Skip to content
Retour aux guides
Guide

Fiche réflexe cyberattaque : que faire dans les premières heures

Les contacts d'urgence, les étapes immédiates et les obligations légales en cas de cyberattaque. Fiche pratique à imprimer et afficher dans vos locaux.

Thomas Ferreira 14 min de lecture

Votre serveur principal affiche des fichiers chiffrés et une demande de rançon. Ou vos équipes signalent que le site web a été défiguré. Ou votre direction découvre qu’un virement de 80 000 euros a été émis suite à un faux email du PDG. Peu importe le scénario, les premières heures déterminent l’étendue des dégâts.

Cette fiche donne la procédure exacte : qui appeler, dans quel ordre, avec quels délais légaux. Elle couvre tous les types de cyberattaques, pas uniquement le phishing — pour lequel notre guide de réponse à incident phishing détaille les actions minute par minute.

Imprimez cette page. Affichez-la à côté des extincteurs. Le jour d’une attaque, vous n’aurez pas le temps de chercher.

Les contacts d’urgence cyber en France

Gardez cette liste accessible sans passer par votre réseau informatique — si ce dernier est compromis, vous en aurez besoin depuis un téléphone ou un poste non connecté.

3218 — Mon Aide Cyber (numéro national)

Le 3218 est le numéro national pour les victimes de cyberattaques. Gratuit, disponible du lundi au vendredi de 8h à 19h. Il oriente vers les bons interlocuteurs et peut déclencher une assistance technique via le réseau des prestataires référencés. C’est le premier appel à passer si vous n’avez pas de prestataire en contrat.

cybermalveillance.gouv.fr — Signalement et accompagnement

La plateforme cybermalveillance.gouv.fr propose un diagnostic en ligne, le signalement de l’incident et une mise en relation avec des prestataires certifiés ExpertCyber. Disponible 24h/24.

CERT-FR — cyber.gouv.fr (entités régulées)

Le CERT-FR est l’interlocuteur technique de l’ANSSI pour les incidents majeurs. Contactez-le via cyber.gouv.fr ou à cert-fr@cyber.gouv.fr. Si votre entreprise est dans le périmètre NIS2, la notification est obligatoire : alerte initiale sous 24h, rapport complet sous 72h.

CNIL — Notification des violations de données

Pour notifier une violation de données personnelles (obligatoire sous 72h), utilisez le téléservice de notification sur cnil.fr. Pour un conseil sur vos obligations : 01 53 73 22 22.

Police / Gendarmerie — Dépôt de plainte

Pour déposer plainte, rendez-vous au commissariat de police ou à la brigade de gendarmerie la plus proche. Pas besoin de se déplacer dans une brigade spécialisée : n’importe quel service de police ou de gendarmerie est compétent pour enregistrer une plainte pour cyberattaque. La brigade numérique de la gendarmerie est également joignable en ligne sur www.gendarmerie.interieur.gouv.fr pour un premier contact.

Le 17Cyber est disponible 24h/24 pour les urgences numériques en dehors des heures ouvrées.

Votre assureur cyber — Déclaration de sinistre

Délai contractuel : généralement 5 jours ouvrés (vérifiez votre police). Mais la condition préalable est légale : dépôt de plainte dans les 72 heures (loi LOPMI). Sans cette plainte, l’assureur peut refuser l’indemnisation. Ayez les coordonnées de votre assureur accessibles hors ligne, avec votre numéro de contrat.

Les 15 premières minutes

L’objectif de cette phase est unique : limiter la propagation et préserver les preuves. Chaque minute d’accès supplémentaire pour l’attaquant aggrave les dégâts.

Checklist immédiate :

  • Isoler les systèmes compromis du réseau — coupez le Wi-Fi et débranchez les câbles Ethernet des machines touchées. Si vous ne savez pas lesquelles sont touchées, isolez le segment de réseau entier si possible.
  • Ne pas éteindre les machines — la mémoire vive (RAM) contient des données forensiques précieuses : clés de chiffrement actives, processus malveillants, connexions réseau en cours. Une machine éteinte détruit ces preuves. Laissez-la allumée, hors réseau.
  • Ne pas supprimer les emails suspects — si l’attaque est arrivée par email, l’email original est une pièce à conviction. Ne le déplacez pas, ne le transférez pas, ne le supprimez pas.
  • Ne pas nettoyer les logs — aucun fichier journal ne doit être effacé ou modifié. Ce sont vos preuves.
  • Prendre des captures d’écran — documentez ce que vous voyez : messages d’erreur, demandes de rançon, fenêtres inhabituelles, pages défigurées. Photographiez l’écran avec un téléphone si nécessaire.
  • Alerter le responsable informatique ou le prestataire par téléphone — pas par email si la messagerie peut être compromise. Appelez directement.
  • Activer la cellule de crise si votre entreprise dispose d’un plan de réponse à incident documenté. Si ce plan n’existe pas, désignez maintenant une personne responsable des décisions.
  • Ouvrir un journal d’incident — un document (papier si les systèmes sont indisponibles) où chaque action est notée avec l’heure exacte et le nom de la personne qui l’a effectuée.

Si vous avez subi un ransomware : ne redémarrez aucune machine. Un redémarrage peut déclencher une deuxième phase de chiffrement ou effacer des preuves. Voir la section ransomware ci-dessous.

Si vous avez subi une fraude au virement (BEC) : contactez votre banque en premier — avant même d’appeler le 3218. Chaque minute compte pour tenter un rappel de fonds.

Identifier le type d’attaque

Le type d’attaque détermine les actions prioritaires. Voici un diagnostic rapide.

Ransomware (rançongiciel)

Signes : des fichiers sont chiffrés (extension modifiée, noms illisibles), une note de rançon apparaît sur l’écran ou dans les dossiers, des services sont inaccessibles.

Actions immédiates :

  • Isolez immédiatement toutes les machines du réseau — le ransomware se propage activement aux partages réseau et aux autres postes.
  • Identifiez le patient zéro (la première machine touchée) pour comprendre le vecteur d’entrée.
  • Vérifiez l’état de vos sauvegardes — sont-elles accessibles ? Ont-elles été chiffrées aussi ? Les sauvegardes connectées en permanence au réseau sont souvent ciblées.
  • Contactez le 3218 et un prestataire spécialisé avant toute tentative de restauration.
  • Consultez NoMoreRansom : des outils de déchiffrement gratuits existent pour certaines familles de ransomware.

Ne payez pas la rançon. La position de l’ANSSI est formelle : le paiement ne garantit pas la récupération des données et encourage les attaquants à recommencer.

Phishing et compromission de compte (BEC)

Signes : un employé a cliqué sur un lien frauduleux ou saisi ses identifiants sur un faux site, des connexions suspectes apparaissent dans les journaux, des emails ont été envoyés depuis un compte interne à l’insu de son titulaire, un virement a été émis suite à une demande par email.

Actions immédiates : changez immédiatement le mot de passe du compte compromis depuis un appareil sain, révoquez toutes les sessions actives, vérifiez les règles de transfert d’email. Si un virement a été émis, appelez votre banque en urgence avant tout autre appel.

Pour la procédure complète, consultez notre guide de réponse à incident phishing — il couvre chaque étape minute par minute, y compris les actions sur Microsoft 365 et Google Workspace.

Fuite ou vol de données

Signes : des données confidentielles (base clients, données RH, informations financières, secrets commerciaux) ont été exfiltrées, une alerte d’un tiers signale que des données de votre entreprise circulent sur des forums, vous recevez une demande d’extorsion avec preuve de données volées.

Actions immédiates :

  • Identifiez quelles données ont été exposées et combien de personnes sont concernées.
  • Évaluez si des données personnelles sont incluses — obligation de notification CNIL sous 72h.
  • Coupez l’accès à la source de la fuite (compte compromis, accès externe mal sécurisé, API exposée).
  • Contactez un avocat spécialisé en droit de la protection des données si la fuite est importante : la communication aux personnes concernées doit être rédigée avec soin.

DDoS (déni de service distribué)

Signes : site web ou services en ligne inaccessibles sans raison apparente, volume anormal de requêtes dans les journaux.

Actions immédiates : contactez votre hébergeur pour activer la protection anti-DDoS (Cloudflare, OVHcloud, Akamai). Surveillez simultanément vos journaux d’intrusion — un DDoS sert parfois d’écran de fumée pour masquer une attaque parallèle sur vos systèmes. Signalez sur cybermalveillance.gouv.fr.

Défacement de site web

Signes : votre site affiche un contenu que vous n’avez pas publié.

Actions immédiates : mettez le site en maintenance (503), prenez des captures d’écran avant suppression, restaurez depuis une sauvegarde saine, changez tous les mots de passe d’administration du CMS et de l’hébergement, identifiez le vecteur d’entrée (plugin vulnérable, accès FTP compromis).

Menace interne

Signes : un employé (actuel ou récemment parti) a exfiltré des données, supprimé des fichiers critiques, ou accédé à des systèmes sans autorisation.

Actions immédiates :

  • Révoquez immédiatement tous les accès (messagerie, VPN, applications métier).
  • Préservez les journaux d’accès sans les modifier — ils constituent des preuves pour la procédure judiciaire.
  • Consultez un avocat en droit du travail avant toute action disciplinaire.
  • Déposez plainte si des données ont été volées ou des systèmes sabotés (article 323-3 du Code pénal).

Les obligations légales

La réponse technique et le volet juridique doivent avancer en parallèle dès les premières heures. Voici les obligations avec leurs délais.

CNIL — 72 heures (RGPD Article 33)

Si l’attaque a compromis des données personnelles (noms, emails, numéros de téléphone, données bancaires, données de santé, mots de passe…), vous devez notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Ce délai court à partir du moment où vous savez qu’un incident s’est produit, pas à partir du moment où vous en avez évalué toutes les conséquences.

La notification peut être partielle et complétée ultérieurement. La CNIL préfère une notification rapide avec des informations incomplètes à une notification tardive et exhaustive.

Trois niveaux selon la gravité :

  • Aucune donnée personnelle exposée : documentez dans votre registre interne. Pas de notification CNIL.
  • Données personnelles exposées, risque modéré : notifiez la CNIL sous 72h. Pas d’obligation d’informer les personnes.
  • Données sensibles exposées ou exploitation confirmée (risque élevé) : notifiez la CNIL sous 72h ET informez les personnes concernées individuellement dans les meilleurs délais (article 34 du RGPD).

Si vous êtes sanctionné pour non-notification, l’amende peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

ANSSI / CERT-FR — 24h puis 72h (NIS2)

Si votre entreprise est dans le périmètre de la directive NIS2 (entités des secteurs listés aux Annexes I et II), vous avez des obligations supplémentaires :

  • Alerte initiale sous 24 heures au CERT-FR via cyber.gouv.fr
  • Rapport d’incident complet sous 72 heures
  • Rapport final sous 1 mois

LOPMI — 72 heures pour la plainte (assurance cyber)

Depuis le 24 janvier 2023, la loi LOPMI (article L12-10-1 du Code des assurances) conditionne l’indemnisation par l’assurance cyber au dépôt de plainte dans les 72 heures suivant la découverte de l’attaque. Ce délai est indépendant de celui de la CNIL. Sans plainte dans ce délai, l’assureur peut légalement refuser l’indemnisation.

Communication aux personnes concernées (RGPD Article 34)

Si le risque pour les droits et libertés des personnes est élevé (données de santé, bancaires, données permettant une usurpation d’identité…), vous devez informer les personnes concernées directement, dans les meilleurs délais, en langage clair. Cette communication doit mentionner la nature de l’incident, les données concernées, les conséquences probables, et les mesures que vous avez prises.

Porter plainte

Le dépôt de plainte n’est pas seulement une formalité légale. C’est une condition de votre indemnisation par l’assurance, une contribution à l’enquête qui peut aider d’autres victimes, et le point de départ d’une éventuelle procédure pénale.

Où déposer plainte

En commissariat ou en gendarmerie : tout service de police ou de gendarmerie est compétent, y compris si l’attaquant est basé à l’étranger. Demandez à ce que la plainte mentionne explicitement les articles du Code pénal applicables (voir ci-dessous).

Brigade numérique de la gendarmerie : premier contact en ligne via www.gendarmerie.interieur.gouv.fr, par tchat.

Par courrier au procureur de la République : adressez une plainte écrite au tribunal judiciaire du siège de votre entreprise — utile si vous ne pouvez pas vous déplacer dans le délai de 72 heures.

La pré-plainte en ligne (pre-plainte-en-ligne.gouv.fr) obtient un rendez-vous mais ne satisfait pas le délai LOPMI. Déplacez-vous pour finaliser.

Ce qu’il faut apporter

  • Chronologie des faits (heure de détection, actions observées, systèmes affectés)
  • Captures d’écran (demande de rançon, pages défigurées, emails suspects, transactions frauduleuses)
  • Journaux de connexion et d’événements système (exports bruts, sans modification)
  • Emails suspects en format .eml avec en-têtes complets
  • Évaluation de l’impact : données compromises, perte financière estimée, systèmes indisponibles
  • Identité des éventuels témoins internes

Articles du Code pénal à mentionner

  • Article 323-1 : accès frauduleux à un système informatique (3 ans et 100 000 €, aggravé à 5 ans et 150 000 € si modification ou suppression de données)
  • Article 323-2 : entrave au fonctionnement d’un système (5 ans et 150 000 €) — pour les DDoS et ransomwares
  • Article 323-3 : extraction frauduleuse de données (5 ans et 150 000 €) — pour les fuites de données
  • Article 313-1 : escroquerie (5 ans et 375 000 €, aggravé à 7 ans et 750 000 € via moyen électronique) — pour les fraudes au virement
  • Article 226-4-1 : usurpation d’identité (1 an et 15 000 €) — pour les phishing avec usurpation

La déclaration à votre assureur

Si votre entreprise dispose d’une assurance cyber, la déclaration de sinistre est soumise à deux contraintes cumulatives.

Première contrainte — légale : déposer plainte dans les 72 heures (loi LOPMI). Sans ce dépôt de plainte préalable, l’assureur peut refuser toute indemnisation, quelle que soit la couverture du contrat.

Deuxième contrainte — contractuelle : déclarer le sinistre à l’assureur dans le délai prévu par votre police, en général 5 jours ouvrés après la découverte. Certains contrats imposent 48 heures. Vérifiez votre police maintenant, avant un incident.

Ce que l’assureur demande

  • Copie du récépissé de dépôt de plainte
  • Description de l’incident : type d’attaque, vecteur d’entrée identifié ou suspecté, systèmes affectés
  • Chronologie détaillée : date et heure de détection, actions prises, personnes impliquées
  • Liste des données potentiellement exposées
  • Estimation de l’impact financier : frais de remédiation technique, perte d’exploitation, coûts de notification, frais juridiques
  • Mesures de sécurité en place au moment de l’incident (l’assureur vérifiera que les garanties contractuelles de sécurité — MFA, sauvegardes, antivirus — étaient respectées)

Ce que couvre généralement une assurance cyber

Les frais de remédiation technique, les frais de notification aux personnes concernées, les frais juridiques, la perte d’exploitation en cas d’interruption d’activité, et les frais de gestion de crise. La couverture du paiement de rançon et de la fraude au virement varie fortement selon les contrats. Les amendes réglementaires (CNIL, ANSSI) sont généralement exclues car considérées comme inassurables.

Pour comprendre les garanties et les conditions de votre contrat, consultez notre guide sur la cyber-assurance.

Prévenir le prochain incident

Une cyberattaque révèle toujours une faille. Après la remédiation, l’analyse post-incident permet d’identifier le vecteur d’entrée initial — et de s’assurer qu’il ne sera plus exploitable.

Les vecteurs les plus fréquents dans les incidents que nous observons :

  • Phishing : email frauduleux ayant conduit à une saisie d’identifiants ou un téléchargement de malware. Prévention : simulation de phishing régulière, formation contextuelle après chaque clic.
  • Mots de passe faibles ou réutilisés : compte compromis via credential stuffing ou brute force. Prévention : gestionnaire de mots de passe d’entreprise, authentification multifacteur sur tous les comptes.
  • Logiciels non mis à jour : exploitation d’une vulnérabilité connue dans un VPN, un CMS, ou une application. Prévention : politique de mises à jour automatiques, audit des logiciels exposés sur internet.
  • Accès tiers non sécurisés : prestataire informatique, sous-traitant ou partenaire compromis qui sert de point d’entrée. Prévention : cartographie des accès tiers, contrats de sécurité avec les prestataires critiques.

Pour tester la résistance de votre infrastructure email avant une attaque réelle, notre test de sécurité email analyse en quelques minutes la configuration SPF, DKIM et DMARC de votre domaine — les trois mécanismes qui empêchent l’usurpation de votre identité par email.

Si votre entreprise est soumise à la directive NIS2, la simulation d’attaque et la formation des équipes ne sont pas optionnelles : elles font partie des obligations de l’article 21. Notre guide NIS2 pour les PME détaille le périmètre et les obligations.

nophi.sh lance des simulations de phishing mensuelles avec formation automatisée après chaque clic — vos collaborateurs développent le réflexe de signalement avant qu’un incident réel ne se produise. Lancer votre première campagne gratuitement.

Questions fréquentes

Thomas Ferreira, CISSP, GCFA, GCIH — Consultant en réponse à incident et formateur en cybersécurité. Thomas accompagne des PME et ETI françaises dans la gestion de crise cyber et la mise en conformité réglementaire. Ce guide s’appuie sur les publications officielles de cybermalveillance.gouv.fr, de l’ANSSI (cyber.gouv.fr), de la CNIL, et sur le texte de la loi LOPMI disponible sur legifrance.gouv.fr.