Ransomware PME : que faire dans les 24 premières heures

Heure 0 à 1 : containment immédiat

L'objectif des 60 premières minutes est de stopper la propagation. Le ransomware se déplace latéralement à grande vitesse — chaque minute compte.

• ✓Débrancher physiquement les postes infectés du réseau (câble Ethernet + Wi-Fi)
• ✓Isoler les serveurs sans les éteindre (l'analyse forensique a besoin de la RAM)
• ✓Couper l'accès Internet du site concerné
• ✓Désactiver les comptes VPN, RDP et Microsoft 365 compromis
• ✓NE PAYEZ PAS la rançon : 80 % des entreprises qui paient ne récupèrent pas leurs données (étude Sophos 2025)

Heure 1 à 4 : activation de la cellule de crise

Une fois l'attaque contenue, mobilisez la cellule de crise. Si vous n'en avez pas, appelez immédiatement un prestataire spécialisé en réponse à incident (SOSINFORMATIQUE : 01 88 61 55 55, hotline 24/7).

• ✓Dirigeant, DSI/RSI, juridique, communication
• ✓Avocat spécialisé en cyber (pour la déclaration et les futures plaintes)
• ✓Assureur cyber (déclaration sous 48 h obligatoire dans la plupart des polices)
• ✓Prestataire de réponse à incident certifié PRIS (Prestataire de Réponse aux Incidents de Sécurité ANSSI)

Heure 4 à 12 : déclarations légales obligatoires

En France, plusieurs déclarations sont obligatoires sous des délais courts :

• ✓Plainte au commissariat ou à la gendarmerie (préalable à toute indemnisation assurance)
• ✓Déclaration à la CNIL sous 72 h si des données personnelles sont compromises (RGPD article 33)
• ✓Notification ANSSI via la plateforme cybermalveillance.gouv.fr
• ✓Notification aux clients/utilisateurs concernés si risque élevé pour leurs droits
• ✓Pour les OSE/OIV : notification obligatoire à l'ANSSI sous 72 h

Heure 12 à 24 : analyse forensique et plan de restauration

Avant toute restauration, il faut comprendre comment l'attaquant est entré et s'assurer qu'il n'est plus présent. Restaurer sans nettoyer = se faire ré-attaquer dans les 7 jours.

• ✓Analyse forensique des serveurs et endpoints compromis
• ✓Identification du patient zéro (souvent un email de phishing ou une faille RDP)
• ✓Recherche de portes dérobées (backdoors, comptes créés par l'attaquant)
• ✓Validation que les sauvegardes ne sont pas chiffrées (d'où l'importance des sauvegardes immuables)
• ✓Plan de restauration séquencé : AD/AAD → serveurs critiques → postes utilisateurs

Jour 2 à 7 : restauration et reprise d'activité

La restauration se fait par vagues, en commençant par les services critiques. Chaque système restauré doit être patché, mots de passe changés et surveillé pendant 30 jours minimum. Notre équipe maintient une cellule SOC dédiée pendant 30 jours après chaque restauration pour détecter toute tentative de réinfection.

Le retour à la normale prend en moyenne 21 jours pour une PME de 50 postes. Avec un Plan de Reprise d'Activité (PRA) testé et des sauvegardes immuables, ce délai tombe à 48-72 heures.

Comment éviter la prochaine attaque

70 % des PME victimes d'un ransomware sont ré-attaquées dans les 18 mois si elles ne renforcent pas leur posture. Les 5 mesures qui réduisent le risque de 90 % :

• ✓Sauvegarde immuable (règle 3-2-1-1-0) avec test de restauration mensuel
• ✓EDR/XDR sur 100 % des endpoints + surveillance SOC 24/7
• ✓MFA obligatoire sur tous les accès distants (VPN, RDP, Microsoft 365)
• ✓Sensibilisation collaborateurs trimestrielle + simulations de phishing
• ✓Audit ANSSI annuel et plan de remédiation suivi