La première étape consiste à isoler immédiatement l'équipement ou le système touché :
- Couper l'accès à l'internet
- Retirer du réseau interne
- Désactiver le Wi-Fi ou le Bluetooth si nécessaire
Il est important de ne pas redémarrer la machine ni de supprimer les fichiers, car cela pourrait effacer des indices précieux.
Ensuite, il faut alerter le référent sécurité ou le responsable informatique, ou à défaut la direction. Toute suspicion doit être traitée avec sérieux, même si l'impact semble minime. Plus l'incident est remonté tôt, plus les experts peuvent intervenir rapidement.
Il est essentiel de documenter l'incident : captures d'écran, messages suspects, journaux système, comportements inhabituels… Ces éléments seront utiles à l'analyse technique. Un formulaire de signalement est disponible sur le site de l'ANSSI, permettant une transmission encadrée et confidentielle.
Une fois l'incident circonscrit, il faut sécuriser les accès (modification des mots de passe, vérification des connexions, restauration des sauvegardes) et mener un diagnostic approfondi.
L'ANSSI peut fournir un accompagnement technique ou stratégique aux structures concernées. La prévention passe aussi par la mise en place en amont d'un plan de gestion de crise cyber, incluant des procédures internes claires, des rôles définis et des moyens de communication sécurisés.
