Assistance Cyberg
URGENCE CYBER
Crise cyber — nous contacter
Envoi direct à cybersecurite@cyberg.fr
ASSISTANCE
Support technique
Lun–Ven 8h–12h / 14h–18h
Prise en main à distance
Windows / macOS / Android
Expertises
Infrastructure IT
Supervision, infogérance 24/7
Cybersécurité
Pentest, audit, phishing simulé
Développement logiciel
ERP, CRM, applications sur mesure
Téléphonie & Internet
IP, fibre dédiée, SDWAN
Photocopieurs
Multifonctions, GED, démat.
Formations
Cybersécurité, bureautique, OPCO
Intelligence Artificielle
Automatisation, chatbots, BI
Conformité NIS2
Directive EU, audit, mise en conformité
Ransomware : que faire dans les 24 premières heures ?
Isolement, préservation des preuves, notification CNIL/ANSSI, communication interne : le playbook heure par heure.
Publié le
19/04/2026
En résumé : la réaction des 24 premières heures après une attaque par ransomware détermine souvent l'ampleur des dégâts. Bonne nouvelle : les gestes qui sauvent sont simples, mais ils doivent être décidés à l'avance — pas improvisés dans la panique. Ce playbook heure par heure est tiré de nos interventions réelles sur le terrain.
Les 2 gestes à faire dans les 10 premières minutes
Dès qu'un poste ou un serveur affiche un message de rançon (ou qu'un fichier .readme_to_decrypt.txt apparaît) :
1. Isoler. Ne pas éteindre.
- Débranchez le câble réseau des machines infectées. Si c'est du Wi-Fi, désactivez la carte Wi-Fi.
- N'éteignez pas la machine. La mémoire vive (RAM) contient des traces précieuses (clés de chiffrement parfois, indicateurs de compromission, processus malveillants actifs) qui disparaissent au reboot.
- Ne reformattez rien. Même si c'est tentant.
2. Alerter votre responsable cyber
- Chez Cyberg, nos clients sous contrat ont un numéro d'urgence 24/7. Appelez-le immédiatement.
- Si vous n'avez pas de prestataire d'intervention, contactez Cybermalveillance.gouv.fr (support gratuit pour qualifier l'incident).
⚠️ Ce que vous ne devez PAS faire dans la panique :
- Payer la rançon (nous y reviendrons)
- Communiquer publiquement
- Essayer de déchiffrer vous-même
- Restaurer une sauvegarde sans être sûr qu'elle est saine
Playbook heure par heure
H+0 à H+2 : Confinement
- Isoler tous les systèmes affichant des signes d'infection (écran de rançon, fichiers chiffrés, processus suspects).
- Couper les accès distants (VPN, RDP) qui pourraient permettre la propagation.
- Suspendre les sauvegardes automatiques temporairement pour éviter qu'une sauvegarde chiffrée n'écrase une version saine.
- Identifier si vos sauvegardes sont accessibles depuis le système infecté — si oui, c'est une priorité absolue de les isoler physiquement.
H+2 à H+6 : Cellule de crise + état des lieux
- Réunir la cellule de crise : dirigeant, DSI, responsable cyber, juridique, RH, communication.
- Recenser les systèmes touchés : combien de postes, quels serveurs, quelles données.
- Préserver les preuves : copies disques des machines infectées (image forensique), captures des écrans de rançon, logs récents.
- Contacter votre prestataire d'intervention cyber et votre assureur cyber.
H+6 à H+12 : Notifications obligatoires
Plusieurs horloges légales tournent en parallèle :
| Destinataire | Délai | Motif |
|---|---|---|
| ANSSI (si NIS2) | 24h (pré-notification) puis 72h | Obligation NIS2 pour entités essentielles/importantes |
| CNIL | 72h | Si des données personnelles sont concernées (RGPD Art. 33) |
| Assureur cyber | 24-48h (selon contrat) | Ouverture du sinistre |
| Police ou Gendarmerie | Dès que possible | Plainte pénale — permet l'enquête judiciaire |
| Clients / partenaires | Après qualification | Si leurs données sont exposées |
H+12 à H+24 : Analyse et décision de restauration
- Identifier la variante du ransomware (souvent LockBit, Akira, BlackCat... même si renommé).
- Vérifier si un outil de déchiffrement gratuit existe sur No More Ransom. Ça arrive plus souvent qu'on le croit.
- Cartographier ce qui peut être restauré depuis les sauvegardes et ce qui est définitivement perdu.
- Préparer un plan de restauration par ordre de priorité métier (pas système par système).
Faut-il payer la rançon ?
La réponse est presque toujours non, pour 4 raisons :
- La récupération n'est pas garantie. Les statistiques (Sophos, CrowdStrike) montrent que seulement 29 % des entreprises qui paient récupèrent l'intégralité de leurs données. Certains groupes fournissent une clé qui ne marche pas complètement ; d'autres re-attaquent.
- Vous financez le crime organisé et incitez d'autres attaques contre votre secteur.
- C'est souvent illégal ou très encadré. En France, les assureurs ne peuvent plus rembourser la rançon sauf plainte préalable (LOPMI 2023). Certains pays (OFAC US) interdisent le paiement si le groupe est sanctionné.
- Vous risquez une double extorsion : même après paiement, les données exfiltrées peuvent être revendues.
La seule exception : cas critique où des vies sont en jeu (hôpital, infrastructure essentielle) et où les sauvegardes sont irrécupérables. Dans ce cas, la décision se prend avec les autorités, jamais seul.
Les erreurs fréquentes à éviter
Erreur 1 : Éteindre les machines infectées
Vous perdez la RAM et donc les indices forensiques (processus malveillants, connexions réseau en cours, parfois même des clés de chiffrement). Isolez, ne coupez pas.
Erreur 2 : Restaurer trop vite
Une sauvegarde restaurée sur un réseau encore compromis = re-chiffrement immédiat. Avant toute restauration :
- Identifier le point d'entrée (faille initiale) et le refermer
- Déployer un EDR/XDR sur tout le parc
- Tester la restauration sur un environnement isolé d'abord
Erreur 3 : Communiquer trop tôt
Un communiqué envoyé dans la panique, avec des informations fausses ou incomplètes, se retourne contre vous (presse, CNIL, clients). Attendez d'avoir qualifié l'incident — 24 à 48h — avant de communiquer publiquement.
Erreur 4 : Négliger la chaîne d'approvisionnement
Si l'attaque est arrivée via un fournisseur (MSP, éditeur SaaS...), prévenez-le et vos autres clients/partenaires. Les ransomwares modernes se propagent en cascade.
La prévention > la réaction
Toutes ces étapes de crise coûtent 10 à 100 fois plus cher que les mesures préventives. Les 4 investissements qui réduisent massivement le risque :
- Sauvegardes 3-2-1 immutables : 3 copies, 2 supports, 1 hors-site, avec snapshots immutables (que même un admin compromis ne peut effacer).
- MFA généralisée : sur tous les accès distants, la messagerie, les admins.
- EDR/XDR déployé sur tous les postes et serveurs.
- Sensibilisation phishing trimestrielle, avec campagnes simulées.
Budget cumulé pour une PME de 50 postes : ~15 à 30 k€/an. À comparer à un coût médian d'incident ransomware de 1,85 M$ (Sophos, 2024).
FAQ
En combien de temps un ransomware chiffre-t-il un réseau entier ? Entre 45 minutes et 6 heures typiquement, selon la taille du SI et les privilèges de compte compromis. D'où l'importance d'une détection rapide.
Mes sauvegardes vont-elles suffire ? Uniquement si elles sont immutables (non modifiables par le ransomware) et testées régulièrement. 60 % des PME découvrent que leur sauvegarde n'est pas restaurable... au moment où elles en ont besoin.
Faut-il porter plainte ? Oui, systématiquement. Cela permet à l'enquête (Police Judiciaire, BL2C, C3N) de consolider les dossiers contre les groupes criminels. Et c'est souvent exigé par votre assurance cyber.
Dois-je prévenir mes clients ? Oui si leurs données personnelles sont impactées (RGPD). Dans tous les cas, une communication proactive, factuelle et maîtrisée vaut mieux qu'une information qui fuite par d'autres canaux.
Cyberg intervient en cas d'attaque ? Oui, nous proposons un service d'intervention d'urgence (IR — Incident Response) 24/7 à la demande. Contactez-nous pour connaître les modalités.
Un audit cybersécurité à planifier ?
Pentest, conformité NIS2, sensibilisation. Nos experts vous accompagnent de l'audit au plan d'action.
Votre partenaire informatique & cybersécurité. 3 agences en France, 450 clients accompagnés, plus de 10 ans d'expertise.
© 2026 Cyberg · Tous droits réservés. Photos :
@Camille Arnaud