Un ransomware vient de chiffrer vos fichiers. L'écran affiche un message de rançon. Les serveurs ne répondent plus. C'est la panique - et c'est exactement ce que les attaquants comptent provoquer pour vous faire prendre de mauvaises décisions. Ce guide vous donne les étapes dans l'ordre, calmement.
Selon le rapport ANSSI 2025, les attaques par ransomware représentent 30 % des incidents traités par l'agence. Le délai médian entre l'intrusion initiale et le déclenchement du chiffrement est de 14 jours - ce qui signifie que les attaquants étaient déjà dans votre réseau avant que vous vous en rendiez compte.
⚠ Les 5 premières minutes
Les actions des cinq premières minutes sont déterminantes. Voici ce qu'il faut faire - et ne pas faire.
1. Déconnecter du réseau SANS éteindre les machines
Débranchez les câbles réseau et désactivez le Wi-Fi sur chaque machine accessible. N'éteignez pas les ordinateurs : la mémoire vive (RAM) contient des données forensiques précieuses (clés de chiffrement, traces de l'attaquant) qui disparaissent à l'extinction. Les experts en réponse à incident pourront les analyser.
2. Alerter la direction et le responsable IT immédiatement
La gestion d'un incident ransomware engage la responsabilité de la direction. Le dirigeant doit être informé dès la première minute - pas dans une heure. Si vous avez un contrat avec un prestataire informatique, appelez-le en urgence. Si vous êtes seul, appelez Evoir.
3. Ne pas payer immédiatement
La pression est intense - les attaquants fixent souvent un compte à rebours de 72 heures. Ignorez-le dans un premier temps. Payer ne garantit pas la récupération des données (seulement 65 % des victimes récupèrent tout après paiement selon Sophos 2024), et cela finance les prochaines attaques.
4. Photographier les écrans de rançon
Avant toute manipulation, photographiez les messages affichés sur les écrans infectés. Ces informations (identifiant de victime, adresse de contact des attaquants, nom du ransomware si affiché) seront nécessaires pour le dépôt de plainte et l'identification de la souche.
5. Ne pas tenter de déchiffrer soi-même
N'utilisez pas de logiciels de récupération trouvés sur Internet. Certains sont des malwares déguisés. N'essayez pas de restaurer des sauvegardes sur des systèmes encore potentiellement compromis - vous risquez d'infecter la sauvegarde elle-même.
Identifier l'étendue de l'attaque
Une fois le réseau isolé, il faut cartographier rapidement ce qui est touché - sans mettre en danger les systèmes encore sains.
- Quels systèmes sont chiffrés ? Listez les serveurs, postes, NAS et équipements réseau touchés. Identifiez ceux qui semblent encore fonctionner normalement - ils peuvent être infectés mais pas encore déclenchés.
- Depuis quand ? Regardez les horodatages de modification des fichiers chiffrés. La date de début du chiffrement peut remonter à plusieurs jours ou semaines.
- Les sauvegardes sont-elles intactes ? C'est la question critique. Vérifiez si vos sauvegardes sont sur un système isolé (NAS déconnecté, cloud séparé) ou si elles sont sur le même réseau que les machines infectées. Les ransomwares modernes ciblent en priorité les sauvegardes.
- Y a-t-il eu exfiltration ? Les groupes ransomware professionnels volent les données avant de chiffrer (double extorsion). Cherchez des traces de transferts inhabituels dans les logs réseau si vous y avez accès.
Les démarches obligatoires
Plusieurs obligations légales s'appliquent dès qu'un incident ransomware est confirmé. Les omettre peut aggraver votre situation réglementaire.
Déclaration à l'ANSSI (OIV / OSE / entités NIS2)
Les opérateurs d'importance vitale (OIV), opérateurs de services essentiels (OSE) et entités couvertes par NIS2 ont une obligation de notification à l'ANSSI dans des délais stricts (24h pour la notification initiale). Même si vous n'êtes pas dans ces catégories, signaler l'incident sur cybermalveillance.gouv.fr vous permet d'être orienté et d'accéder à des ressources gratuites.
Dépôt de plainte
Déposez plainte auprès de la Police ou de la Gendarmerie le plus tôt possible. Le dépôt de plainte est souvent requis par les assureurs cyber pour activer la garantie. Il permet aussi d'alerter les services spécialisés (BL2C, C3N) qui traitent ces affaires à l'échelle nationale.
Notification CNIL (données personnelles)
Si des données personnelles ont été compromises (ce qui est quasi-certain avec les ransomwares modernes), la notification à la CNIL est obligatoire sous 72 heures après la découverte de la violation. La CNIL dispose d'un formulaire en ligne. En cas de risque élevé pour les personnes concernées, vous devez également les notifier directement.
Notification à votre assureur cyber
Si vous avez une police d'assurance cyber, notifiez votre assureur immédiatement - les délais de déclaration sont souvent très courts (24 à 72 heures). Votre assureur peut vous orienter vers des prestataires de réponse à incident référencés dans votre contrat.
La question de la rançon
C'est la question que tout le monde pose. Voici une réponse honnête, pas idéologique.
Pourquoi l'ANSSI déconseille de payer : le paiement finance l'économie criminelle du ransomware, encourage les attaquants à recommencer (contre vous ou d'autres), et ne garantit pas la récupération. Dans 35 % des cas selon Sophos (2024), les victimes ne récupèrent pas toutes leurs données même après paiement. Certains groupes encaissent et disparaissent.
Si vous n'avez pas le choix : certaines PME n'ont pas de sauvegardes utilisables et font face à la cessation d'activité. Si vous envisagez de payer, faites-le accompagner par un expert en négociation de rançon - les montants sont souvent négociables, et les transactions en cryptomonnaie peuvent être tracées. Ne payez jamais directement sans conseil.
Identifiez la souche avant toute décision : le service ID Ransomware et No More Ransom (soutenu par Europol et l'ANSSI) permettent d'identifier la souche en uploadant la note de rançon ou un fichier chiffré. Pour certaines souches, des outils de déchiffrement gratuits existent.
La reconstruction
Une fois l'incident stabilisé, vient la phase de reconstruction. L'ordre de priorité est important.
Analyse forensique avant reconstruction : Ne reconstruisez pas avant qu'un expert ait analysé les systèmes compromis. Vous devez comprendre le vecteur d'entrée initial pour être sûr de l'avoir fermé. Sinon, vous risquez d'être à nouveau attaqué.
Clean install plutôt que restauration directe : Réinstallez les systèmes d'exploitation à partir de zéro plutôt que de restaurer des images potentiellement compromises. Restaurez ensuite les données depuis des sauvegardes dont vous avez vérifié l'intégrité.
Ordre de priorité des systèmes : Commencez par les systèmes critiques : messagerie, accès clients, facturation, outils de production. Les postes de travail standards viennent ensuite. Documentez l'ordre de reconstruction.
Post-mortem obligatoire : Une fois l'activité reprise, organisez un post-mortem : comment les attaquants sont entrés, ce qui a fonctionné, ce qui n'a pas fonctionné dans la réponse. Ce document sera précieux pour l'assureur et pour améliorer votre posture de sécurité.
Se protéger après l'attaque
Une PME qui a subi un ransomware est une cible à nouveau dans les 12 mois suivants si elle ne renforce pas sa posture de sécurité. Les groupes ransomware revendent les accès aux réseaux compromis sur des forums spécialisés.
Un audit de cybersécurité complet après l'incident permet d'identifier les portes d'entrée réellement exploitées, les accès encore exposés et les sauvegardes à fiabiliser. Evoir réalise ces audits pour les PME franciliennes, avec un plan de remédiation priorisé et exploitable.
Questions fréquentes
Peut-on récupérer ses données sans payer la rançon ?
Oui, dans certains cas. Le site No More Ransom (nomoreransom.org), soutenu par Europol et l'ANSSI, met à disposition des outils de déchiffrement gratuits pour de nombreuses souches connues. La probabilité de récupération dépend de la souche identifiée et de la qualité des sauvegardes disponibles.
Combien de temps faut-il pour redémarrer après un ransomware ?
Pour une PME de 10 à 50 postes sans plan de continuité, le délai réel est de 5 à 21 jours ouvrés. Avec des sauvegardes testées et un plan de reprise d'activité (PRA), ce délai peut être ramené à 24-72 heures pour les systèmes critiques.
Faut-il prévenir ses clients après un ransomware ?
Si des données personnelles de clients ont été exposées ou volées - ce qui est quasi-systématique avec les ransomwares modernes qui exfiltrent avant de chiffrer - la notification à la CNIL est obligatoire sous 72 heures. La notification aux personnes concernées peut également être requise si le risque est élevé.
L'assurance cyber couvre-t-elle les attaques ransomware ?
Partiellement. La plupart des polices cyber couvrent les frais de réponse à incident et parfois la rançon (sous conditions), mais excluent souvent les pertes d'exploitation au-delà d'un certain seuil, les données non sauvegardées, et les amendes réglementaires. Lisez attentivement les exclusions avant sinistre.
Vous venez de subir une attaque ? Appelez Evoir maintenant.
Intervention d'urgence sur incident ransomware. Analyse forensique, containment, reprise et remise en sécurité. Paris et Île-de-France.