Cyberattaque : que faire dans les premières heures ? Le protocole complet
Les premières heures après une cyberattaque déterminent l’ampleur des dégâts. Ne pas redémarrer, ne pas supprimer, isoler sans éteindre — voici le protocole exact, minute par minute.
Les premières minutes sont décisives
Une cyberattaque ne prévient pas. Elle se découvre souvent par hasard — un écran qui se fige, des fichiers inaccessibles, un message inattendu. Dans les premières minutes, la plupart des dirigeants ont un réflexe naturel : essayer de comprendre ce qui se passe, redémarrer les machines, appeler le prestataire informatique.
C’est souvent la mauvaise approche. Les actions des premières heures peuvent aggraver la situation ou, au contraire, limiter considérablement les dégâts. Voici le protocole que les experts en réponse à incident recommandent.
H+0 — Les 5 premières minutes
Ne redémarrez pas les machines. Un redémarrage peut détruire des traces précieuses pour l’investigation et, dans certains cas, accélérer le chiffrement.
Ne supprimez rien. Même si vous voyez des fichiers suspects, ne les supprimez pas — ils peuvent être utiles à l’analyse forensique.
Ne payez pas immédiatement. Ne prenez aucune décision financière dans les premières minutes. Appelez d’abord les bons interlocuteurs.
Ce que vous devez faire immédiatement :
- Photographiez les écrans — avant toute manipulation, documentez ce que vous voyez
- Notez l’heure exacte de découverte de l’incident
- Alertez immédiatement le responsable informatique et la direction
H+1 — Isolation et premiers appels
Isoler les systèmes compromis
Déconnectez du réseau les machines affectées — mais sans les éteindre. Débranchez le câble réseau ou désactivez le Wi-Fi. L’objectif est d’empêcher la propagation sans détruire les preuves.
Appeler votre assureur cyber
Si vous avez un contrat cyber, c’est le premier appel à passer. La ligne d’urgence 24/7 mandate immédiatement une cellule de crise. L’assureur coordonne tout ce qui suit.
Appeler cybermalveillance.gouv.fr si pas d’assurance
Le numéro 0 800 200 064 est gratuit et disponible en heures ouvrées. Le service oriente vers des prestataires qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité).
Évaluer le périmètre
Quelles machines sont affectées ? Le réseau entier ou certains postes ? Les sauvegardes sont-elles accessibles ? Le serveur de fichiers est-il touché ? Cette évaluation guide toutes les décisions suivantes.
H+4 — Organisation de la crise
Une fois les premiers appels passés et l’isolation effectuée, l’expert mandaté prend en charge l’investigation technique. Votre rôle change : vous passez de la réaction à la coordination.
- Désignez un coordinateur de crise — une seule personne gère les communications internes et externes
- Activez le plan de continuité si vous en avez un — téléphones personnels, email de secours, travail sur papier si nécessaire
- Informez les équipes avec un message clair et factuel — évitez la panique mais ne minimisez pas
- Identifiez les clients ou partenaires critiques à prévenir en priorité si l’incident peut les affecter
H+24 — Obligations légales
Si des données personnelles ont été compromises, l’horloge RGPD démarre dès la découverte de l’incident. Vous avez 72 heures pour notifier la CNIL à partir du moment où vous avez connaissance de la violation.
Dans les 24 premières heures, il faut également :
- Déposer une plainte auprès des forces de l’ordre — obligatoire pour certaines démarches assurantielles et utile pour l’enquête
- Conserver tous les journaux et logs système — ils constituent les preuves de l’incident
- Documenter toutes les actions entreprises depuis la découverte — cette chronologie sera utile pour l’assureur et les autorités
Une fiche plastifiée dans chaque bureau avec : numéro assureur cyber, numéro cybermalveillance.gouv.fr, contact prestataire informatique, contact direction. En situation de crise, perdre 30 minutes à chercher un numéro peut coûter très cher.
Préparez-vous avant la crise
L’assurance cyber vous donne accès à une cellule de crise 24/7. Comprenez ce que couvre votre contrat.