand le compte est compromis et ce que l'attaquant a pu consulter ou télécharger.

Scénario 3 : Fraude au président ou usurpation de RIB

Si un virement frauduleux a été effectué, contactez immédiatement votre banque pour tenter un rappel de fonds. La rapidité est cruciale : au-delà de 24 heures, les chances de récupération diminuent fortement. Déposez plainte rapidement avec tous les éléments (e-mails, numéros de compte, montants). Si le virement n'a pas encore été exécuté, bloquez-le immédiatement auprès de la banque. Identifiez le mode opératoire : l'attaquant a-t-il compromis la messagerie d'un collaborateur, intercepté un e-mail en transit, ou usurpé l'identité du dirigeant ? Renforcez la procédure de validation des virements : double signature, confirmation par téléphone sur un numéro connu (pas celui indiqué dans l'e-mail suspect), délai de 24 heures pour tout changement de RIB fournisseur.

Scénario 4 : Fuite de données personnelles

Si des données personnelles ont été exposées (fichier clients partagé par erreur, base de données piratée, e-mail envoyé au mauvais destinataire), vous avez des obligations légales. Notification CNIL : si la fuite présente un risque pour les droits et libertés des personnes, notifiez la CNIL dans les 72 heures via le téléservice dédié sur cnil.fr. Information des personnes concernées : si le risque est élevé, informez directement les personnes dont les données ont été compromises. Documentez l'incident : nature des données, nombre de personnes concernées, mesures prises pour limiter les dégâts, mesures préventives mises en place. Même si l'incident semble mineur, documentez-le dans votre registre de violations de données (obligatoire au titre du RGPD).

Préparer votre fiche réflexe avant l'incident

N'attendez pas d'être attaqué pour préparer votre réponse. Rédigez une fiche réflexe d'une page qui contient les informations essentielles. Les numéros d'urgence : prestataire informatique, assureur cyber, ANSSI (3218), police/gendarmerie, banque (numéro de blocage des virements). Les actions immédiates selon le type d'incident (voir les scénarios ci-dessus). La liste des personnes à prévenir en interne et en externe. L'emplacement des sauvegardes et la procédure de restauration. Imprimez cette fiche et affichez-la dans le bureau de la direction et près du serveur. En cas de crise, les systèmes informatiques peuvent être inaccessibles.

Le retour d'expérience : la phase la plus négligée

Après la résolution de l'incident, organisez une réunion de retour d'expérience dans les 2 semaines. Analysez les causes racines : quelle faille a permis l'attaque, pourquoi les protections n'ont pas fonctionné, combien de temps a duré la détection. Identifiez les améliorations nécessaires : mise à jour d'un logiciel, activation du MFA, formation d'un collaborateur, révision de la procédure de virements. Documentez l'incident et les leçons apprises. Mettez à jour votre plan de réponse en conséquence. Ce retour d'expérience transforme un incident subi en renforcement de vos défenses.

L'assurance cyber : un filet de sécurité financier

Une assurance cyber couvre les frais de gestion de crise (experts forensics, avocats, communication), les pertes d'exploitation, les frais de notification CNIL et les éventuelles demandes de dommages et intérêts. Pour une PME de 20 à 50 salariés, une police d'assurance cyber coûte entre 1 000 et 5 000 € par an. Attention : les assureurs exigent de plus en plus des mesures de sécurité minimales (MFA, sauvegardes, antivirus) comme prérequis à la couverture. Vérifiez les exclusions de votre contrat avant d'en avoir besoin.