Une cyberattaque représente un moment critique pour une organisation.
Qu’elle prenne la forme d’un ransomware, d’un vol de données, d’une compromission cloud ou d’une intrusion réseau, la rapidité et la qualité de la réponse conditionnent la gravité finale.

Voici un plan d’action en 20 étapes, basé sur les bonnes pratiques 2026, les retours d’expérience d’incidents réels, et l’expertise opérationnelle de Froggy Network et de Cyberenity.

Phase 1 — Stabiliser la situation (urgence absolue)

1. Isoler immédiatement les systèmes touchés

Déconnecter les machines compromises du réseau, couper le Wi-Fi, retirer le câble Ethernet.
➡️ Empêche l’attaquant de continuer la propagation.

2. Bloquer la propagation sur l’ensemble du réseau

Segmentation rapide, coupure de VLANs, coupure d’accès latéraux.
➡️ Une infection isolée coûte 100× moins qu'une infection globale.

Solution proposée chez Froggy : Clavister permet d’appliquer rapidement des règles de filtrage d’urgence, de fermer des VLAN, de verrouiller des zones sensibles et de couper des communications latérales.

3. Préserver les preuves techniques

Ne surtout pas redémarrer les machines compromises.
Ne pas supprimer les fichiers suspects.
➡️ Ces preuves serviront lors de l’investigation et du dépôt de plainte.

4. Évaluer rapidement l’étendue de l’incident

Quelles machines ?
Quels serveurs ?
Quelles données ?
Accès cloud compromis ?
➡️ L’objectif est d’avoir une première cartographie de la zone d’impact.

Phase 2 — Activer la cellule de crise

5. Constituer l’équipe décisionnaire

DSI, direction, RSSI (si existant), responsable juridique, communication.
➡️ Chacun doit connaître ses responsabilités.

6. Établir un canal de communication sécurisé

Ne pas utiliser les systèmes internes potentiellement compromis.
➡️ Utiliser un canal externe (téléphone, WhatsApp, SIM dédiée).

7. Communiquer auprès des collaborateurs

Message clair :

• l’entreprise est en gestion de crise,

• ne touchez à rien,

• ne redémarrez rien,

• ne transmettez aucune donnée sensible.

8. Déterminer si l’activité doit être interrompue

Mode dégradé ?  Maintien partiel ? Coupure totale ?
➡️ Un mauvais arbitrage peut aggraver la situation.

9. Notifier les tiers concernés (si nécessaire)

Une cyberattaque peut entraîner des obligations légales immédiates.

a) Notification CNIL

Si des données personnelles ont été compromises (clients, employés, partenaires), l’entreprise doit :

• notifier la CNIL dans les 72h,

• évaluer la sensibilité des données volées,

• informer les personnes concernées si risque élevé.

b) Notification ANSSI

L’ANSSI doit être informée si :

• l’entreprise fait partie d’un secteur vital (OIV, OSE, secteur sensible),

• l’attaque compromet des services critiques,

• ou si l’entreprise souhaite un appui technique.

Phase 3 — Analyser & comprendre l’attaque

10. Identifier le point d’entrée

Phishing, mot de passe compromis, vulnérabilité non corrigée, RDP exposé, malware…
➡️ On ne peut corriger que ce qu’on comprend.

Solutions proposées chez Froggy :

• Virtual Browser : utile pour les attaques provenant de la navigation (phishing, malversation web).

• Panop : révèle les vulnérabilités que l’attaquant a pu exploiter (ex : CVE non corrigée, version obsolète, faille critique).

• Vaadata (pentests manuels) : permet de confirmer si la compromission vient d’une faille humaine ou structurelle qui n’aurait pas été détectée par les scans automatisés.

11. Analyser le comportement de l’attaque

Quel type d’attaque ?

• Mouvement latéral

• Exfiltration de données

• Déploiement de ransomware

• Actions persistantes

➡️ Permet de savoir si l’attaquant est toujours actif.

12. Vérifier l’intégrité des systèmes non touchés

Même si un serveur ne semble pas compromis, il faut valider qu’il est sain.
➡️ L’attaque peut être latente.

Solutions proposées chez Froggy :

• EDR/MDR : détecte les processus cachés, actions persistantes, mouvements latéraux et comportements anormaux qui indiquent une potentielle compromission silencieuse.

• SOC Cyberenity : peut analyser les logs historiques, corréler les événements et confirmer si certains postes "non touchés" sont réellement sains.

Phase 4 — Contenir & neutraliser

13. Éradiquer le malware ou la porte d’entrée

Suppression du code malveillant, nettoyage, suppression de comptes introduits par l’attaquant.
➡️ Ne se fait qu’après analyse complète.

14. Changer et durcir tous les accès

Mots de passe, tokens API, accès VPN, comptes à privilèges.
➡️ L'attaquant peut encore utiliser d’anciens accès volés.

15. Corriger les vulnérabilités exploitées

Mettre à jour les systèmes, patcher les failles, fermer les ports inutiles.
➡️ C’est ici que les audits et outils de gestion des failles sont utiles.

Solutions proposées par Froggy : 

• Panop : après correction, permet de vérifier objectivement que la faille est bien supprimée et que d’autres vulnérabilités critiques ne sont pas présentes.

• Vaadata : après crise, un pentest manuel permet de valider que le SI est réellement étanche et qu’il n’existe plus de “fausses routes” laissées par l’attaquant.

Phase 5 — Restaurer & redémarrer l’activité

16. Restaurer les systèmes critiques à partir des sauvegardes

Utiliser uniquement des sauvegardes pré-attaque.
➡️ Les sauvegardes récentes peuvent être contaminées.

Solutions proposées par Froggy : 

• Stockage S3 immuable : les sauvegardes ne peuvent pas être modifiées ou supprimées, même par un attaquant avec un compte administrateur volé.

• Veeam sur IaaS souverain : permet une restauration propre et rapide dans un environnement isolé, idéal si les systèmes de production sont fortement compromis.

17. Redémarrer progressivement (pas tout d’un coup)

On remonte les services un par un pour :

• vérifier qu’ils sont propres,

• vérifier qu’ils ne retombent pas,

• vérifier que l’attaquant n’est plus là.

18. Surveiller l’environnement après remise en ligne

Monitoring renforcé pendant plusieurs jours :

• connexions suspectes

• processus inconnus

• comportements anormaux
  ➡️ Le vrai danger, c’est le retour d’un attaquant déjà entré.
  
  

Solutions proposées par Froggy : 

SOC Cyberenity : augmente la surveillance pendant les 7–30 jours suivant la remise en production, afin de repérer tout signe d’un retour de l’attaquant ou d’un outil dormant.

Phase 6 — Sécuriser l’avenir (post-incident obligatoire)

19. Documenter l’attaque et les actions réalisées

Heures, actions, causes, conséquences, décisions prises.
➡️ Sert au juridique, au management, et au retour d’expérience.

20. Renforcer durablement la posture de sécurité

• Revue des accès

• Segmentation réseau

• Durcissement du cloud

• Mise en place de politiques plus strictes

• Formation continue des équipes

➡️ L’objectif : empêcher la répétition.
… (solutions possibles à intégrer : Clavister, Virtual Browser, Panop, Vaadata, SOC Cyberenity, BullWall)

Conclusion : une cyberattaque n’est pas une fatalité si la réaction est structurée

La gestion de crise cyber nécessite :
✔ méthode
✔ sang-froid
✔ décisions rapides
✔ compétences techniques
✔ vérification post-incident

Ce plan en 20 étapes donne une base robuste pour reprendre le contrôle, limiter l’impact et restaurer l’activité.

Et lorsqu’une entreprise souhaite être accompagnée dans l’analyse, la réaction ou la sécurisation post-incident, les équipes Cyberenity (Froggy Network) peuvent intervenir en soutien opérationnel.