Isoler, ne pas éteindre
Déconnectez les systèmes touchés du réseau (câble, Wi-Fi, segmentation) sans les éteindre : la mémoire volatile contient des preuves sur l'attaquant et sur ce qui a été touché.
Une entreprise touchée dispose de peu de temps et de décisions irréversibles à prendre. La règle d'or : isoler sans éteindre, ne pas payer sous le coup de l'impulsion, activer la réponse à incident. Le SOC européen Fortgale appuie la réponse 24·7·365, de la containment aux notifications.
Les actions qui réduisent les dommages et préservent les preuves nécessaires pour comprendre ce qui s'est passé et ce qui a été exfiltré.
Déconnectez les systèmes touchés du réseau (câble, Wi-Fi, segmentation) sans les éteindre : la mémoire volatile contient des preuves sur l'attaquant et sur ce qui a été touché.
Appelez l'équipe IR : containment, éradication, reconstitution de la chaîne d'attaque. Le SOC européen Fortgale est opérationnel 24·7·365, containment médiane <30 min.
Vérifiez les sauvegardes intactes et isolées avant d'envisager tout paiement. Un déchiffreur gratuit existe souvent déjà (No More Ransom). Payer ne garantit ni les données ni le silence.
Le paiement ne garantit pas la récupération, ne garantit pas la suppression des copies exfiltrées, finance l'écosystème criminel et peut créer une exposition réglementaire. D'abord : sauvegardes, déchiffreur, réponse à incident.
Un cas de ransomware avec exfiltration de données personnelles déclenche les deux notifications. Ce sont des procédures différentes, avec des autorités et des délais différents.
Pour les entités essentielles et importantes : alerte précoce 24 heures, notification 72 heures, rapport final 30 jours. Voir NIS2 expliquée.
Si des données personnelles sont en jeu : notification sous 72 heures (art. 33) et communication aux personnes si le risque est élevé. Voir notification de violation de données.
Établir quelles données ont réellement été exfiltrées et collecter les preuves qu'exigent les notifications : le volet technique de la digital forensics dans la réponse à incident.
Lors de l'Operation Storming Tide, l'équipe Fortgale a contenu une intrusion multi-étapes (acteur Mora_001, chaîne Matanbuchus 3.0 → Astarion → SystemBC) : exfiltration RClone et ransomware empêchés par la containment.
Lire l'analyse →Payer ne garantit pas la récupération des données ni la suppression des copies exfiltrées, finance le groupe criminel et peut constituer un manquement. D'abord : isoler, évaluer les sauvegardes, activer la réponse à incident. Parfois le déchiffreur est déjà gratuit sur No More Ransom.
Non. Isolez-les du réseau sans les éteindre : l'extinction détruit les preuves en mémoire (RAM) nécessaires pour reconstituer l'attaque et comprendre quelles données ont été exfiltrées.
La direction et l'informatique en interne. En externe : CSIRT national sous 24h si vous êtes une entité NIS2, et l'autorité de contrôle sous 72h si des données personnelles sont en jeu. Ce sont des notifications distinctes : voir NIS2 expliquée et notification de violation de données.
Souvent oui, avec des sauvegardes intactes et isolées ou un déchiffreur gratuit lorsqu'il existe. L'équipe IR vérifie d'abord que les attaquants ont été éradiqués, pour éviter un nouveau chiffrement après restauration.
L'équipe IR Fortgale est opérationnelle 24·7·365 avec un SOC européen : appui immédiat dès l'appel, containment médiane <30 min, appui à la notification au CSIRT et collecte des preuves pour l'autorité de contrôle.
Cette page explique quoi faire. Les deux étapes opérationnelles : activer l'intervention si l'attaque est en cours, construire le dispositif pour que cela ne se reproduise pas.
Hotline IR 24·7·365 : réponse opérationnelle en 30 min, containment médian <30 min, appui à la notification CSIRT sous 24h NIS2.
Activer l'urgence →Le SOC européen intercepte l'attaquant dans les quatre premières phases, pendant les 21 jours de dwell time, avant qu'il ne touche données ou sauvegardes.
Découvrir la protection →Surveillance, triage et réponse continus sur les groupes ransomware actifs en Europe. Le dispositif qui rend l'incident rare.
Découvrir le SOC →Si l'attaque est en cours, appelez la hotline IR. Si vous voulez vous préparer, parlez à nos analystes : containment, runbooks et appui aux notifications, avec un SOC européen dans votre fuseau horaire.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.