Que faire en cas de cyberattaque dans votre entreprise ?
Vous venez de subir une cyberattaque : fichiers chiffrés, serveurs bloqués, ou fuite de données en cours.
Ne redémarrez rien, ne supprimez rien.
Nous intervenons immédiatement pour contenir l’incident, enclencher un plan de réponse et restaurer votre sécurité informatique.
Les bons réflexes à adopter
immédiatement
Lorsqu’une cyberattaque est en cours, ransomware, phishing ciblé, intrusion réseau ou fuite de données, la priorité absolue est de limiter la propagation et de préserver les preuves.
Voici les premiers gestes recommandés par l’ANSSI et les experts AMI Cybersécurité pour enclencher un plan de réponse à incident efficace.
Isolez immédiatement les systèmes compromis
Coupez la connexion des postes et serveurs suspects au réseau interne et à Internet.
Désactivez les accès distants (VPN, RDP) et bloquez les sessions suspectes dans Microsoft Defender for Endpoint ou votre solution SIEM.
Ne payez pas, ne supprimez rien
Ne cédez jamais à la rançon : rien ne garantit la récupération de vos données.
Conservez tous les éléments utiles à l’analyse : journaux d’événements, fichiers chiffrés, e-mails suspects, captures d’écran.
Alertez les bons interlocuteurs
Prévenez immédiatement : Votre Direction et votre DSI / RSSI, votre prestataire IT ou votre SOC.
Ainsi que les autorités compétentes : Cybermalveillance.gouv.fr et CNIL en cas de fuite de données personnelles.
Faites appel à des experts en cybersécurité
Ne tentez pas de “nettoyer” seul votre environnement.
Nous intervenons rapidement pour contenir l’attaque, déployer un plan d’action adapté et accompagner la remédiation jusqu’aux mesures post-cyberattaque.
En cas de cyberattaque, chaque minute compte.
Nos équipes peuvent intervenir à distance ou sur site pour enclencher votre plan de réponse et restaurer la sécurité informatique de votre entreprise.
Stabiliser, diagnostiquer et rétablir votre activité
Dès la détection d’un incident, nous déployons un plan de réponse éprouvé, conforme aux bonnes pratiques de l’ANSSI et de la norme ISO/IEC 27035.
Contenir et sécuriser l’environnement
Nous intervenons rapidement pour isoler les systèmes compromis, bloquer les accès non autorisés et protéger les données critiques.
Objectif : empêcher toute propagation et stabiliser la situation avant d’aggraver les impacts.
Diagnostiquer et comprendre l’attaque
Nos experts analysent les journaux d’événements, identifient le vecteur d’intrusion et évaluent la portée de la compromission.
Cette analyse post-cyberattaque permet de comprendre comment l’incident s’est produit et quelles mesures préventives doivent être renforcées.
Restaurer et reprendre l’activité
Nous accompagnons la récupération après attaque : nettoyage des systèmes, validation des sauvegardes, restauration des services essentiels et reprise contrôlée du réseau.
Chaque action est documentée pour garantir la sécurité informatique et la traçabilité.
Renforcer et prévenir la récidive
Une fois la crise gérée, nous mettons en œuvre un plan d’action post-incident pour renforcer vos défenses : correctifs, durcissement des accès, supervision via SOC ou SIEM, mise à jour des politiques internes.
Notre objectif : transformer l’incident en levier d’amélioration durable de votre posture de cybersécurité.
Comment savoir si vous êtes encore sous attaque ?
Une cyberattaque ne s’arrête pas toujours quand les symptômes visibles disparaissent.
Certains indices révèlent qu’un malware, un ransomware ou une intrusion réseau est toujours actif dans votre environnement :
Signes d’une compromission persistante
- Votre antivirus ou Microsoft Defender for Endpoint détecte des fichiers chiffrés ou en quarantaine.
- Des documents deviennent illisibles (.lock, .crypt, .enc).
- Des connexions suspectes apparaissent dans votre console Microsoft 365, votre hébergement OVH ou vos pare-feux.
- Des emails sont envoyés automatiquement depuis des comptes internes.
- Vos sauvegardes échouent ou sont inaccessibles.
- Les performances du réseau chutent sans explication (activité inhabituelle sur les endpoints).
Ce que vous devez préparer avant notre intervention
Plus nous avons d’informations dès le départ, plus la remédiation sera rapide et précise.
Accès aux environnements critiques
Fournissez les accès nécessaires à vos serveurs, hébergements, pare-feux, comptes Microsoft 365, ou solutions endpoint.
Description chronologique de l’incident
Rassemblez les informations clés : date d’apparition des anomalies, messages d’erreur, premières actions entreprises.
Sauvegardes disponibles
Indiquez où se trouvent vos sauvegardes (locales, cloud, externalisées) et leur dernière date de validation.
Éléments suspects à analyser
Centralisez les e-mails frauduleux, pièces jointes, journaux système et alertes antivirus.
Nous protégeons leurs infrastructures
Nos partenaires
Questions fréquentes
Quelle est la première action concrète à faire maintenant ?
La priorité est de contenir l’attaque.
Isolez immédiatement les postes et serveurs suspects du réseau interne et d’Internet, désactivez les accès distants (RDP, VPN) et bloquez les comptes compromis.
Ne redémarrez rien avant analyse : cela risquerait d’effacer les traces forensiques nécessaires à l’enquête.
L’objectif est de stopper la propagation tout en conservant les preuves pour la gestion d’incident.
Peut-on continuer l’activité commerciale en sécurité (facturation, commandes) ?
Pas avant d’avoir évalué le périmètre compromis.
Tant que l’origine de l’attaque n’est pas identifiée, poursuivre l’activité peut aggraver la compromission.
Les autorités comme l’ANSSI recommandent de suspendre temporairement les échanges sensibles, d’utiliser des systèmes isolés, et de valider la reprise d’activité après analyse de logs et scan de vulnérabilités.
Quels sont les vecteurs probables de l’intrusion ?
Les causes les plus fréquentes sont :
- un phishing ciblé (pièce jointe ou lien malveillant),
- une vulnérabilité non corrigée (serveur exposé, logiciel obsolète),
- des identifiants compromis sans authentification multifacteur (MFA),
- ou un service mal configuré (RDP, VPN, pare-feu, endpoint non supervisé).
Que dire aux salariés pour éviter la panique ?
Communiquez rapidement, mais de façon factuelle et apaisée.
Informez que l’entreprise fait face à un incident de sécurité, que les mesures de confinement sont en cours, et que des consignes précises seront transmises.
Demandez simplement de ne pas redémarrer les postes et de signaler tout comportement anormal.
La communication interne est un volet essentiel du plan de réponse à incident.
Quand et comment informer les clients impactés ?
Informez vos clients dès que la portée de l’incident est connue et que les accès externes sont sécurisés.
Si des données personnelles sont concernées, la CNIL doit être alertée sous 72 h conformément au RGPD.
Envoyez une communication claire et factuelle : nature de l’incident, mesures de remédiation, impact estimé et contact du référent sécurité.
Évitez toute hypothèse non confirmée avant la fin de l’analyse post-cyberattaque.
Quelles références suivre pour la gestion d’incident (ANSSI, ISO/IEC 27035) ?
La gestion d’incident cyber s’appuie sur plusieurs cadres reconnus :
- En France, les guides de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) décrivent les bonnes pratiques de détection, confinement, remédiation et retour d’expérience.
- À l’international, la norme ISO/IEC 27035 définit les étapes d’un plan de réponse à incident : préparation, identification, analyse, traitement, restauration et amélioration continue.
Ces référentiels aident à structurer la réponse à incident et à réduire les risques de récidive.
Combien de temps a-t-on pour notifier une cyberattaque à la CNIL ?
En cas de fuite de données personnelles, la notification à la CNIL est obligatoire sous 72 heures à compter de la découverte de l’incident, conformément à l’article 33 du RGPD.
Cette déclaration doit décrire la nature de la violation, le volume de données concernées, les mesures de cybersécurité mises en place et celles prévues pour limiter l’impact.
Si la notification dépasse ce délai, elle doit être accompagnée d’une justification.
Comment éviter qu’une cyberattaque ne se reproduise ?
La prévention passe par un renforcement global de la sécurité informatique :
- Mettre à jour régulièrement les systèmes et logiciels pour corriger les vulnérabilités connues ;
- Déployer une authentification multifacteur (MFA) sur tous les comptes sensibles ;
- Superviser les postes et serveurs via un SOC ou un SIEM ;
- Sensibiliser les collaborateurs au phishing et aux comportements à risque ;
- Réaliser un audit post-incident pour corriger les failles identifiées et actualiser le plan de réponse à incident.
Services de cybersécurité complémentaires
Une cyberattaque ne s’arrête pas quand les serveurs redémarrent. La vraie différence se joue dans l’analyse, la mise aux normes et la supervision continue.
Nos services de cybersécurité vous aide à renforcer durablement votre sécurité informatique et à prévenir toute récidive.
Audit de cybersécurité
Identifiez les failles exploitées et comprenez comment l’attaque a eu lieu.
Notre audit post-incident vous aide à évaluer vos vulnérabilités et à établir un plan d’action correctif.
→ En savoir plus sur nos audits de cybersécurité
Conformité cybersécurité
Prouvez à vos clients et partenaires que votre entreprise est maîtrisée et conforme.
Nous vous accompagnons pour répondre aux exigences NIS2, DORA ou RGPD et structurer votre sécurité informatique.
→ En savoir plus sur la conformité en matière de cybersécurité
Monitoring informatique
Ne subissez plus, supervisez.
Notre plateforme de monitoring vous offre une visibilité continue sur les vulnérabilités et incidents de sécurité.
→ Découvrir notre plateforme de gestion des vulnérabilités
A.M.I Cybersécurité propose des solutions pour garantir la sécurité informatique de votre entreprise.
Ces dernières années, les cyberattaques connaissent une croissance fulgurante. En cause : une protection trop faible, voire inexistante. Afin de sécuriser votre S.I, A.M.I, expert en cybersécurité, vous propose des solutions performantes et parfaitement adaptées à vos enjeux.
Notre mission
La protection de vos données, de vos infrastructures et de l’ensemble de votre système d’information est notre priorité.
Protégez votre entreprise
Nos experts en cybersécurité sont à votre écoute
Pour aller plus loin
Explorez nos articles pour approfondir la gestion des vulnérabilités, comprendre les enjeux de remédiation continue et rester à jour sur les pratiques de pilotage sécurité.
Qu’est-ce qu’un ransomware et comment s’en protéger ?
L’évolution rapide du numérique a entraîné une augmentation significative des cyberattaques, parmi lesquelles les ransomwares occupent une place prépondérante. Ces logiciels malveillants, conçus pour chiffrer les données des victimes et exiger une rançon pour leur
Campagne de phishing : comment identifier et se protéger des attaques courantes
Les campagnes de phishing sont devenues un outil essentiel pour évaluer et renforcer la sensibilisation à la cybersécurité au sein des entreprises. En simulant des attaques de phishing, les organisations peuvent identifier les vulnérabilités humaines
Malwares : détection, élimination et protection
Dans un monde où la dépendance aux technologies numériques ne cesse de croître, la cybersécurité est devenue un enjeu majeur pour les individus et les entreprises. Les malwares, ou logiciels malveillants, constituent une des menaces
N’hésitez pas à nous contacter. Nos équipes vous répondront dans les meilleurs délais.