Lundi, 8h37. Votre assistante frappe à la porte : « Les ordinateurs ne répondent plus, les fichiers ont des noms bizarres, et il y a un message en anglais sur tous les écrans. » Vous avez une tasse de café dans la main et votre journée était déjà chargée. Ce moment — que vous n’avez pas répété, pour lequel vous n’avez probablement pas de plan — est le plus important de la vie de votre entreprise. Ce que vous faites dans les trois prochains jours déterminera si vous rebondissez ou si vous coulez.
La cyberattaque n’est plus un risque hypothétique réservé aux grandes entreprises. En 2024, 60 % des victimes recensées par l’ANSSI étaient des PME et ETI. Et dans la quasi-totalité des cas, ce n’est pas la sophistication de l’attaque qui a causé les dégâts les plus importants. C’est la manière dont la crise a été gérée dans les premières heures.
Les trois erreurs qui transforment une mauvaise journée en catastrophe
Avant de savoir quoi faire, il faut savoir ce qu’il ne faut absolument pas faire. Ces trois réflexes spontanés — logiques en apparence — aggravent systématiquement la situation.
Éteindre tous les serveurs immédiatement. C’est le premier instinct. Couper le courant pour « stopper l’attaque ». Problème : les équipes spécialisées en réponse à incident ont besoin d’analyser ce qui s’est passé dans la mémoire vive des machines — des traces qui disparaissent à la mise hors tension. Éteindre brutalement les serveurs, c’est détruire les preuves dont vous aurez besoin pour comprendre l’intrusion, pour votre assurance, et éventuellement pour une plainte pénale. La bonne décision : isoler les machines du réseau (débrancher les câbles ethernet, désactiver le Wi-Fi) sans les éteindre.
Payer la rançon en urgence. La pression est réelle. Les attaquants fixent des délais, les montants doublent après 48 heures, et l’idée de « régler le problème rapidement » semble raisonnable. Elle ne l’est pas. D’abord, parce que payer ne garantit rien : 30 % des entreprises qui paient ne récupèrent jamais leurs données, ou les récupèrent partiellement. Ensuite, parce que le paiement signale que vous êtes une cible consentante — vous serez très probablement réattaqué dans l’année. Enfin, parce que certains groupes de cybercriminels sont sous sanctions internationales, et payer pourrait vous exposer à des poursuites. Avant toute décision de paiement, attendez l’avis d’un expert.
Gérer la crise en silence. La tentation est forte de ne rien dire à personne — ni aux clients, ni aux partenaires, ni aux autorités — le temps de « voir comment ça évolue ». C’est une erreur légale et stratégique. Le RGPD impose une notification à la CNIL dans les 72 heures si des données personnelles ont été compromises. Ne pas respecter ce délai expose à des sanctions bien supérieures à celles liées à l’incident lui-même. Quant à vos clients et partenaires : ils préfèrent apprendre la nouvelle de votre bouche, avec vos explications, que de la découvrir par eux-mêmes.
La cellule de crise : qui appeler, et dans quel ordre
La première heure est celle du confinement et de l’alerte. Quatre appels sont prioritaires.
Votre prestataire informatique ou RSSI en premier, pour isoler les systèmes compromis sans détruire les preuves et évaluer l’étendue de l’incident. S’il n’est pas disponible ou s’il n’a pas l’expertise pour ce type de situation, contactez directement un prestataire spécialisé en réponse à incident — l’ANSSI publie une liste de prestataires qualifiés (PRIS) sur son site.
Votre assureur cyber ensuite, si vous avez souscrit une police. La plupart des contrats couvrent les frais de réponse à incident, mais imposent d’être notifiés dans des délais très courts — souvent 24 heures. Passé ce délai, la prise en charge peut être remise en cause.
Votre avocat, pour être conseillé sur vos obligations légales (CNIL, clients, partenaires) et vous protéger en cas de litiges ultérieurs.
Les autorités enfin : déposez plainte auprès de la police ou de la gendarmerie, et signalez l’incident sur le portail cybermalveillance.gouv.fr. Ce signalement est gratuit, confidentiel, et vous donne accès à une mise en relation avec des prestataires locaux.
Communiquer : la transparence comme bouclier
La communication de crise est une discipline à part entière, mais quelques principes simples s’appliquent quel que soit le secteur.
Parlez tôt, même si vous ne savez pas tout. Un message du type « Nous faisons face à un incident informatique sérieux. Nos équipes travaillent à le résoudre. Nous vous tiendrons informés sous 24 heures. » est infiniment préférable au silence. Il signale que vous maîtrisez la situation — ou que vous vous donnez les moyens de la maîtriser.
Ne sur-communiquez pas non plus. Évitez les détails techniques sur la nature de l’attaque ou les systèmes compromis tant que l’enquête est en cours. Ces informations pourraient être exploitées par d’autres attaquants, ou alimenter des recours juridiques prématurés.
Documentez tout. Chaque action prise, chaque appel passé, chaque décision — avec horodatage. Ce journal de crise sera précieux pour votre assureur, pour la CNIL, et pour reconstruire une chronologie propre si l’affaire devait aller plus loin.
Un document à préparer avant que ça arrive
La vraie leçon de toutes ces crises, c’est que les entreprises qui s’en sortent le mieux ne sont pas celles qui ont les meilleurs informaticiens. Ce sont celles qui avaient, dans un tiroir, un plan de réponse à incident — même sommaire.
Ce document n’a pas besoin de faire 50 pages. Il doit répondre à quatre questions : Qui appelle-t-on en premier ? Où sont les sauvegardes et comment les restaurer ? Quelles sont nos obligations légales de notification ? Qui est autorisé à communiquer publiquement ?
Une heure de travail préventif avec votre équipe et votre prestataire IT. En échange : la certitude que le lundi matin où tout s’arrête, vous ne serez pas seul face à un écran noir, à improviser sous pression les décisions les plus importantes de votre carrière de dirigeant.