5 réflexes en H+0 : ne pas payer impulsivement, isoler, déclarer ANSSI + CNIL, activer la cellule, contacter un avocat. Coût moyen 2024 en France : 1,9 M€ par incident.
H+0 à H+15 — Isoler et qualifier
Premier réflexe : isoler. Déconnecter du réseau les machines infectées sans les éteindre (l'extinction efface des éléments forensiques précieux). Couper les liaisons VPN, suspendre les accès distants, isoler les sauvegardes pour qu'elles ne soient pas chiffrées à leur tour.
En parallèle : qualifier. Combien de machines touchées ? Quels systèmes critiques ? Quelles données potentiellement exfiltrées ? Quel message de rançon (capture d'écran, conservation du fichier de demande) ?
H+15 à H+60 — Déclarer et activer
- Déclarer à l'ANSSI via cybermalveillance.gouv.fr ou directement à votre CSIRT régional. Pour les entités NIS2 : alerte précoce sous 24h via la plateforme dédiée.
- Notifier la CNIL sous 72h si des données personnelles sont concernées (RGPD article 33). Préparer également la communication aux personnes concernées (article 34).
- Activer la cellule de crise avec référent SI / RSSI obligatoire dans la cellule restreinte.
- Contacter un avocat pénaliste spécialisé cyber — son intervention dans la première heure conditionne la qualité de la défense ultérieure.
Faut-il payer la rançon ?
Position officielle ANSSI et FBI : non. Trois raisons :
- Le paiement n'est pas efficace : taux de récupération autour de 50 %. Plusieurs cas documentés de paiement sans clé de déchiffrement, ou de double extorsion (paiement + publication des données quand même).
- Le paiement nourrit l'écosystème criminel : chaque paiement finance les attaques suivantes contre d'autres victimes, augmentant le ROI du modèle.
- Le paiement peut être illégal : si l'attaquant est sur la liste des sanctions internationales (OFAC pour les groupes russes, iraniens, nord-coréens), le paiement contrevient au droit. La loi LOPMI de 2023 interdit en France aux assureurs cyber d'indemniser le paiement.
Si la décision de payer est prise malgré tout (cas exceptionnel — vies en jeu dans un hôpital), elle doit être validée au plus haut niveau, avec avis pénaliste écrit, et faire l'objet d'une déclaration à TRACFIN.
Reconstitution et RETEX
Médiane observée en France 2024 (rapport ANSSI) :
- 23 jours pour la reconstruction technique des systèmes critiques.
- 3 à 6 mois pour le retour complet à l'activité normale.
- 1,9 M€ de coût moyen total (technique + opérationnel + image).
Les organisations qui ont des sauvegardes immutables (impossibles à chiffrer) et un PCA cyber testé annuellement reconstituent 3 à 5 fois plus vite.
Voir notre sectorielle crise cyber pour le panorama complet, et notre sous-page ransomware pour le détail technique.
Préparer votre cellule cyber face au ransomware ?
30 minutes pour cadrer votre PCA cyber, votre cellule, votre dispositif de déclaration ANSSI/CNIL. Gratuit et sans engagement.
Échanger avec un consultant →