7 actions à exécuter en parallèle dans les 60 premières minutes. En limitant la contamination dès les 10 premières minutes, on réduit les dégâts de 70 %. Les réflexes qui sauvent une PME en pleine cyberattaque.
Pourquoi la première heure est décisive
Dans une cyberattaque (ransomware, intrusion, fuite, sabotage), la vitesse de propagation est exponentielle. Un ransomware moderne peut chiffrer 20 postes en moins d'une heure et atteindre les sauvegardes en ligne dans les 2 heures qui suivent. Une PME sans plan d'incident peut être totalement verrouillée en moins de 60 minutes.
L'objectif des 7 actions ci-dessous est de contenir, signaler, préserver : contenir l'attaque pour éviter la propagation, signaler aux bons interlocuteurs pour activer les protections, préserver les preuves pour l'enquête et l'assurance.
Les 7 actions parallèles dans la première heure
Action 1 · Isoler les postes compromis (T+0 à T+10 min)
Débrancher physiquement le câble réseau Ethernet, désactiver le Wi-Fi, débrancher le téléphone si VoIP, retirer les clés USB ou disques externes. Ne pas éteindre la machine : la mémoire vive contient des indices forensic précieux (clés de chiffrement parfois présentes, processus malveillants en cours).
Si plusieurs postes touchés simultanément, isoler également les serveurs et couper l'accès Internet du site complet (firewall, désactivation modem).
Action 2 · Activer la cellule de crise (T+10 à T+20 min)
Mobilisation immédiate de la cellule de crise selon le protocole établi (voir notre FAQ cellule de crise TPE-PME). Composition minimale en PME : dirigeant, responsable IT ou prestataire infogérance, communicant (dircom, commercial senior, ou prestataire externe), secrétaire main courante (assistant, comptable).
Premier briefing : ce qu'on sait, ce qu'on ne sait pas, premières actions, prochain point à T+1h.
Action 3 · Couper les accès distants (T+15 à T+25 min)
Désactivation immédiate des VPN, des connexions RDP, des sessions cloud actives, des accès API externes. Changement des mots de passe administrateurs depuis un poste sain. Révocation des tokens d'authentification.
Si MFA actif (recommandé), désactivation des tokens compromis et émission de nouveaux. Si pas de MFA, c'est le moment de comprendre pourquoi l'assurance pourra refuser l'indemnisation (voir FAQ indemnisation cyber).
Action 4 · Préserver les preuves (T+20 à T+30 min)
Ne pas reformater, ne pas redéployer, ne pas redémarrer les machines compromises. Photographier les écrans (messages de demande de rançon, alertes EDR, journaux suspects). Conserver les fichiers de logs, les sauvegardes des serveurs avant l'incident, les e-mails suspects reçus dans les jours précédents.
Ces preuves sont essentielles pour : l'enquête forensic, le dépôt de plainte, l'indemnisation assurance, l'analyse de cause racine post-crise.
Action 5 · Signaler à l'ANSSI et déposer plainte (T+30 à T+45 min)
- ANSSI / CERT-FR : cert-fr@ssi.gouv.fr ou via le portail cybermalveillance.gouv.fr. Pas obligatoire pour une PME standard, mais utile pour bénéficier des conseils de premier niveau et des indicateurs de compromission connus.
- Police ou gendarmerie : dépôt de plainte sous 72h obligatoire depuis la loi LOPMI 2023 pour ouvrir le droit à indemnisation par l'assurance cyber. Service Pharos en ligne possible pour démarrer.
- Notification CNIL sous 72h si données personnelles compromises (voir FAQ déclaration CNIL).
- Notification ANSSI sous 24h si OSE NIS2 ou OIV (voir FAQ NIS2).
Action 6 · Communiquer en interne (T+30 à T+50 min)
Message court et factuel à l'ensemble des collaborateurs :
- Confirmer qu'il y a un incident cyber en cours.
- Donner les consignes immédiates : ne pas tenter de se reconnecter, ne pas redémarrer, ne pas cliquer sur des liens suspects, attendre les consignes officielles.
- Indiquer le canal de communication d'urgence (SMS d'astreinte, téléphone d'astreinte) car l'email peut être compromis.
- Annoncer un prochain point officiel (généralement à T+2h).
Voir notre article annoncer la crise en interne aux équipes.
Action 7 · Documenter chronologiquement (en continu)
Le secrétaire main courante tient un journal de bord horodaté : heure de chaque action, qui l'a effectuée, ce qui a été constaté. Ce document servira pour l'enquête forensic, le dépôt de plainte, l'assurance et le RETEX.
Voir notre FAQ SITREP pour le format de point de situation à diffuser toutes les 30 à 60 minutes.
À retenir : ces 7 actions ne sont pas séquentielles. Elles s'exécutent en parallèle dès la première minute, par des personnes différentes. C'est la cellule de crise qui permet cette parallélisation.
3 erreurs critiques à éviter
- Éteindre les machines compromises : détruit les preuves forensic en mémoire vive. Toujours isoler sans éteindre.
- Tenter de redémarrer ou de "réparer" en interne sans expert : peut effacer les traces et empêcher la restauration depuis des sauvegardes saines.
- Payer la rançon dans la panique : décision à prendre en cellule de crise à froid, jamais dans la première heure. Voir notre FAQ faut-il payer la rançon.
Comment Twist accompagne
Twist accompagne les PME sur deux temps clés :
- À froid (préparation) : kit cellule de crise PME (5 documents, voir FAQ dédiée), exercice tabletop cyber annuel, formation des équipes.
- Pendant la crise : appui de la cellule de crise sur les 72 premières heures, articulation avec le forensic externe et l'avocat RGPD, conseil au dirigeant, communication maîtrisée.
Voir notre parcours entreprise et notre méthode globale de gestion de crise.
Pour aller plus loin
Préparer votre PME aux 7 actions cyber ?
30 minutes pour cadrer votre kit cellule de crise PME, vos sauvegardes 3-2-1 et votre exercice tabletop cyber annuel. Gratuit et sans engagement.
Échanger avec un consultant →