Une cyberattaque n’annonce jamais son arrivée.
Au départ, cela ressemble parfois à un simple problème : un poste qui ralentit, un accès refusé, des fichiers qui ne s’ouvrent plus, un site qui devient inaccessible. Puis, en quelques minutes, le doute disparaît. Un message de rançon s’affiche. Des utilisateurs remontent le même symptôme. Un compte agit bizarrement. Et à cet instant, le vrai danger n’est pas seulement l’attaque elle-même : c’est l’improvisation.
Dans une PME, les dix premières minutes font souvent toute la différence. Elles ne servent pas à tout résoudre. Elles servent à éviter les mauvaises décisions, à préserver les traces utiles et à empêcher qu’un incident limité ne s’étende au reste de l’entreprise.
Voici le plan d’action le plus utile à suivre immédiatement.
Minute 0 à 2 : ne pas aggraver la situation
Le premier réflexe doit être de geler, pas de réparer.
Il ne faut pas redémarrer le poste “pour voir si ça repart”. Il ne faut pas non plus fermer dans la panique les fenêtres suspectes, lancer dix outils au hasard ou tenter une restauration immédiate.
Les bons réflexes sont beaucoup plus simples :
- laisser la machine allumée ;
- couper le réseau si le poste paraît compromis ;
- photographier l’écran si un message suspect apparaît ;
- noter l’heure exacte et ce qui a été observé.
Le but n’est pas encore d’analyser en profondeur.
Le but est d’éviter de perdre les premiers indices.
Minute 3 à 5 : alerter au bon endroit
Un incident mal remonté fait perdre un temps précieux.
Il faut donc prévenir tout de suite le bon interlocuteur : référent sécurité, responsable IT, prestataire, SOC ou personne désignée. L’important est que tout le monde ne commence pas à agir chacun dans son coin.
Le plus utile est de centraliser :
- qui a vu quoi ;
- sur quel poste ;
- à quelle heure ;
- avec quels symptômes.
À ce stade, il vaut mieux un canal unique et clair qu’une multiplication de messages dispersés.
Minute 5 à 7 : comprendre si le problème est isolé ou plus large
C’est le moment de répondre à quelques questions simples :
- un seul poste est-il touché ou plusieurs ?
- la messagerie, les serveurs ou les sauvegardes semblent-ils concernés ?
- un service métier important est-il déjà perturbé ?
- le problème progresse-t-il ou reste-t-il local ?
Il ne s’agit pas encore d’une investigation complète.
Il s’agit de savoir si l’entreprise fait face à un incident limité… ou au début d’une propagation.
Minute 7 à 9 : isoler proprement
Si l’attaque semble en cours, l’isolation devient prioritaire.
Cela peut vouloir dire :
- couper l’accès Internet d’un périmètre précis ;
- isoler un poste ou un segment ;
- empêcher les échanges inutiles entre machines ;
- éviter tout partage, copie ou clé USB entre équipements ;
- vérifier que les sauvegardes restent bien protégées et non exposées.
Une bonne isolation vaut toujours mieux qu’une réaction précipitée mal ciblée.
Minute 10 : passer en mode réponse à incident
À partir de là, l’entreprise doit sortir de la logique du “dépannage” et entrer dans la logique de réponse à incident.
Concrètement, cela signifie :
- ouvrir officiellement l’incident ;
- noter les premières actions réalisées ;
- définir qui pilote ;
- protéger les preuves utiles ;
- informer la direction si nécessaire ;
- préparer la suite si des données sensibles sont potentiellement concernées.
Un incident bien documenté se gère mieux.
Un incident mal documenté laisse souvent derrière lui du flou, des erreurs et des angles morts.
La checklist simple à garder sous la main
| Étape | Action | Délai utile |
| 1 | Isoler le poste ou le périmètre suspect | immédiat |
| 2 | Prévenir le référent ou le prestataire | dans les premières minutes |
| 3 | Capturer les éléments visibles | très rapidement |
| 4 | Vérifier si d’autres systèmes sont touchés | dans la foulée |
| 5 | Ouvrir la réponse à incident et tracer les actions | dès confirmation du doute |
Les erreurs les plus coûteuses
Dans les premiers instants, certaines erreurs reviennent souvent.
La première consiste à vouloir “réparer vite” sans comprendre.
La deuxième, à supprimer des fichiers ou à redémarrer sans réflexion.
La troisième, à communiquer trop tôt ou trop largement sans validation.
La quatrième, à minimiser le problème et attendre.
Dans beaucoup de cas, ce ne sont pas les premières secondes de l’attaque qui aggravent la crise. Ce sont les premières mauvaises décisions.
Ce qu’une PME peut préparer avant l’incident
Il n’est pas nécessaire d’avoir un dispositif lourd pour être mieux prêt.
Quelques éléments simples changent déjà beaucoup de choses :
- un référent clairement identifié ;
- un canal d’alerte défini à l’avance ;
- une procédure d’escalade courte ;
- un inventaire minimum des actifs critiques ;
- des sauvegardes testées ;
- un exercice de simulation de temps en temps.
Le plus important n’est pas d’avoir un classeur parfait.
C’est de savoir quoi faire sans perdre dix minutes à décider qui appelle qui.
Après l’incident : le réflexe que beaucoup oublient
Une fois l’urgence passée, le travail n’est pas terminé.
Il faut revenir sur ce qui s’est passé :
- ce qui a été bien détecté ;
- ce qui a été mal compris ;
- ce qui a manqué ;
- ce qui a ralenti la réaction ;
- ce qu’il faut corriger pour la prochaine fois.
Un incident qui n’est pas relu devient souvent un incident prêt à revenir autrement.
Conclusion
Les dix premières minutes d’un incident ne servent pas à tout résoudre.
Elles servent à garder le contrôle.
Une entreprise qui sait isoler, alerter, documenter et éviter les gestes inutiles réduit déjà énormément le risque d’escalade. À l’inverse, une entreprise qui improvise trop tôt transforme parfois un incident gérable en crise plus coûteuse qu’elle ne devrait l’être.
La vraie préparation commence donc avant l’attaque.
Parce qu’au moment où quelque chose bascule, il est déjà trop tard pour inventer la méthode.
