Depuis 1994 — plus de trente ans à décrypter l'informatique pour vous amilog6.com
Cybersécurité8 min de lecture

Rançongiciel : les réflexes des 30 premières minutes

Un écran de rançon vient d'apparaître. L'objectif de la première demi-heure n'est pas de "réparer" : c'est de stopper la propagation et de ne pas détruire les preuves.

1. Coupez le réseau, pas les machines

Le premier réflexe recommandé par Cybermalveillance.gouv.fr est de couper la connexion Internet : éteindre la box ou débrancher le câble WAN, puis identifier et isoler chaque machine touchée en débranchant l'Ethernet ou en désactivant le Wi-Fi. Si des sauvegardes sont connectées au réseau, débranchez-les aussi en priorité pour éviter qu'elles ne soient chiffrées à leur tour.

En revanche, n'éteignez pas les serveurs impactés. C'est contre-intuitif, mais un arrêt brutal peut effacer de la mémoire vive des informations essentielles à l'enquête forensique, sans même garantir que l'attaquant n'a pas déjà posé un mécanisme de persistance qui survivra au redémarrage.

2. Alertez immédiatement, ne gérez pas seul

Contactez votre prestataire informatique sans attendre, ou orientez-vous vers le numéro national 17Cyber si vous n'avez pas de service dédié. Plus l'alerte est précoce, plus les options de confinement sont larges.

3. Préservez les preuves

Photographiez la note de rançon affichée à l'écran. Ne réinitialisez rien, ne lancez aucun "outil miracle" trouvé en urgence sur internet, et conservez les journaux système intacts. Documentez l'heure exacte de la découverte et tout ce qui a été observé avant : lenteurs inhabituelles, fichiers renommés, alertes antivirus ignorées les jours précédents.

4. Ne payez pas la rançon

C'est la position constante de l'ANSSI et de Cybermalveillance.gouv.fr : payer ne garantit ni la récupération des données, ni l'absence de republication en cas de double extorsion, et finance directement l'écosystème criminel. Beaucoup d'attaques récentes combinent chiffrement et exfiltration : l'attaquant menace de publier les données même après paiement.

Pourquoi ça arrive si vite

Contrairement à l'image d'une attaque éclair, le chiffrement final est presque toujours la dernière étape d'une intrusion silencieuse. Les attaquants passent en moyenne plusieurs jours à explorer le réseau avant de déclencher le rançongiciel : ils cartographient les partages, repèrent les sauvegardes et élèvent leurs privilèges pendant que rien ne semble anormal. C'est cette fenêtre qu'un dispositif de détection actif (EDR) permet d'exploiter, avant que le chiffrement ne commence.

La meilleure réponse aux 30 premières minutes se prépare avant l'attaque : un plan écrit, connu de l'équipe, qui précise qui isole quoi, qui appelle qui, et qui décide. Une sauvegarde hors réseau, testée récemment, reste la mesure qui fait le plus de différence entre un incident géré et une paralysie totale.