Dirigeants : Que faire en cas de cyberattaque ?
- xdpo
- il y a 3 jours
- 4 min de lecture
Dernière mise à jour : il y a 2 jours
En tant que dirigeant, les actions immédiates et prioritaires sont axées sur la contenance de l'attaque et le déclenchement du processus de gestion de crise. En fin d'article nous vous donnerons des contacts utiles pour gérer la crise.
Voici les actions à prendre immédiatement, dès la détection de la cyberattaque :
Phase 1 : Détection et contention
Isolez les systèmes attaqués
Déconnectez physiquement les équipements infectés (serveurs, postes de travail) du réseau local et d'Internet (débranchez les câbles réseau, désactivez le Wi-Fi).
Attention : Ne coupez pas l'alimentation (le courant) des machines compromises. L'arrêt pourrait effacer des preuves numériques cruciales pour l'analyse ultérieure.
Alerte interne immédiate et escalade
Prévenez immédiatement votre service informatique (DSI) ou votre prestataire. L'objectif est de s'assurer qu'une équipe technique commence l'investigation.
Alertez votre direction (ou les membres du comité de direction/du conseil d'administration) pour garantir la reconnaissance de l'incident au plus haut niveau.
Constituez et réunissez sans délai l'équipe de gestion de crise, en incluant les fonctions clés : le chef de projet de la crise (vous!), la technique, le juridique, la communication, la direction financière, la direction métier concernée par la crise
Documentation de l'incident
Si votre organisation est victime d'un incident cyber, il est crucial de décrire le plus précisément possible l’incident.
L'intérêt principal du formulaire de notification d'incident cyber est de garantir une traçabilité complète et structurée de l'événement pour une réponse rapide et efficace, tandis que l'enjeu majeur est d'assurer la conformité aux délais légaux (RGPD, NIS 2) afin de limiter les risques juridiques et les conséquences financières pour l'organisation.
xDPO fournit à ses clients un formulaire de notification d'incident cyber qui décrit :
Le type d'incident (Rançongiciel , Hameçonnage, Virus, accès non autorisé, Perte/Vol de données (physique ou numérique) , Déni de service, Compte compromis
Comment l'incident a-t-il été découvert : message d'erreur, utilisateur bloqué, alerte, client/partenaire
Description générale de l'incident
Systèmes et équipements impactés : Serveurs (lesquels ?), Postes de travail (combien ?) , Applications Métier (lesquelles ?), Messagerie/Email , Site Web/E-commerce , Sauvegardes
Services et activités impactés : Production , Commercial , Comptabilité/Finance , Communication/Email , Site Web
Quelles données sont concernées?
Quelles sont les premières mesures prises
Phase 2 : Évaluation et Activation des Plans
Activez les plans de secours : si vous en disposez, déclenchez immédiatement votre plan de continuité d'activité (PCA) ou votre plan de reprise d'activité (PRA) pour basculer sur des systèmes de secours et maintenir les activités critiques.
Contactez l'assureur : si vous possédez une assurance cyber, alertez immédiatement votre assureur. Cela est souvent une condition pour bénéficier de la couverture et des services d'assistance spécialisée (experts en réponse sur incident).
Préparez les notifications légales
S'il y a des données personnelles, vous devrez éventuellement notifier la cnil
Si vous êtes un opérateur de service essentiel (OSE), un opérateur d'importance vitale (OIV) ou un fournisseur de service numérique (FSN), vous devrez éventuellement notifier l'ANSSI via le CERT ou un CSIRT
Evaluez s'il faut porter plainte
En définitive, face à une cyberattaque, les premières heures sont déterminantes. Au-delà des réflexes techniques d'isolation et des obligations légales de notification, l'enjeu principal repose sur deux piliers que seul le dirigeant peut garantir : l'anticipation et le pilotage de la crise.
Ce n'est qu'en amont, par la préparation d'un Plan de Continuité d'Activité (PCA) solide, que vous vous donnez les moyens de préserver l'essentiel. Une fois l'attaque déclarée, votre rôle devient celui du chef de crise incontesté. Vous devez non seulement coordonner les fonctions clés (technique, juridique, communication) mais surtout prendre les décisions stratégiques qui assurent la continuité d'une activité, même dégradée.
La capacité à maintenir l'organisation en vie et à limiter la paralysie est la véritable mesure du succès. Anticiper, c'est préparer les procédures de secours. Piloter, c'est garantir que votre entreprise ne s'arrête pas de respirer et prouver votre résilience. C'est l'engagement sans faille du dirigeant qui transforme une menace existentielle en une crise gérable.
🚨Les contacts utiles en cas de cyberattaque: 🚨
https://17cyber.gouv.fr/ : Faire un diagnostic du problème et consulter les recommandations pour y remédier
https://www.cert.ssi.gouv.fr/contact/ : Le CERT (Computer Emergency Response Team) est un service gouvernemental qui traite les incidents de cybersécurité sur le plan technique. Il peut être mobilisé pour une assistance immédiate pour l'administration, les opérateurs d’importance vitale (OIV), et les entités essentielles et importantes (EE, EI).
Courriel : cert-fr@ssi.gouv.fr
Téléphone (joignable 7j/7, 24h/24)
depuis la France métropolitaine au 3218 (service gratuit + prix d’un appel) ou 09 70 83 32 18
depuis certaines collectivités territoriales situées en Outre-mer ou depuis l’étranger au +33 9 70 83 32 18
https://club.ssi.gouv.fr/#/declarations pour faire une déclaration règlementaire, déclaration d'incident, une demande d'assistance ou une déclaration de vulnérabilité pour un éditeur de logiciel, accédez aux formulaires vous permettant de notifier le CERT-FR.
https://www.cert.ssi.gouv.fr/csirt/csirt-territoriaux/ : Pour les acteurs de taille intermédiaire (PME, ETI, collectivité territoriale ou association) et une assistance de proximité. Patience, le CSIRT arrive bientôt en Auvergne Rhone-Alpes (fin 2025)
Les internautes ont aussi consulté dans le Blog:
Les liens utiles en cas de cyberattaques :
