Retour aux articles

Rançongiciel : que faire dans les 24 premières heures (plan de réponse)

  Face à un rançongiciel, les premières heures sont décisives. Voici un plan d'action clair pour limiter les dégâts et reprendre le contrôle.

Plan de réponse à un rançongiciel dans les premières heures

En cas d'attaque par rançongiciel, agissez dans cet ordre durant les premières heures : isolez les systèmes infectés sans les éteindre, préservez les preuves, activez votre cellule de crise, notifiez les autorités compétentes, puis restaurez à partir de sauvegardes saines. Ne payez pas la rançon dans la précipitation : c'est rarement la bonne décision et cela ne garantit rien.

L'essentiel en bref

  • Isoler vite (débrancher du réseau) sans éteindre les machines, pour préserver les preuves.
  • Ne pas payer dans la panique : le paiement ne garantit ni la récupération ni l'absence de fuite.
  • La meilleure réponse se prépare AVANT : sauvegardes testées et plan d’incident écrit.

Heure 0 à 1 : contenir sans détruire les preuves

Le premier réflexe est de stopper la propagation. Isolez les machines touchées du réseau (déconnexion réseau, Wi-Fi coupé), mais ne les éteignez pas : la mémoire vive contient des preuves précieuses pour l'analyse.

  • Déconnecter les systèmes infectés du réseau (câble, Wi-Fi), sans les éteindre.
  • Couper les accès distants (VPN, RDP) et désactiver les comptes compromis.
  • Préserver les journaux et ne rien « nettoyer » avant analyse.
  • Déclencher la cellule de crise et désigner un responsable unique.

Heure 1 à 6 : évaluer, notifier, communiquer

Une fois la propagation contenue, il faut mesurer l'ampleur et respecter vos obligations. Au Québec, la Loi 25 impose de signaler « avec diligence » tout incident présentant un risque de préjudice sérieux.

  • Identifier les systèmes et les données touchés (chiffrés, exfiltrés ?).
  • Notifier les autorités compétentes et, selon le cas, la police et l'assureur cyber.
  • Évaluer si des renseignements personnels sont concernés (obligation de signalement).
  • Préparer une communication interne et, si nécessaire, externe — factuelle et maîtrisée.

Heure 6 à 24 : restaurer en sécurité

La restauration ne s'improvise pas : restaurer sur un environnement encore compromis relance l'attaque. Il faut d'abord s'assurer que la menace est éradiquée, puis repartir de sauvegardes vérifiées comme saines.

  • Confirmer l’éradication avant toute remise en service.
  • Restaurer depuis des sauvegardes testées et déconnectées (hors ligne / immuables).
  • Réinitialiser les mots de passe et secrets potentiellement exposés.
  • Surveiller étroitement les systèmes restaurés pour détecter une réinfection.

Faut-il payer la rançon ?

Dans la grande majorité des cas, non. Le paiement ne garantit ni la récupération des données, ni l'absence de fuite, ni l'absence de nouvelle attaque — au contraire, il vous désigne comme cible qui paie. Il peut aussi soulever des questions légales. La décision doit être prise à froid, avec un conseil juridique et technique, jamais sous le coup de la panique.

La vraie protection se joue en amont : des sauvegardes testées et déconnectées transforment une catastrophe en simple interruption gérable.

Questions fréquentes

Faut-il éteindre les ordinateurs infectés ?

Non, ne les éteignez pas : isolez-les du réseau. Éteindre une machine efface la mémoire vive, qui contient des preuves cruciales pour comprendre l'attaque et y répondre. Déconnectez le réseau, c'est tout.

Dois-je payer la rançon ?

En règle générale, non. Le paiement ne garantit rien et vous expose à de nouvelles attaques. La décision doit être prise à froid avec des conseils juridiques et techniques, et seulement après avoir épuisé les options de restauration.

Suis-je obligé de signaler l'attaque ?

Si des renseignements personnels sont touchés, la Loi 25 (Québec) impose de signaler avec diligence tout incident présentant un risque de préjudice sérieux. D'autres obligations peuvent s'appliquer selon votre secteur et votre assurance cyber.

Mes sauvegardes me protègent-elles vraiment ?

Seulement si elles sont testées, récentes et déconnectées (hors ligne ou immuables). Les rançongiciels ciblent activement les sauvegardes connectées. Une sauvegarde jamais restaurée pour test est une fausse sécurité.

Comment se préparer avant une attaque ?

Rédigez un plan de réponse à incident, identifiez votre cellule de crise, mettez en place des sauvegardes immuables testées régulièrement, et faites un exercice de simulation. La préparation transforme une crise en incident maîtrisé.

À retenir

Face à un rançongiciel, la rapidité et la méthode comptent plus que la technique. Isolez, préservez, notifiez, restaurez proprement. Codally aide les PME et organisations publiques à préparer leur plan de réponse et à reprendre le contrôle après incident.

Pour aller plus loin

Oussama El Figha

Oussama El Figha

Expert cybersécurité

Oussama est expert en cybersécurité chez Codally. Il accompagne les PME dans l'audit de sécurité, la protection des données et la réponse aux incidents, de la mise en conformité (Loi 25, RGPD) à la résilience opérationnelle.

9 décembre 2025 · 8 min de lecture

Besoin d'accompagnement ?

Codally peut vous aider à intégrer ces solutions dans votre entreprise.

Nos servicesContactez-nous