Si votre entreprise vient d'être touchée par un ransomware, je sais à quel point la panique peut prendre le dessus. J’ai aidé plusieurs TPE/PME à traverser cette épreuve et je vous propose ici un plan d'action immédiat, concret et priorisé pour limiter les dégâts et maximiser vos chances de retrouver l'accès à vos données. Ce guide est pensé pour être mis en œuvre rapidement, même si vous n'êtes pas expert en sécurité.

Respirez et isolez

La première chose à faire est de garder la tête froide. Je sais, ce n’est pas simple, mais chaque minute compte. Commencez par isoler les systèmes compromis pour éviter la propagation :

  • Déconnectez immédiatement les machines infectées du réseau (filaire et Wi‑Fi).
  • Coupez l’accès VPN pour les sessions suspectes et désactivez temporairement les partages réseau.
  • Ne tentez pas de redémarrer les serveurs ou postes qui affichent des messages de ransomware sans avis d’un professionnel — cela peut aggraver la situation.

Formez une petite cellule de gestion de crise

Constituez une équipe restreinte et claire : qui prend les décisions, qui communique en externe, qui parle avec les prestataires et les forces de l’ordre. Pour une petite entreprise, cela peut être le dirigeant, le responsable IT (interne ou prestataire), et une personne en charge de la communication.

  • Documentez toutes les actions réalisées (horodatage, personne, action).
  • Désignez une personne pour les contacts externes (police, assurance, prestataire de cybersécurité).

Évaluer l’impact

Avant toute chose, essayez d’identifier l’étendue du sinistre :

  • Quels systèmes sont chiffrés ? Serveurs, postes de travail, sauvegardes ?
  • Y a‑t‑il des indices d’exfiltration de données (fichiers nommés, demandes de rançon mentionnant « vol ») ?
  • Quand l’attaque a‑t‑elle commencé ? Recherchez les premiers signes dans les logs et les emails.

Ces informations guideront les décisions suivantes (déclaration à la CNIL, à la police, contact avec l’assurance).

Informez vos parties prenantes

Je vous conseille d’informer rapidement : employés, partenaires critiques, et votre assureur cyber si vous en avez un. Restez factuel et évitez de diffuser des détails techniques qui pourraient être exploités. Si des données personnelles sont concernées, préparez‑vous à notifier la CNIL selon les obligations légales.

Ne payez pas immédiatement la rançon

Beaucoup se demandent s’il faut payer. Mon conseil : ne payez pas sans avoir exploré toutes les autres options. Payer n’offre aucune garantie de récupération complète et peut vous exposer légalement (par exemple si les fonds servent à financer d’autres activités illicites). De plus, cela peut encourager les attaquants à cibler d’autres entreprises.

Contactez des experts

Faites appel à un prestataire spécialisé en réponse aux incidents / forensic. Si vous n’en avez pas, des sociétés comme Cozy Cloud, EPSILON ou des MSSP locaux peuvent intervenir. Les experts pourront :

  • Analyser le malware et évaluer l’exfiltration.
  • Identifier les vecteurs d’entrée (phishing, RDP ouvert, vulnérabilité non patchée).
  • Proposer un plan de restauration et, si possible, des clés de déchiffrement existantes.

Vérifiez vos sauvegardes et préparez la restauration

Avant de restaurer, assurez‑vous que vos sauvegardes ne sont pas compromises :

  • Contrôlez la dernière sauvegarde saine et effectuez une restauration test sur un environnement isolé.
  • Si vos sauvegardes sont chiffrées, informez‑en immédiatement votre prestataire et vos contacts d’expertise.
  • Préparez une stratégie « reconstruire puis restaurer » : réinstaller systèmes propres, patcher, appliquer configurations de sécurité, puis restaurer les données.

Changer les accès et mots de passe

Changez immédiatement les mots de passe des comptes administrateurs et des services critiques, idéalement depuis une machine qui n’a pas été compromise :

  • Révoquez les clés et tokens potentiellement compromis (API, comptes cloud).
  • Activez l’authentification à facteurs (MFA) partout où c’est possible.

Communiquer avec transparence

Préparez un message clair et rassurant pour clients et partenaires. Mentionnez les actions en cours et les éventuels impacts sur les services. Une communication maîtrisée limite la perte de confiance et les rumeurs.

Considérations légales et réglementaires

Selon la nature des données compromises, vous devrez notifier les autorités compétentes (par exemple la CNIL en France) et éventuellement les personnes concernées. Consultez votre conseiller juridique ou un avocat spécialisé en cybersécurité pour gérer les obligations légales et contractuelles.

Checklist urgente (à imprimer et garder près de vous)

Action Priorité Responsable
Isoler les machines infectées Élevée Responsable IT
Constituer cellule de crise Élevée Dirigeant
Vérifier sauvegardes Élevée IT / Prestataire
Contacter prestataire spécialisé Élevée Dirigeant
Informer assurance & autorités Moyenne Responsable administratif
Changer mots de passe & révoquer accès Élevée IT

Après la phase d'urgence : actions à moyen terme

Une fois que les systèmes sont stabilisés, prévoyez :

  • Un audit complet de sécurité (pentest, revue de configuration).
  • La mise en place ou la consolidation d’une politique de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site).
  • La formation des employés au phishing et aux bonnes pratiques (simulations d’attaques). Des services comme KnowBe4 ou des consultants locaux peuvent aider.
  • L’implémentation d’une solution de détection et réponse (EDR) sur les postes et serveurs.

Si vous gérez une petite structure, il est tentant de négliger la cybersécurité pour des raisons de coût. Après avoir accompagné plusieurs entreprises, je peux vous assurer que l’investissement dans les sauvegardes robustes, la formation des équipes et un plan d’intervention peut faire la différence entre un incident sans conséquence majeure et une fermeture d’activité. Pour des ressources et guides pratiques, retrouvez des articles et fiches sur Logiciel Actu pour approfondir chaque étape et les outils recommandés.