Aller au contenu principal
Cybersécurité

Piratage d'entreprise : qui contacter, par où commencer (guide urgence 2026)

Stéphane Degouve9 juillet 2026

# Piratage d'entreprise : qui contacter, par où commencer

Vous découvrez un lundi matin que votre système d'information est compromis. Un email étrange, des fichiers chiffrés, un poste qui affiche une note de rançon, un compte email admin qui a envoyé des messages pendant la nuit. Que faire dans les premières minutes, et surtout : qui contacter ?

Ce guide chronologique s'adresse aux dirigeants et responsables IT de PME. Il détaille les cinq acteurs clés à mobiliser dans les 24 premières heures, dans quel ordre, avec quels délais légaux, et comment éviter les erreurs qui aggravent l'incident.

TL;DR — l'essentiel en 60 secondes

  • Ne pas éteindre les postes compromis (la RAM est utile au forensic — juste couper le réseau)
  • Contacter votre prestataire cybersécurité ou CSIRT dans l'heure
  • Cybermalveillance.gouv.fr oriente vers un prestataire référencé en moins de 4h si vous n'en avez pas
  • Notifier la CNIL sous 72h si données personnelles concernées (article 33 RGPD)
  • Déposer plainte sous 72h — condition contractuelle assurance cyber (loi LOPMI)
  • Ne pas payer la rançon avant validation assureur + prestataire + dépôt de plainte

Chronologie — les 24 premières heures

H+0 à H+1 : constat et isolation

Constat. Un signal alerte : email étrange, alerte EDR, mail rebond en masse, factures fournisseurs modifiées, poste qui affiche note de rançon. Ne pas paniquer, ne rien effacer.

Isolation immédiate :

  • Débrancher physiquement le câble réseau des postes suspects (ou couper WiFi pour les portables)
  • NE PAS ÉTEINDRE les machines — la RAM contient des indices essentiels pour le forensic (clés de chiffrement, processus actifs, connexions réseau ouvertes)
  • Photographier les écrans qui affichent des messages (rançon, alertes)
  • Noter l'heure exacte de la découverte et des symptômes observés

Cellule de crise interne — mobiliser immédiatement :

  • Direction générale (dirigeant)
  • DSI ou responsable informatique
  • DPO (Délégué à la Protection des Données)
  • RH (si intrusion peut concerner les paies ou données salariés)
  • Communication (préparer, ne pas diffuser sans concertation)

Ne rien communiquer publiquement avant analyse. Un message maladroit sur les réseaux peut inquiéter les clients avant même de confirmer l'incident.

H+1 à H+4 : contact des experts techniques

Prestataire cybersécurité / CSIRT — c'est votre premier appel externe.

Si vous avez un contrat avec un prestataire cyber (SOC managé, MDR, hotline incidents) : appelez le numéro d'urgence contractuel. Un CSIRT professionnel prend en charge la crise dans les 30 minutes.

Si vous n'avez pas de prestataire cyber, contactez [Cybermalveillance.gouv.fr](https://www.cybermalveillance.gouv.fr/) immédiatement. Le dispositif national d'assistance aux victimes de cyberattaques (GIP ACYMA) oriente sous 4 heures vers un prestataire référencé dans votre région, avec devis encadré et engagement de délai.

Assureur cyber — deuxième appel externe.

La plupart des polices cyber imposent une notification sous 24h avec obligation de mobiliser la cellule de crise agréée par l'assureur. Ne mobilisez pas d'expert externe sans validation préalable, sinon les frais peuvent être exclus.

Vérifiez également les clauses concernant :

  • Frais de forensic (souvent 5 000 à 30 000 €)
  • Frais de restauration système
  • Perte d'exploitation (nombre de jours couverts)
  • Rançon (couverture sous conditions LOPMI strictes)

Hébergeur cloud — si des ressources cloud sont impactées (Microsoft 365, Google Workspace, AWS, OVHcloud) : notifiez leur service de sécurité. Ils peuvent bloquer les accès compromis en central, préserver les logs, et fournir des données forensic précieuses.

H+4 à H+24 : notifications légales et contact autorités

CNIL — notification sous 72 heures (article 33 RGPD).

Obligatoire dès qu'une violation de données personnelles présente un risque pour les personnes concernées. Notification via notifications.cnil.fr. Formulaire structuré en 5 sections. Ne pas notifier = amende jusqu'à 4 % du CA mondial, souvent plus sévère que la fuite elle-même.

> 💡 En cas de doute sur la nature des données concernées, notifier. La CNIL est plus sévère sur le défaut de notification que sur une notification prudente qui s'avère finalement non requise.

Dépôt de plainte — commissariat, brigade cybercriminalité, ou gendarmerie.

Deux voies :

  • Commissariat / gendarmerie du siège social — dépôt papier classique
  • [THESEE](https://www.service-public.fr/particuliers/vosdroits/R57712) — plateforme officielle de dépôt de plainte en ligne pour cybercriminalité (particuliers, mais utile pour référencement)

La plainte est indispensable pour : - Ouvrir un dossier pénal (identification des auteurs) - Déclencher la couverture assurance cyber (condition LOPMI depuis 2023) - Documenter votre bonne foi en cas de contrôle CNIL ultérieur

CSIRT-FR / ANSSI — si vous êtes une entité NIS2 (essentielle ou importante).

La directive NIS2 impose une notification d'incident significatif sous 24 heures au CSIRT-FR (ou à l'ANSSI selon le secteur), suivie d'un rapport intermédiaire à 72h et d'un rapport final à 30 jours.

Clients et fournisseurs impactés — communication maîtrisée par la cellule de crise.

Ne pas communiquer à chaud sur les réseaux sociaux. Préparer un message calibré : - Ce qui s'est passé (factuel, sans dramatiser) - Ce qui est impacté / non impacté - Ce qui est mis en place pour résoudre - Contact dédié pour questions - Prochaine communication planifiée

Erreurs à éviter absolument

1. Éteindre les machines compromises. Vous perdez la RAM et donc l'essentiel du forensic. Isolez du réseau, mais laissez allumé.

2. Nettoyer / réinstaller avant analyse. Si vous supprimez les traces avant que le forensic ait été fait, vous ne pourrez plus identifier le vecteur d'entrée, ni prouver quoi a été exfiltré. Impossibilité d'assurance, difficulté légale.

3. Communiquer publiquement dans les 4 premières heures. Trop tôt = trop d'incertitudes = risque de fake news. Attendez le premier rapport factuel du CSIRT.

4. Payer la rançon sans validation. Contre-productif dans 60 % des cas (voir notre guide décisionnel ransomware), et exclusion assurance si non validé au préalable.

5. Négocier avec les attaquants sans expert. La négociation ransomware est un métier. Sans négociateur professionnel (souvent inclus dans les contrats MDR), vous risquez d'aggraver la situation.

6. Oublier la CNIL sous 72h. L'oubli de notification est sanctionné plus sévèrement que l'incident lui-même. Notifier reste possible même si l'analyse est incomplète : une notification initiale minimale + complément à 30 jours est acceptée.

Se préparer à froid — plan de réponse à incident

La bonne gestion d'un incident se prépare avant qu'il arrive. Un plan de réponse à incident (IR plan) documente :

  • Les numéros d'urgence (prestataire cyber, assureur, hébergeur, avocat)
  • La composition de la cellule de crise et ses rôles
  • Les procédures d'isolation par type d'incident
  • Les modèles de communication (interne, clients, presse)
  • Le calendrier des notifications légales (CNIL, ANSSI, autorités sectorielles)
  • Les procédures de sauvegarde et restauration (RTO/RPO cibles)

L'ANSSI publie un guide gratuit de plan de réponse que vous pouvez adapter. La directive NIS2 rend ce plan obligatoire pour environ 10 000 PME françaises à partir d'octobre 2026.

NIS2 PME : les 10 mesures techniques à appliquer avant octobre 2026

Comment 1Acces vous accompagne

Avant l'incident — notre audit cybersécurité gratuit évalue votre exposition et documente votre plan de réponse en 30 minutes, sans engagement.

En cas d'incident — l'équipe 1A Response (CSIRT) intervient sous 30 minutes pour les clients Pack Pro et Sécurité Maximale. Détection sous 30 secondes, remédiation moyenne sous 15 minutes, pilotage de la cellule de crise, coordination avec CNIL / ANSSI / Cybermalveillance.gouv.fr.

Après l'incident — retour d'expérience documenté, mise à jour du plan de réponse, ajustement des règles de détection pour éviter la récurrence.

1Acces est en cours de référencement dans l'annuaire officiel des prestataires de Cybermalveillance.gouv.fr.

Conclusion — 5 acteurs, 5 délais à retenir

| Acteur | Délai | | --- | --- | | Prestataire cyber / CSIRT | Sous 1 heure | | Assureur cyber | Sous 24 heures | | CNIL (RGPD art. 33) | Sous 72 heures | | Dépôt de plainte (LOPMI) | Sous 72 heures | | CSIRT-FR / ANSSI (NIS2) | Sous 24 heures |

Le point commun de ces 5 délais : ils courent à partir de la découverte de l'incident, pas de son origine. Chaque heure qui passe rétrécit vos options, votre couverture assurance, votre marge légale.

---

Pour aller plus loin :

À lire aussi :

Pret a moderniser votre telephonie ?

Testez gratuitement nos solutions VoIP pendant 14 jours, sans engagement.