Introduction
Ransomware que faire après une attaque est la question que tout responsable IT redoute de devoir poser en situation réelle. Pourtant, en 2026, cette situation n’a plus rien d’hypothétique pour les PME françaises. Selon le dernier panorama de la cybermenace publié par l’ANSSI, les rançongiciels représentent toujours la première menace en volume pour les entreprises de taille intermédiaire, avec une recrudescence notable des attaques ciblant les structures de moins de 250 salariés, souvent choisies précisément parce qu’elles disposent de moins de ressources pour se défendre.
Les premières vingt-quatre heures suivant la détection d’une attaque par ransomware sont déterminantes. Les décisions prises — ou non prises — dans cette fenêtre conditionnent directement l’ampleur des dommages, les délais de reprise et les conséquences juridiques. Improviser dans ce contexte est l’erreur la plus coûteuse qu’une organisation puisse commettre.
Ce guide propose un plan d’action structuré, heure par heure, pour traverser cette crise avec méthode.
Contents : Ransomware que faire après une attaque
1. Comprendre ce qui se passe réellement lors d’une attaque ransomware
Un ransomware ne surgit pas de nulle part. Dans la grande majorité des cas documentés, les attaquants sont présents sur le réseau plusieurs jours, parfois plusieurs semaines, avant de déclencher le chiffrement. Cette phase de présence silencieuse leur permet de cartographier l’infrastructure, d’exfiltrer des données sensibles et de neutraliser les sauvegardes accessibles depuis le réseau.
Lorsque le chiffrement commence, il est souvent trop tard pour l’arrêter complètement. Les rançongiciels modernes comme LockBit, BlackCat ou Akira chiffrent des milliers de fichiers par minute et s’attaquent en priorité aux partages réseau, aux bases de données et aux sauvegardes connectées. En quelques dizaines de minutes, l’essentiel du dommage est fait.
Ce contexte explique pourquoi la réaction dans les premières heures ne vise pas à récupérer les données, mais à stopper la propagation, à préserver les preuves et à maintenir une capacité minimale de fonctionnement. Comprendre cette réalité est le préalable indispensable à toute gestion efficace de crise.
2. Contenir avant tout
Isoler immédiatement les systèmes compromis
Dès la détection des premiers signes — fichiers renommés avec une extension inconnue, message de rançon affiché, lenteurs inhabituelles généralisées — la priorité absolue est l’isolation. Cela signifie déconnecter physiquement du réseau les machines suspectes : débrancher les câbles Ethernet, désactiver le Wi-Fi, désactiver les interfaces réseau depuis le système d’exploitation si la machine répond encore.
Il ne faut pas éteindre les machines compromises dans un premier temps. La mémoire vive contient des informations précieuses pour les investigations ultérieures : clés de chiffrement partielles, processus actifs, connexions en cours. Un spécialiste en réponse à incident pourra en extraire des éléments utiles. L’extinction brutale détruit ces données de manière irréversible.
Alerter les personnes clés en interne
En parallèle de l’isolation technique, la chaîne d’alerte interne doit être activée immédiatement. Direction générale, responsable juridique, responsable de la communication : tous doivent être informés dans la première heure, même si l’ampleur de l’incident n’est pas encore clairement établie. Les décisions qui suivront — notification aux clients, communication externe, décision sur la rançon — impliquent des niveaux hiérarchiques qui dépassent la seule équipe IT.
Ne pas tenter de déchiffrer seul
Le réflexe de chercher immédiatement un outil de déchiffrement en ligne est compréhensible, mais risqué. Télécharger un logiciel tiers non vérifié sur une machine compromise peut aggraver la situation. Le site No More Ransom, initiative conjointe d’Europol, d’Interpol et d’éditeurs de sécurité, propose des outils de déchiffrement validés pour les souches connues. C’est la seule source à utiliser pour cette démarche dans les premières heures.
3. Evaluer, notifier, documenter
Évaluer l’étendue de la compromission
Une fois les systèmes les plus critiques isolés, il s’agit de cartographier rapidement les dommages. Quels serveurs sont atteints ? Quels partages réseau sont chiffrés ? Les sauvegardes hors ligne sont-elles intactes ? Cette évaluation doit être conduite avec méthode, en s’appuyant sur les journaux disponibles et sur les témoignages des utilisateurs pour reconstituer la chronologie des premiers signes visibles.
Si l’entreprise dispose d’un contrat de cybersécurité avec un prestataire ou d’une assurance cyber incluant un service de réponse à incident, c’est le moment de les contacter. Beaucoup d’assureurs proposent une hotline disponible vingt-quatre heures sur vingt-quatre précisément pour ce type de situation.
Notifier l’ANSSI et déposer plainte
En France, le cadre légal impose des délais stricts de notification. Depuis la transposition de NIS 2, les entités concernées disposent de 24 heures pour soumettre une notification initiale à l’ANSSI après la détection d’un incident significatif, suivie d’un rapport plus complet sous 72 heures. Pour les entités soumises au RGPD — ce qui inclut toute entreprise traitant des données personnelles — la notification à la CNIL doit intervenir dans les 72 heures si des données personnelles ont été compromises.
Le dépôt de plainte auprès de la police ou de la gendarmerie est également indispensable, à la fois pour des raisons juridiques et pour permettre aux autorités de relier l’incident à d’autres affaires en cours. La plateforme cybermalveillance.gouv.fr centralise les démarches et met en relation les victimes avec des prestataires labellisés PRIS (Prestataires de Réponse aux Incidents de Sécurité).
Documenter toutes les actions menées
Dès les premières heures, chaque action doit être consignée avec horodatage : qui a fait quoi, à quelle heure, avec quel résultat. Ce journal de crise servira à la fois pour les investigations techniques, pour les échanges avec les assureurs et pour les éventuelles procédures judiciaires. Il est recommandé de le tenir sur un support déconnecté du réseau compromis — un document papier ou un appareil non affecté par l’attaque.
4. Préparer la reprise
Identifier les systèmes prioritaires à remettre en ligne
La tentation de tout reconstruire simultanément est forte, mais contre-productive. Il faut définir un ordre de priorité clair basé sur les besoins métiers : quels systèmes sont indispensables à la continuité minimale de l’activité ? La facturation, la gestion des commandes, la messagerie ? Cette priorisation doit impliquer la direction générale, pas seulement l’équipe IT.
Les systèmes remis en ligne doivent être reconstruits à partir de sauvegardes propres, vérifiées et antérieures à la détection de la compromission initiale — qui, rappelons-le, peut précéder le chiffrement de plusieurs semaines. Remettre en ligne un système depuis une sauvegarde contaminée revient à réintroduire l’attaquant sur le réseau.
Communiquer avec transparence
La communication de crise est souvent négligée dans les premières heures. Pourtant, informer ses clients, partenaires et fournisseurs de l’incident — même de manière partielle et sans en minimiser la gravité — est à la fois une obligation légale dans certains cas et une décision stratégique. Les entreprises qui communiquent de manière proactive sur un incident cyber sont généralement mieux perçues que celles chez lesquelles l’incident est découvert par des tiers.
Le message externe doit être sobre, factuel et éviter toute spéculation sur l’origine de l’attaque ou l’identité des attaquants tant que l’investigation n’est pas terminée.
Préparer l’investigation forensique
Si des données ont été exfiltrées — ce qui est le cas dans la grande majorité des attaques ransomware modernes, qui combinent chiffrement et vol de données — une investigation numérique forensique est nécessaire pour déterminer exactement quelles données ont été emportées, comment les attaquants sont entrés et combien de temps ils ont été présents. Cette analyse doit être confiée à un prestataire spécialisé labellisé PRIS, afin que les conclusions soient recevables dans un cadre judiciaire.
5. Faut-il payer la rançon ?
La question du paiement est inévitable et la réponse des autorités françaises et européennes est unanime : il est fortement déconseillé de payer. Les raisons sont multiples et convergentes.
Payer ne garantit pas la récupération des données. Dans un tiers des cas documentés, les entreprises ayant payé n’ont pas obtenu un outil de déchiffrement fonctionnel ou n’ont récupéré qu’une partie de leurs données. Payer finance les groupes criminels et encourage de nouvelles attaques, y compris contre la même victime. Et depuis la loi du 26 février 2025, les entreprises françaises souhaitant se faire rembourser par leur assurance cyber doivent obligatoirement avoir déposé plainte dans les 72 heures suivant la découverte de l’attaque.
Il existe des cas limites où la décision est plus complexe — notamment lorsque des vies humaines sont en jeu dans le secteur de la santé, ou lorsque l’entreprise ne dispose d’aucune sauvegarde exploitable. Dans ces situations, la consultation d’un avocat spécialisé en droit du numérique et d’un expert en cybersécurité est indispensable avant toute décision.
6. Les obligations légales en France en 2026
Le cadre réglementaire français en matière de gestion des incidents cyber s’est considérablement renforcé depuis 2024. En 2026, les obligations applicables aux PME victimes d’un ransomware sont les suivantes.
| Obligation | Délai | Autorité concernée | Fondement légal |
|---|---|---|---|
| Notification initiale incident (entités NIS 2) | 24 heures | ANSSI | Directive NIS 2 / Loi 2025 |
| Rapport détaillé incident (entités NIS 2) | 72 heures | ANSSI | Directive NIS 2 / Loi 2025 |
| Notification violation données personnelles | 72 heures | CNIL | RGPD Article 33 |
| Dépôt de plainte (prérequis remboursement assurance) | 72 heures | Police / Gendarmerie | Loi du 26 fév. 2025 |
| Information des personnes concernées | Sans délai undu | Clients / employés | RGPD Article 34 |
Le non-respect de ces délais expose l’entreprise à des sanctions administratives et peut compromettre la prise en charge par l’assurance cyber. La tenue du journal de crise mentionnée précédemment est donc aussi une protection juridique.
7. Tableau de bord de crise : qui fait quoi dans les 24 heures
| Action prioritaire | Responsable |
|---|---|
| Isolation des systèmes compromis | Responsable IT |
| Activation de la chaîne d’alerte interne | Direction / DSI |
| Préservation des preuves (mémoire vive, journaux) | IT / Prestataire PRIS |
| Évaluation de l’étendue des dommages | IT / Prestataire |
| Notification ANSSI (entités NIS 2) | DSI / Juridique |
| Dépôt de plainte | Direction / Juridique |
| Notification CNIL si données personnelles touchées | DPO / Juridique |
| Communication externe initiale | Direction / Communication |
| Priorisation et lancement de la reconstruction | IT / Direction |
Conclusion : la crise se gère avant qu’elle arrive
La gestion d’une attaque ransomware dans les vingt-quatre premières heures est un exercice qui se prépare. Les entreprises qui s’en sortent le mieux ne sont pas nécessairement celles qui disposent des meilleurs outils techniques, mais celles qui ont anticipé : un plan de réponse à incident documenté, des sauvegardes hors ligne testées régulièrement, une liste de contacts d’urgence à jour et une compréhension claire des obligations légales applicables.
Pour les responsables IT et les dirigeants de PME, le message est double. Immédiatement, si vous êtes en train de subir une attaque : isolez, préservez, notifiez, documentez — dans cet ordre. Ne payez pas sans avoir épuisé les alternatives et consulté un spécialiste.
À froid, si vous lisez cet article en mode préventif : le meilleur investissement que vous puissiez faire aujourd’hui est de rédiger un plan de réponse à incident, de tester vos sauvegardes et de vérifier que votre équipe sait exactement quoi faire dans les soixante premières minutes d’une crise. Ce travail prend deux jours. Il peut sauver votre entreprise.
A lire également
DSI à temps partagé pour une PME : rôle, avantages et cas d’usage
Checklist cybersécurité PME 2026 : les 10 points essentiels à vérifier
Checklist cybersécurité PME 2026
Évaluez le niveau de protection de votre entreprise en quelques minutes en répondant à quelques questions.
