Dirigeants : Que faire en cas de cyberattaque ?

En tant que dirigeant, les actions immédiates et prioritaires sont axées sur la contenance de l'attaque et le déclenchement du processus de gestion de crise. En fin d'article nous vous donnerons des contacts utiles pour gérer la crise.

Voici les actions à prendre immédiatement , dès la détection de la cyberattaque :

Phase 1 : Détection et contention

Isolez les systèmes attaqués

• Déconnectez physiquement les équipements infectés (serveurs, postes de travail) du réseau local et d'Internet (débranchez les câbles réseau, désactivez le Wi-Fi).

• Attention : Ne coupez pas l'alimentation (le courant) des machines compromises. L'arrêt pourrait effacer des preuves numériques cruciales pour l'analyse ultérieure.

Alerte interne immédiate

• Prévenez immédiatement votre service informatique (DSI) ou votre prestataire. L'objectif est de s'assurer qu'une équipe technique commence l'investigation.

• Alertez votre direction (ou les membres du comité de direction/du conseil d'administration) pour garantir la reconnaissance de l'incident au plus haut niveau.

• Constituez et réunissez sans délai l'équipe de gestion de crise, en incluant les fonctions clés : le chef de projet de la crise (vous!), la technique, le juridique, la communication, la direction financière, la direction métier concernée par la crise

Demandez de l'aide à vos prestataires

Contactez votre prestataire informatique en vérifiant s'il est compétent pour gérer une cyberattaque à toute heure !

Contactez https://17cyber.gouv.fr/

C'est la clef de voûte de l'aide des services de l'état pour vous aider à gérer la crise:

une disponibilité permanente 24/24 et 7jours sur 7 sur https://17cyber.gouv.fr/

• une aide au diagnostic en ligne

• des recommandations adaptées à l'incident

• une mise en relation avec Police ou Gendarmerie pour le dépôt de plainte (indispensable pour la prise en charge des assurances)

• une mise en relation avec des "Experts Cyber" : des prestataires sélectionnés et labellisés, dans votre département et capables d'intervenir très rapidement.

En pleine tempête cyber, les services de l'état sont parfaitement capables de vous apporter un support de qualité.

Documentez l'incident

C'est très simple : pour apporter la bonne solution, il faut décrire le problème!

Voici les 6 étapes clés pour décrire l'incident : c'est la "Check-list d'Urgence".

Étape 1 : Qualifier la nature de l'attaque

Il faut identifier le type d'incident pour adapter la réponse technique.

• Rançongiciel (Ransomware)

• Hameçonnage (Phishing)

• Virus / Malware

• Accès non autorisé

• Perte ou Vol de données (support physique ou numérique)

• Déni de service (DDoS)

• Compte utilisateur compromis

Étape 2 : Contextualiser la découverte

Comment l'incident a-t-il été détecté ? Cette information aide à comprendre la visibilité de l'attaque.

• Message d'erreur système

• Utilisateur bloqué ou accès refusé

• Alerte de sécurité (antivirus, SOC)

• Signalement par un tiers (client, partenaire)

Étape 3 : Décrire l'événement

Fournissez une description générale factuelle : que s'est-il passé, quand, et quelle est la chronologie des faits observés ?

Étape 4 : Évaluer l'impact technique (Systèmes & Équipements)

Quels sont les actifs touchés ? Soyez quantitatifs si possible.

• Serveurs : Lesquels ? (Fichiers, Applications, Base de données...)

• Postes de travail : Combien sont infectés ou inaccessibles ?

• Applications Métier : Lesquelles sont hors service ?

• Canaux externes : Messagerie, Site Web, E-commerce.

• Sauvegardes : Sont-elles touchées ou saines ?

Étape 5 : Évaluer l'impact métier (Services & Activités)

Quelles fonctions de l'entreprise sont paralysées ?

• Production / Opérations

• Commercial / Ventes

• Comptabilité / Finance

• Communication

• Données concernées : S'agit-il de données personnelles, bancaires, stratégiques, RH ?

Étape 6 : Documenter la réaction immédiate

Quelles sont les premières mesures prises pour endiguer la menace ? (Ex: Déconnexion du réseau, changement de mots de passe, isolation des postes).

Phase 2 : Évaluation et Activation des Plans

Activez les plans de secours : si vous en disposez, déclenchez immédiatement votre plan de continuité d'activité (PCA) ou votre plan de reprise d'activité (PRA) pour basculer sur des systèmes de secours et maintenir les activités critiques.

Contactez l'assureur : si vous possédez une assurance cyber, alertez immédiatement votre assureur. Cela est souvent une condition pour bénéficier de la couverture et des services d'assistance spécialisée (experts en réponse sur incident).

Préparez les notifications légales

• S'il y a des données personnelles, vous devrez éventuellement notifier la CNIL

• Si vous êtes un opérateur de service essentiel (OSE), un opérateur d'importance vitale (OIV) ou un fournisseur de service numérique (FSN), vous devrez éventuellement notifier l'ANSSI via le CERT ou un CSIRT

• Evaluez s'il faut porter plainte

En définitive, face à une cyberattaque, les premières heures sont déterminantes. Au-delà des réflexes techniques d'isolation et des obligations légales de notification, l'enjeu principal repose sur deux piliers que seul le dirigeant peut garantir : l'anticipation et le pilotage de la crise.

Ce n'est qu'en amont, par la préparation d'un Plan de Continuité d'Activité (PCA) solide, que vous vous donnez les moyens de préserver l'essentiel. Une fois l'attaque déclarée, votre rôle devient celui du chef de crise incontesté. Vous devez non seulement coordonner les fonctions clés (technique, juridique, communication) mais surtout prendre les décisions stratégiques qui assurent la continuité d'une activité, même dégradée .

La capacité à maintenir l'organisation en vie et à limiter la paralysie est la véritable mesure du succès. Anticiper, c'est préparer les procédures de secours. Piloter, c'est garantir que votre entreprise ne s'arrête pas de respirer et prouver votre résilience. C'est l'engagement sans faille du dirigeant qui transforme une menace existentielle en une crise gérable .

🚨Les contacts utiles en cas de cyberattaque: 🚨

https://17cyber.gouv.fr/ : Faire un diagnostic du problème et consulter les recommandations pour y remédier

https://www.cert.ssi.gouv.fr/contact/ : Le CERT (Computer Emergency Response Team) est un service gouvernemental qui traite les incidents de cybersécurité sur le plan technique. Il peut être mobilisé pour une assistance immédiate pour l'administration, les opérateurs d’importance vitale (OIV), et les entités essentielles et importantes (EE, EI).

Courriel : cert-fr@ssi.gouv.fr

Téléphone (joignable 7j/7, 24h/24)

depuis la France métropolitaine au 3218 (service gratuit + prix d’un appel) ou 09 70 83 32 18

depuis certaines collectivités territoriales situées en Outre-mer ou depuis l’étranger au +33 9 70 83 32 18

https://club.ssi.gouv.fr/#/declarations pour faire une déclaration règlementaire, déclaration d'incident, une demande d'assistance ou une déclaration de vulnérabilité pour un éditeur de logiciel, accédez aux formulaires vous permettant de notifier le CERT-FR.

https://www.cert.ssi.gouv.fr/csirt/csirt-territoriaux/ : Pour les acteurs de taille intermédiaire (PME, ETI, collectivité territoriale ou association) et une assistance de proximité. Patience, le CSIRT arrive bientôt en Auvergne Rhône-Alpes (fin 2025)

Les internautes ont aussi consulté dans le Blog:

Quelles sont les 5 règles d'or de la cybersécurité?

Que faire en cas de violation de données?

Comment rédiger une Charte Informatique?

Les liens utiles en cas de cyberattaques :

www.internet-signalement.gouv.fr

cybermalveillance.gouv.fr 

Info Escroqueries 

Signal Spam