Cybersecurite TPE
Ransomware en TPE : les 7 premiers reflexes si ca t'arrive
Que faire si ton entreprise est victime d'un ransomware. Les 7 actions immediates et ce qu'il ne faut surtout pas faire.
Un ransomware chiffre tes fichiers et demande une rancon pour les dechiffrer. En TPE, c'est souvent par un email de phishing que ca commence. Voici quoi faire dans les premieres minutes.
Les 7 reflexes immediats
1. Deconnecte la machine du reseau
Coupe le WiFi ou debranche le cable Ethernet. Immediatement. Le ransomware peut se propager aux autres machines du reseau et aux disques partages.
2. Ne redemarre PAS la machine
Certains ransomwares stockent la cle de chiffrement en memoire. Si tu redemarres, tu perds cette cle. Laisse la machine allumee mais deconnectee.
3. Ne paie PAS la rancon
Payer ne garantit pas la recuperation des fichiers. Ca finance les attaquants et ca te marque comme cible payante pour la prochaine fois.
4. Prends des photos des messages
Photographie l'ecran de rancon avec ton telephone. Note le nom du ransomware s'il est affiche. Ca aidera a identifier la souche et a chercher un outil de dechiffrement gratuit.
5. Verifie tes sauvegardes
Avant toute chose : est-ce que ta derniere sauvegarde est intacte ? Si oui, tu peux restaurer sans payer. Si la sauvegarde est aussi chiffree (disque branche en permanence), c'est plus complique.
Voir sauvegarde 3-2-1.
6. Signale l'incident
- Cybermalveillance.gouv.fr : plateforme d'assistance aux victimes de cyberattaques. Ils peuvent t'orienter vers un prestataire de remediation.
- CNIL : si des donnees personnelles sont compromises, tu as 72h pour notifier (voir signaler incident CNIL).
- Police : depose plainte. Ca peut sembler inutile mais c'est necessaire pour l'assurance et la tracabilite.
7. Cherche un outil de dechiffrement
Le projet No More Ransom (nomoreransom.org) propose des outils gratuits pour dechiffrer les fichiers chiffres par certains ransomwares connus. Identifie la souche (via la photo de l'ecran) et verifie si un outil existe.
Ce qu'il ne faut PAS faire
- Payer (deja dit mais ca merite d'etre repete).
- Reformater immediatement (tu perds les preuves et la cle en memoire).
- Brancher le disque de sauvegarde sur la machine infectee.
- Ignorer l'incident en esperant que ca passe.
- Essayer de negocier avec les attaquants.
Apres l'incident
- Restaure depuis la sauvegarde saine.
- Change TOUS les mots de passe.
- Mets a jour tous les systemes.
- Identifie le vecteur d'entree (souvent un email de phishing).
- Forme l'equipe (voir formation cybersecurite).
- Revois ta strategie de sauvegarde.
CTA
Pour prevenir le ransomware, consulte la checklist cybersecurite TPE et le plan de continuite d'activite.
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.