Plan de réponse à incident : 72 heures pour contenir un ransomware

Entre le premier voyant rouge et la reprise d’activité, l’horloge tourne : clients, autorités et partenaires exigent un pilotage exemplaire.

Ce guide décortique les 72 premières heures d’un incident majeur (ransomware, double extorsion, compromission d’accès) : gouvernance, chronologie heure par heure, livrables à produire, points de contact CNIL/ACPR, articulation avec l’assurance cyber et la RC Pro.

Pourquoi 72 heures sont décisives

Les études CESIN, Hiscox et Coveware convergent : plus de 70 % des rançongiciels sont détectés par un utilisateur final, alors que l’attaquant est présent dans le SI depuis plusieurs jours. Lorsque l’alerte remonte, l’objectif devient triple :

Les premières 72 heures concentrent : la qualification de l’incident, l’activation de la cellule de crise, la décision de payer ou non une rançon, la notification potentielle à la CNIL et, pour les entités régulées, la préparation du reporting à l’ACPR/AMF ou aux superviseurs européens.

Sans protocole écrit, la surcharge cognitive mène à des erreurs coûteuses : suppression de preuves, communications contradictoires, délais non respectés, perte de franchise assurance.

Chronologie des 72 premières heures

Phase 0-4 heures : détection et gel

  • • Confirmer l’incident et passer en mode “major incident”.
  • • Isoler les systèmes touchés (segmenter réseau, couper accès VPN, désactiver comptes suspects).
  • • Désigner un Incident Commander (souvent RSSI ou DSI) et un coordinateur communication.
  • • Activer la hotline de l’assureur cyber et le prestataire forensic référencé.
  • • Figé des journaux et captures mémoire (conformément au guide ANSSI/CLUSIF).

Phase 4-24 heures : cellule de crise

  • • Réunion “war room” (DSI, RSSI, juridique, communication, DG, assurance).
  • • Cartographier l’étendue : systèmes chiffrés, données exfiltrées, sauvegardes intègres.
  • • Évaluer la qualification RGPD (données personnelles, catégories sensibles).
  • • Préparer la communication interne (FAQ employés, consignes usage poste).
  • • Informer les partenaires critiques selon les clauses contractuelles (hébergeur, infogérant, clients grands comptes).

Phase 24-48 heures : décision & communication

  • • Arbitrer la stratégie : restauration depuis sauvegarde vs négociation/rançon.
  • • Préparer le dossier de notification CNIL (au besoin) et le reporting assureur.
  • • Élaborer les scripts communication clients/fournisseurs et éléments de langage presse.
  • • Définir le plan de reprise temporaire (MVP, mode manuel, sous-traitance).
  • • Lancer des tests de restauration sur un environnement isolé.

Phase 48-72 heures : officiel et reprise

  • • Émettre le communiqué initial (site web, email, réseaux sociaux si nécessaire).
  • • Notifier CNIL (sous 72 h) et autorités sectorielles (ACPR/AMF pour entités régulées).
  • • Formaliser les comptes rendus pour le conseil d’administration / COMEX.
  • • Lancer la restauration progressive et la validation fonctionnelle.
  • • Programmer le retour d’expérience (RETEX) et la mise à jour des plans.

Rôles clés et livrables attendus

Management & Risk

  • • Décision sur la continuité d’activité et le recours à la rançon.
  • • Validation des communications externes.
  • • Arbitrage budgétaire pour les prestataires d’urgence.
  • Livrable : compte rendu de cellule de crise + note au conseil.

IT / Cyber

  • • Isolement, collecte preuves, analyse cause racine.
  • • Tests de restauration, sécurisation des sauvegardes.
  • • Coordination avec le SOC / prestataire forensic.
  • Livrable : journal d’incident technique + plan de remédiation.

Juridique / Communication

  • • Qualification RGPD / DORA / obligations contractuelles.
  • • Rédaction des notifications (CNIL, clients, autorités).
  • • Pilotage communication externe et relation presse.
  • Livrable : paquet de communication + preuves de notification.

Coordination RGPD, ACPR/AMF et DORA

Un incident majeur cyber déclenche une chaîne de notifications. Voici les principaux jalons :

Préparez des gabarits (templates) pour chaque canal afin de gagner du temps. L’assurance cyber finance généralement la revue juridique et la diffusion multicanale.

Comment l’assurance cyber soutient les 72 heures critiques

Assistance immédiate

Hotline 24/7, forensic, négociateurs et experts communication financés par l’assureur, sans avance de trésorerie.

Prise en charge financière

Frais techniques, perte d’exploitation, rançon (selon légalité), frais supplémentaires, sanctions administratives si assurables.

Reporting assuré

Accompagnement sur la documentation exigée par CNIL/ACPR et sur les livrables pour préserver la garantie (journaux, factures, procès-verbaux).

À condition d’avoir souscrit la police adéquate et de respecter les conditions (MFA, PRA testé, procédures écrites). D’où l’importance d’un alignement prévention/assurance en amont.

Checklist “avant incident”

  • • Plan de réponse validé par la direction, rôles et suppléants désignés.
  • • Contact assurance + prestataire forensic affiché dans la salle de crise.
  • • Procédures de sauvegarde testées (restauration dans un bac à sable).
  • • Template de communication interne / externe pré-rédigé.
  • • Conventions de preuve et politique de journalisation à jour.

Checklist “pendant incident”

  • • Journal des décisions (heure, participants, justification).
  • • Inventaire des systèmes impactés vs systèmes critiques intacts.
  • • Référentiel de preuves collectées (hash, responsables, stockage).
  • • Points de communication horaires (dirigeants, équipes, partenaires).
  • • Mise à jour du tableau de bord assurance (frais engagés, actions réalisées).

Structurons votre plan réponse à incident & votre couverture

Diagnostic flash, rédaction du playbook 72 heures, mise en conformité assurance et exercice grandeur nature : accélérons votre résilience.

Programmer un atelier