Vous venez de réaliser que votre réseau est compromis. Les fichiers s'ouvrent avec des extensions bizarres, un message de rançon s'affiche sur un écran, ou un collaborateur vous signale qu'il ne peut plus accéder à ses documents. Les premières heures sont critiques. Voici quoi faire — et surtout quoi ne pas faire.
Étape 1 — Isoler immédiatement, ne pas attendre
Débranchez les câbles réseau de tous les postes accessibles. Coupez le WiFi. Si vous avez un switch ou un routeur accessible, éteignez-le. L'objectif est d'arrêter la propagation avant que le ransomware n'ait chiffré l'intégralité du réseau. Chaque minute compte — les ransomwares modernes peuvent chiffrer des milliers de fichiers par minute. Ne cherchez pas d'abord à comprendre ce qui s'est passé : isolez d'abord, analysez ensuite.
Ce qu'il ne faut surtout pas faire
Ne payez pas la rançon immédiatement — ni jamais sans avoir exploré toutes les alternatives. Environ 40% des entreprises qui paient ne récupèrent pas leurs données, ou récupèrent des fichiers corrompus. Ne redémarrez pas les postes infectés — certains ransomwares activent une phase de chiffrement supplémentaire au redémarrage. Ne supprimez pas les fichiers chiffrés — ils peuvent être nécessaires pour une éventuelle restauration. Ne restaurez pas vos sauvegardes tout de suite sur le réseau encore compromis — vous risquez de les infecter à leur tour.
Étape 2 — Évaluer l'étendue des dégâts
Une fois le réseau isolé, identifiez quels postes et quels serveurs sont affectés. Vérifiez si vos sauvegardes sont accessibles et saines — en particulier si elles sont stockées hors-site ou sur un support déconnecté. Notez l'heure de découverte, les premiers symptômes observés, et les postes touchés. Ces informations seront nécessaires pour votre assurance, pour un éventuel dépôt de plainte, et pour la récupération.
Étape 3 — Contacter les bonnes personnes
Votre prestataire informatique en premier — il peut évaluer à distance ou intervenir rapidement. Si vous avez une assurance cyber, contactez-la immédiatement — les délais de déclaration sont souvent très courts. En Belgique, une cyberattaque doit être signalée à la CCB (Centre pour la Cybersécurité Belgique) via le formulaire en ligne. Si des données personnelles clients ont été compromises, le RGPD impose une notification à l'Autorité de Protection des Données dans les 72 heures.
La récupération : à quoi s'attendre réellement
Si vous avez des sauvegardes propres et récentes, la récupération peut prendre de quelques heures à quelques jours selon la taille du parc. Sans sauvegardes, les options sont limitées : certains ransomwares connus ont des outils de déchiffrement gratuits disponibles sur le site nomoreransom.org — vérifiez avant de payer quoi que ce soit. Dans les cas graves sans sauvegarde et sans outil de déchiffrement, un prestataire spécialisé en forensique peut tenter une récupération partielle.
Si vous faites face à une cyberattaque ou si vous voulez anticiper ce scénario avant qu'il n'arrive, on peut vous aider — plan de réponse à incident, audit de sauvegardes, segmentation réseau. À Charleroi et en Wallonie, on intervient rapidement.
