Guide cybersécurité

Mon entreprise est piratée : que faire ?

Les bons réflexes dans les 30 premières minutes, les 24 premières heures et après. L'ordre des actions compte plus que l'action elle-même.

Publié : 21 avril 2026 Lecture : 10 minutes
Vous êtes en urgence ?

Appelez immédiatement Cybermalveillance.gouv.fr au 0 805 805 817 (numéro vert gratuit, service public, du lundi au vendredi 9h-18h30 et samedi 9h-12h). Le dispositif oriente vers des prestataires référencés et accompagne la déclaration à la CNIL si nécessaire.

À savoir

Ce guide est à visée informative et préventive. Il ne remplace ni l'accompagnement d'un prestataire spécialisé en réponse à incident, ni les obligations légales qui s'imposent à vous en cas de fuite de données personnelles (notification CNIL sous 72 heures, dépôt de plainte, information des personnes concernées). Sources officielles : Cybermalveillance.gouv.fr, CNIL, ANSSI.

Quand une cyberattaque se déclare, tout va vite. L'écran affiche un message de rançon, un virement a disparu, un salarié ne peut plus ouvrir ses fichiers. La panique monte. Et c'est à ce moment précis que les mauvaises décisions se prennent : éteindre le poste, payer la rançon, effacer le problème sous le tapis. Ces trois réflexes aggravent la situation. Ce guide décrit les bons gestes dans l'ordre qu'il faut les poser, inspirés des recommandations publiques de Cybermalveillance.gouv.fr et de l'ANSSI.

Les 5 gestes des 30 premières minutes

Dans ce créneau, l'objectif est unique : contenir l'incident. Pas de diagnostic, pas de ménage. Contenir, prévenir, appeler.

  1. Isoler le poste concerné du réseau Débrancher le câble Ethernet. Couper le Wi-Fi depuis l'icône système. Ne pas éteindre le poste : l'extinction peut effacer des informations précieuses pour comprendre l'attaque et peut déclencher un chiffrement complémentaire programmé au redémarrage. Si plusieurs postes sont touchés, isoler chaque poste un à un.
  2. Ne rien supprimer, ne rien nettoyer Ne pas lancer d'antivirus à ce stade, ne pas « réparer » avec un outil trouvé sur internet, ne pas supprimer l'email suspect ou les fichiers affichant des messages étranges. Tout cela sert à comprendre ce qui s'est passé et à orienter la réponse.
  3. Ne pas payer de rançon Aucune garantie de récupération, financement d'organisations criminelles, risque d'être identifié comme payeur et ré-attaqué. Les autorités françaises et Cybermalveillance recommandent formellement de ne pas payer.
  4. Prévenir les personnes clés en interne Le dirigeant, le responsable informatique interne s'il existe, la personne qui gère la banque. Pas encore l'ensemble des salariés : rester factuel, éviter la panique. Demander aux autres de ne rien ouvrir qui arriverait par email.
  5. Appeler les bons numéros En priorité le 0 805 805 817 (Cybermalveillance). Puis votre prestataire informatique. Puis votre assureur si vous avez une cyber-assurance (délai de déclaration souvent très court, parfois 24 ou 48 heures sous peine de non-prise en charge).

Les décisions des 24 premières heures

Une fois l'incident contenu, place à l'analyse et aux obligations légales.

Identifier ce qui a été touché

Avec votre prestataire informatique, faire le bilan : quels postes sont concernés, quels fichiers sont inaccessibles ou chiffrés, quels comptes ont été compromis (emails envoyés à votre insu, règles de redirection créées, connexions suspectes), quels virements ont été effectués. Cette cartographie conditionne toutes les décisions suivantes.

Changer les mots de passe depuis un appareil sain

Ne pas changer les mots de passe depuis le poste potentiellement compromis (un logiciel espion peut les capter en direct). Utiliser un autre appareil propre : téléphone personnel, poste d'un collègue non touché, ou en dernier recours un ordinateur public. Commencer par les comptes les plus sensibles : banque, messagerie principale, services cloud (Microsoft 365, Google Workspace). Activer la double authentification si ce n'est pas déjà fait.

Notifier la CNIL dans les 72 heures (obligation légale)

Si des données personnelles de clients, salariés ou fournisseurs ont été compromises (consultation, fuite, chiffrement empêchant l'accès), vous avez 72 heures pour notifier la CNIL via son formulaire en ligne. Cette obligation s'applique à toute entreprise soumise au RGPD, sans seuil de taille. Ne pas notifier expose à une sanction, y compris si l'incident n'était pas de votre faute.

Communiquer en interne

Quand les premières mesures sont prises, informer les salariés. Factuellement, sans dramatiser : ce qui s'est passé, les consignes temporaires (ne pas utiliser telle messagerie, vérifier tout virement inhabituel), à qui signaler un événement étrange. Une communication claire et rapide réduit la panique et limite la propagation.

Ce qu'il ne faut jamais faire

Les 4 erreurs qui transforment un incident grave en catastrophe.

Payer la rançon

Jamais. Les clés de déchiffrement fournies sont incomplètes dans une grande partie des cas. Une entreprise qui paie est identifiée comme solvable et ré-attaquée dans les mois qui suivent. Le paiement finance l'écosystème criminel. C'est la position officielle des autorités françaises.

Éteindre ou redémarrer le poste compromis

Un redémarrage peut déclencher un mécanisme programmé (chiffrement qui se complète, destruction de preuves). Garder le poste allumé, isolé du réseau, jusqu'à l'intervention d'un professionnel.

Essayer de nettoyer seul

Installer des outils de désinfection sans diagnostic, exécuter des scripts trouvés en ligne, formater le poste et réinstaller Windows : ces actions détruisent les informations qui auraient permis de comprendre l'attaque et de vérifier si d'autres postes sont touchés. Attendre l'intervention structurée.

Cacher l'incident

Ne pas notifier la CNIL, ne pas informer les clients concernés, ne pas déposer plainte : ces omissions peuvent aggraver lourdement la responsabilité juridique de l'entreprise. La CNIL applique des sanctions bien plus sévères à une entreprise qui a dissimulé qu'à une entreprise qui a été victime et a correctement réagi.

Après l'incident : reconstruire

L'urgence passée, l'entreprise doit se remettre en état de fonctionner et tirer les leçons pour éviter la répétition.

Restaurer depuis les sauvegardes

Si vous disposez de sauvegardes récentes et testées, la restauration permet de repartir. Important : vérifier d'abord que les sauvegardes elles-mêmes ne sont pas compromises (beaucoup de ransomwares modernes ciblent en priorité les sauvegardes en ligne). Les sauvegardes hors ligne ou hors site sont celles qui survivent généralement. En l'absence de sauvegarde exploitable, la récupération peut être très limitée, voire impossible pour certaines données.

Déposer plainte

Plainte à déposer auprès du commissariat, de la gendarmerie, ou en ligne sur le portail Pharos. La plainte est nécessaire pour activer une éventuelle indemnisation par l'assurance, pour que les autorités puissent agir, et pour documenter l'incident. Cybermalveillance.gouv.fr accompagne le dépôt de plainte.

Informer les parties prenantes

Clients concernés par une fuite de données (obligation RGPD si risque pour leurs droits), fournisseurs avec qui des échanges ont été compromis, partenaires bancaires. Une communication transparente, même désagréable à écrire, préserve la relation mieux qu'un silence qu'ils découvriront autrement.

Revue de sécurité post-incident

Avec votre prestataire : comprendre comment l'attaque est passée, renforcer les points faibles (double authentification manquante, mots de passe réutilisés, correctifs non appliqués, sensibilisation insuffisante), mettre en place les mécanismes qui auraient détecté l'incident plus tôt. L'objectif n'est pas de chercher un coupable, mais d'éviter la répétition.

Quand vous avez une cyber-assurance

Les cyber-assurances couvrent fréquemment les frais d'intervention, la perte d'exploitation, parfois les rançons. Elles imposent des procédures strictes.

  • Délai de déclaration très court, souvent 24 ou 48 heures. Une déclaration tardive peut entraîner un refus de prise en charge.
  • Respecter la procédure contractuelle : ne pas engager de prestataire sans l'accord préalable de l'assureur, documenter chaque décision.
  • Conserver toutes les traces : emails suspects, captures d'écran, logs si votre prestataire peut les sauvegarder, factures des prestations d'urgence.
  • Respect des mesures minimales : la plupart des assureurs conditionnent l'indemnisation au respect de mesures de base (double authentification activée, sauvegardes fonctionnelles, correctifs à jour). Une entreprise qui ne respectait pas ces mesures peut voir son indemnisation refusée, même en cas de sinistre avéré.

Avant l'incident, relire son contrat cyber permet de savoir quoi faire le jour J. Après l'incident, il est souvent trop tard pour le découvrir.

Ce que nous pouvons faire pour vous

Ocore Technologies accompagne les TPE et PME du Tarn et de l'Occitanie à trois moments distincts : avant l'incident pour l'éviter, pendant pour réagir, après pour reconstruire.

Avant : supervision continue

Détection des dérives avant qu'elles deviennent des incidents. Antivirus supervisé, correctifs appliqués, alertes comportementales sur les comptes. La majorité des incidents traités commencent par un signal que personne n'a vu.

Pendant : plan d'incident écrit

Formalisation d'une fiche A4 avec qui appeler, dans quel ordre, selon le type d'incident. Partagée avec les salariés, testée une fois par an. Le jour J, on ne cherche plus un numéro de téléphone en panique.

Après : accompagnement à la reconstruction

Restauration depuis vos sauvegardes, reconfiguration des postes compromis, durcissement des points faibles exploités, sensibilisation des équipes. Orientation vers des prestataires spécialisés ANSSI pour les cas graves.

Évaluer ma sécurité Nous contacter

Questions fréquentes.

Les questions opérationnelles que se posent souvent les dirigeants après un incident.

Faut-il payer la rançon ?

Non. La position officielle de l'ANSSI et de Cybermalveillance.gouv.fr est claire : ne pas payer. Trois raisons : payer alimente le crime organisé, aucune garantie de récupération réelle des données (environ 40 % des paiements ne reçoivent jamais la clé fonctionnelle), et l'entreprise est ensuite identifiée comme cible « solvable » donc plus susceptible d'être attaquée à nouveau. Votre cyber-assurance, si vous en avez une, peut techniquement couvrir un paiement mais le déconseille presque systématiquement.

Combien de temps pour notifier la CNIL en cas de violation de données ?

72 heures à compter de la prise de connaissance de la violation, selon l'article 33 du RGPD. La notification est obligatoire dès qu'il y a fuite, altération ou destruction de données personnelles. Elle se fait via le formulaire en ligne sur cnil.fr. Une notification tardive ou absente peut elle-même constituer une infraction sanctionnée.

Qui appeler en premier : Cybermalveillance, mon assurance ou un avocat ?

Dans cet ordre de priorité opérationnelle : (1) votre prestataire informatique pour isoler et contenir l'incident, (2) Cybermalveillance.gouv.fr au 0 805 805 817 (gratuit) pour orientation et mise en relation avec un prestataire référencé si besoin, (3) votre cyber-assurance si vous en avez une, dans le délai de déclaration prévu au contrat (souvent 24 à 48 heures), (4) un avocat spécialisé seulement si fuite massive de données ou contentieux client probable.

Le numéro Cybermalveillance 0 805 805 817 est-il vraiment gratuit ?

Oui, c'est un numéro vert gratuit depuis un poste fixe ou mobile en France. Il est ouvert du lundi au vendredi de 9h à 12h et de 14h à 19h. Le service est rattaché au GIP ACYMA (Agence pour la Cybersécurité face aux Malveillances), un dispositif public officiel. Les conseillers orientent vers les démarches à entreprendre et vers des prestataires informatiques référencés selon votre localisation.

Mon assurance cyber prend-elle en charge un rançongiciel ?

Généralement oui, mais avec des conditions strictes. Vérifiez votre contrat : franchise (souvent 5 000 à 10 000 EUR), délai de déclaration impératif (24 à 48 heures), prestataires imposés via une liste fermée, et exclusions courantes (négligence avérée, défaut de mises à jour, état de guerre cyber). Certains assureurs spécialisés (Stoïk, Dattak) proposent une cellule de crise 24/7 incluse dans le contrat.

Comment porter plainte : Pharos ou commissariat ?

Les deux selon l'objectif. Pharos est la plateforme de signalement en ligne sur internet-signalement.gouv.fr (Ministère de l'Intérieur), utile pour signaler rapidement le contenu malveillant. Pour un dépôt de plainte formel (souvent exigé par votre assurance ou pour une procédure judiciaire), il faut se rendre au commissariat ou à la gendarmerie. Conservez toutes les traces : emails de rançon, captures d'écran, journaux système, dates précises des événements.

Articles liés

Continuez la lecture

GuideMon entreprise est-elle sécurisée ?
GuidePhishing : 5 exemples réels reçus en entreprise
OutilDiagnostic cybersécurité en 3 minutes

Envie d'un accompagnement sur mesure ?

Échangeons sur votre situation informatique. Nous évaluons vos besoins et vous proposons une solution adaptée, sans engagement.

06 86 82 04 57 Demander un devis