Rançongiciel : les réflexes des 30 premières minutes
Un écran de rançon vient d'apparaître. L'objectif de la première demi-heure n'est pas de "réparer" : c'est de stopper la propagation et de ne pas détruire les preuves.
1. Coupez le réseau, pas les machines
Le premier réflexe recommandé par Cybermalveillance.gouv.fr est de couper la connexion Internet : éteindre la box ou débrancher le câble WAN, puis identifier et isoler chaque machine touchée en débranchant l'Ethernet ou en désactivant le Wi-Fi. Si des sauvegardes sont connectées au réseau, débranchez-les aussi en priorité pour éviter qu'elles ne soient chiffrées à leur tour.
En revanche, n'éteignez pas les serveurs impactés. C'est contre-intuitif, mais un arrêt brutal peut effacer de la mémoire vive des informations essentielles à l'enquête forensique, sans même garantir que l'attaquant n'a pas déjà posé un mécanisme de persistance qui survivra au redémarrage.
2. Alertez immédiatement, ne gérez pas seul
Contactez votre prestataire informatique sans attendre, ou orientez-vous vers le numéro national 17Cyber si vous n'avez pas de service dédié. Plus l'alerte est précoce, plus les options de confinement sont larges.
3. Préservez les preuves
Photographiez la note de rançon affichée à l'écran. Ne réinitialisez rien, ne lancez aucun "outil miracle" trouvé en urgence sur internet, et conservez les journaux système intacts. Documentez l'heure exacte de la découverte et tout ce qui a été observé avant : lenteurs inhabituelles, fichiers renommés, alertes antivirus ignorées les jours précédents.
4. Ne payez pas la rançon
C'est la position constante de l'ANSSI et de Cybermalveillance.gouv.fr : payer ne garantit ni la récupération des données, ni l'absence de republication en cas de double extorsion, et finance directement l'écosystème criminel. Beaucoup d'attaques récentes combinent chiffrement et exfiltration : l'attaquant menace de publier les données même après paiement.
Pourquoi ça arrive si vite
Contrairement à l'image d'une attaque éclair, le chiffrement final est presque toujours la dernière étape d'une intrusion silencieuse. Les attaquants passent en moyenne plusieurs jours à explorer le réseau avant de déclencher le rançongiciel : ils cartographient les partages, repèrent les sauvegardes et élèvent leurs privilèges pendant que rien ne semble anormal. C'est cette fenêtre qu'un dispositif de détection actif (EDR) permet d'exploiter, avant que le chiffrement ne commence.