Que faire immédiatement en cas de cyberattaque ?

Déconnecter l’équipement concerné du réseau est la première mesure d’urgence. Il faut couper toute connexion à Internet ou au réseau interne, en retirant le câble Ethernet et en désactivant les connexions Wi-Fi ou mobiles. Cela permet d’éviter que l’attaque ne se propage à d’autres machines ou serveurs de l’entreprise.

Éteindre l’équipement attaqué risque de supprimer des éléments techniques utiles à l’analyse. Certaines traces sont uniquement présentes dans la mémoire vive de l’appareil, et leur perte compromettrait une éventuelle enquête numérique.

Alerter immédiatement le service informatique ou le prestataire externe en charge de la gestion des systèmes d’information est essentiel. Ce professionnel pourra initier les mesures d’urgence : isolement de la machine, vérification du périmètre d’attaque, sauvegarde des preuves, et mise en place d’un plan de gestion de l’incident.

Il est essentiel de ne pas effectuer d’action supplémentaire sur le poste infecté. Chaque manipulation risque de modifier ou d’effacer des fichiers nécessaires à l’analyse post-incident.

Une mauvaise manipulation ou l’ouverture d’un message frauduleux par un autre utilisateur pourrait aggraver la situation. La communication interne rapide permet de limiter les risques secondaires.