Incident 10 min de lecture

Que faire après une cyberattaque ? Plan d'action PME suisse

Une cyberattaque dans une PME, ce n'est presque jamais le film qu'on s'imagine. Pas d'écran rouge, pas de compte à rebours. Plutôt un comptable qui ne peut plus ouvrir ses fichiers, un client qui appelle pour signaler une facture étrange, une employée qui dit "mon mot de passe ne marche plus".

Les 72 premières heures décident très souvent du coût final. Ce plan d'action suit l'ordre que j'applique dans les interventions réelles avec mes clients. Il est volontairement orienté PME suisse : structure de 5 à 50 personnes, équipe IT légère ou externalisée, pas de SOC interne.

Avertissement : ce plan ne remplace pas l'intervention d'un professionnel. Si vous êtes en train de subir une attaque maintenant, appelez quelqu'un. Ne lisez pas un article.

Heure 0 à 1 — Endiguer

L'objectif de cette première heure n'est pas de comprendre, c'est d'arrêter l'hémorragie. Trop d'entreprises perdent un temps précieux à débattre de la nature de l'incident pendant que l'attaquant continue son travail.

Actions immédiates :

  • Isoler les machines suspectes : couper le Wi-Fi, débrancher les câbles réseau. Ne pas éteindre — la mémoire vive est précieuse pour l'analyse.
  • Suspendre les comptes utilisateurs visiblement compromis dans Microsoft 365 (révocation des sessions actives).
  • Couper les accès distants (VPN, RDP) le temps de comprendre.
  • Conserver les traces : ne pas supprimer d'email suspect, ne pas vider la corbeille.
  • Documenter en temps réel : qui a fait quoi, à quelle heure. Un simple bloc-notes suffit.

Si vous avez une cyber-assurance, c'est aussi à ce stade qu'il faut composer le numéro d'urgence figurant dans votre contrat. La plupart des assureurs imposent un partenaire de réponse à incident — autant l'enclencher vite.

Heure 1 à 6 — Évaluer le périmètre

Une fois l'endiguement initial fait, il faut comprendre l'étendue. Trois questions guident cette phase :

  1. Quels comptes sont compromis ? Consultez les journaux de connexion Microsoft 365 sur les 30 derniers jours. Cherchez les connexions depuis des pays inhabituels, les pics nocturnes, les agents utilisateurs étranges.
  2. Quelles données ont pu être exfiltrées ? Cherchez les téléchargements massifs depuis SharePoint/OneDrive, les règles de transfert d'emails, les exports inhabituels.
  3. L'attaquant est-il toujours présent ? Tant que la réponse n'est pas un "non" documenté, on considère que oui.

C'est aussi le moment de geler les opérations financières sensibles : suspendre les paiements sortants jusqu'à validation manuelle multi-personnes. C'est dans cette fenêtre que les attaquants tentent les fraudes au virement.

Heure 6 à 24 — Communiquer

La communication d'incident est un sujet à part entière. Quelques principes pratiques :

En interne :

  • Informer la direction dans l'heure qui suit la détection. Pas l'inverse.
  • Donner aux collaborateurs un message court : ce qui s'est passé, ce qu'on fait, ce qu'on attend d'eux.
  • Désigner une personne qui parle à l'extérieur. Une seule.

Vers les autorités suisses :

  • Signalement à l'OFCS (Office fédéral de la cybersécurité, ex-NCSC) : non obligatoire pour la plupart des PME, mais utile et rapide via le formulaire en ligne.
  • Si des données personnelles sont concernées et qu'un risque pour les personnes existe : notification au PFPDT (Préposé fédéral à la protection des données) — à traiter dans la phase suivante.
  • Dépôt de plainte pénale : à envisager via la police cantonale, surtout si fraude au virement.

Vers les clients / partenaires :

  • Si la compromission d'une boîte mail a pu envoyer des messages frauduleux à des contacts, prévenir activement et clairement.
  • Ton factuel, pas d'embellissement. La transparence est ce qui sauve la relation client après un incident, pas l'inverse.

Jour 1 à 3 — Notifications légales et restauration

Sous la nouvelle Loi suisse sur la protection des données (nLPD, en vigueur depuis septembre 2023), les responsables de traitement doivent notifier au PFPDT les violations de données personnelles susceptibles d'entraîner un risque élevé pour les personnes concernées, dans les meilleurs délais.

Concrètement, pour une PME :

  • Si vous avez une preuve raisonnable qu'un attaquant a accédé à des données personnelles (clients, employés, prospects) et que ces données sont sensibles (financières, santé, identité), la notification est attendue.
  • Le PFPDT met à disposition un formulaire de notification en ligne. Le remplir ne déclenche pas automatiquement une sanction — l'absence de notification, oui.
  • Si vous traitez aussi des données de résidents de l'UE, le RGPD impose une notification à l'autorité compétente sous 72 heures.

Restauration technique en parallèle :

  • Réinitialiser tous les mots de passe utilisateurs et administrateurs. Pas seulement ceux qui semblent compromis.
  • Vérifier qu'aucune règle de transfert ou délégation de boîte mail n'a été créée par l'attaquant.
  • Restaurer depuis une sauvegarde antérieure à la compromission, jamais sans validation.
  • Reformater les machines compromises plutôt que de "nettoyer". C'est plus rapide et plus sûr.

Erreurs fréquentes à éviter

  • Tout éteindre tout de suite. Vous perdez les traces volatiles indispensables à l'analyse.
  • Payer une rançon sans avoir évalué les sauvegardes. Souvent inutile et toujours risqué.
  • Cacher l'incident en interne. Les collaborateurs comprennent toujours ce qui se passe. L'opacité crée la défiance, pas la confiance.
  • Communiquer trop tôt vers l'extérieur. Annoncer dans les heures qui suivent quelque chose qu'on rétractera dans la semaine.
  • Réutiliser les machines compromises sans reformatage complet. L'attaquant a souvent laissé un accès persistant.
  • Ne rien documenter. Sans timeline écrite, vous perdez les leçons et vous pénalisez votre assureur.

Préparation préventive : ce qu'il faut avoir avant

Le moment où on construit son plan de réponse, ce n'est pas pendant l'incident. C'est avant. Pour une PME suisse, un plan minimal tient sur deux pages A4 et contient :

  • Une liste de contacts d'urgence (IT interne, IT externe, assureur, juriste, autorité, communication).
  • Une procédure d'isolement réseau réalisable par n'importe qui sur place.
  • Une liste des données les plus critiques et de leurs sauvegardes (où, comment, par qui restaurées).
  • Un modèle de communication interne et externe pré-rédigé.
  • Les identifiants d'accès aux services critiques stockés dans un coffre-fort indépendant du tenant principal.

Ce travail prend une journée. Il est infiniment moins cher que de l'improviser à 22 h un vendredi.

En résumé

Les trois choses qui font la différence dans une réponse d'incident PME :

  1. La rapidité de l'endiguement initial (la première heure compte triple).
  2. La rigueur de la documentation au fur et à mesure.
  3. La transparence de la communication, en interne comme en externe.

Aucun de ces trois éléments ne s'improvise. Le Cap Sécurité est exactement ce qui vous permet de cartographier vos risques et de poser un plan de réponse avant l'incident.

Préparer votre PME avant l'incident

Le Cap Sécurité livre un diagnostic complet, une feuille de route à 12 mois et un plan de réponse d'incident. Forfait 900 CHF.

CyberSuisse logo
Modesto CybersécuritéCybersécurité PME · Suisse
Biel/Bienne, Suisse
078 208 95 45[email protected]

Navigation

Prestations

© 2025 CyberSuisse — Luís Modesto / Consultant indépendant en cybersécurité / Biel/Bienne, Suisse