Rançongiciel : que faire ? — Guide d’urgence • Cyber Security Roanne

Rançongiciel : que faire ? — Guide d’urgence

Un plan clair et immédiat en cas d’attaque. Imprimez ce guide et cochez les étapes au fur et à mesure. Aucune donnée n’est envoyée : tout reste en sessionStorage.

🆘 Urgence 🧪 Preuves 🔁 Restauration 🍪 Zéro cookies

1) Mesures immédiates (ne pas aggraver la situation)

Isoler la/les machine(s) touchées (débrancher réseau/éteindre Wi‑Fi). Débrancher les disques USB/NAS connectés (éviter la propagation). Ne pas payer la rançon (pas de garantie, encouragerait les attaques). Éviter les redémarrages répétés (risque d’aggraver le chiffrement). Photographier/consigner les écrans de rançon et extensions de fichiers.

2) Évaluer l’ampleur

Identifier les postes/serveurs affectés (noms, IP, rôles). Lister les partages/dossiers chiffrés et les applications impactées. Rechercher signes d’exfiltration (fichiers .txt, menaces “leak”). Vérifier fuites d’identifiants (comptes admin, VPN, RDP, etc.).

3) Préserver les preuves

Sauvegarder journaux (SIEM, antivirus/EDR, routeur, Windows Event Logs). Si possible, réaliser une image disque avant restauration. Tenir un journal d’événement (horodatage des actions).

Journal des faits (notes internes)

4) Alerter & assistance

Informer la direction, l’IT et le DPO (si données personnelles concernées).
Contacter vos prestataires sécurité / éditeur EDR/backup pour assistance.
Vérifier vos obligations de notification (réglementaires/contractuelles).

5) Restauration contrôlée

Identifier des sauvegardes saines (avant infection) — tester en environnement isolé.
Réinstaller/reconstruire les systèmes critiques si doute (golden image).
Changer les mots de passe sensibles, révoquer tokens/clefs, regénérer secrets.
Appliquer mises à jour, corriger les vecteurs (RDP exposé, VPN, plugin, etc.).

6) Après-crise : éviter la récidive

MFA partout (admins, messagerie, VPN), moindre privilège, SSO/IAM.
EDR/XDR, journalisation centralisée, alertes, sauvegardes 3‑2‑1 testées.
Segmenter le réseau, limiter RDP, bastionner les accès.
Sensibilisation anti‑phishing et procédures de réponse à incident.

Retour à l’accueil