Guide d'urgence · Ransomware · IR 24·7·365

Attaque ransomware : que faire dans les premières minutes.

Une entreprise touchée dispose de peu de temps et de décisions irréversibles à prendre. La règle d'or : isoler sans éteindre, ne pas payer sous le coup de l'impulsion, activer la réponse à incident. Le SOC européen Fortgale appuie la réponse 24·7·365, de la containment aux notifications.

Ne pas payerLa rançon ne garantit rien
Isoler, pas éteindreLa RAM est une preuve
<30 minContainment IR médiane
Standards IR
ISO/IEC 27001
MITRE ATT&CK
NIST IR
Notifications
CSIRT national · NIS2
Autorité de contrôle · RGPD art. 33
No More Ransom
Les 60 premières minutes

Que faire maintenant, dans l'ordre.

Les actions qui réduisent les dommages et préservent les preuves nécessaires pour comprendre ce qui s'est passé et ce qui a été exfiltré.

01 ·

Isoler, ne pas éteindre

Déconnectez les systèmes touchés du réseau (câble, Wi-Fi, segmentation) sans les éteindre : la mémoire volatile contient des preuves sur l'attaquant et sur ce qui a été touché.

02 ·

Activer la réponse à incident

Appelez l'équipe IR : containment, éradication, reconstitution de la chaîne d'attaque. Le SOC européen Fortgale est opérationnel 24·7·365, containment médiane <30 min.

03 ·

Évaluer les sauvegardes, pas la rançon

Vérifiez les sauvegardes intactes et isolées avant d'envisager tout paiement. Un déchiffreur gratuit existe souvent déjà (No More Ransom). Payer ne garantit ni les données ni le silence.

La question décisive

Payer la rançon ? Presque jamais la bonne réponse.

Le paiement ne garantit pas la récupération, ne garantit pas la suppression des copies exfiltrées, finance l'écosystème criminel et peut créer une exposition réglementaire. D'abord : sauvegardes, déchiffreur, réponse à incident.

Après la containment · les notifications

Deux obligations distinctes, souvent ensemble.

Un cas de ransomware avec exfiltration de données personnelles déclenche les deux notifications. Ce sont des procédures différentes, avec des autorités et des délais différents.

NIS2 ·

Notification au CSIRT national

Pour les entités essentielles et importantes : alerte précoce 24 heures, notification 72 heures, rapport final 30 jours. Voir NIS2 expliquée.

RGPD ·

Notification à l'autorité de contrôle

Si des données personnelles sont en jeu : notification sous 72 heures (art. 33) et communication aux personnes si le risque est élevé. Voir notification de violation de données.

22Pays couverts
3Continents
287Outils et acteurs profilés
<30 minContainment médiane
24·7·365SOC européen
Cas réel · ransomware empêché

Lors de l'Operation Storming Tide, l'équipe Fortgale a contenu une intrusion multi-étapes (acteur Mora_001, chaîne Matanbuchus 3.0 → Astarion → SystemBC) : exfiltration RClone et ransomware empêchés par la containment.

Lire l'analyse →
FAQ · attaque ransomware

Les questions des moments critiques.

Dois-je payer la rançon ?

Payer ne garantit pas la récupération des données ni la suppression des copies exfiltrées, finance le groupe criminel et peut constituer un manquement. D'abord : isoler, évaluer les sauvegardes, activer la réponse à incident. Parfois le déchiffreur est déjà gratuit sur No More Ransom.

Dois-je éteindre les PC touchés ?

Non. Isolez-les du réseau sans les éteindre : l'extinction détruit les preuves en mémoire (RAM) nécessaires pour reconstituer l'attaque et comprendre quelles données ont été exfiltrées.

Qui dois-je notifier ?

La direction et l'informatique en interne. En externe : CSIRT national sous 24h si vous êtes une entité NIS2, et l'autorité de contrôle sous 72h si des données personnelles sont en jeu. Ce sont des notifications distinctes : voir NIS2 expliquée et notification de violation de données.

Puis-je récupérer les données sans payer ?

Souvent oui, avec des sauvegardes intactes et isolées ou un déchiffreur gratuit lorsqu'il existe. L'équipe IR vérifie d'abord que les attaquants ont été éradiqués, pour éviter un nouveau chiffrement après restauration.

En combien de temps la réponse à incident peut-elle démarrer ?

L'équipe IR Fortgale est opérationnelle 24·7·365 avec un SOC européen : appui immédiat dès l'appel, containment médiane <30 min, appui à la notification au CSIRT et collecte des preuves pour l'autorité de contrôle.

Sous attaque ou envie de vous préparer ?

Une urgence ransomware se gère en quelques minutes.

Si l'attaque est en cours, appelez la hotline IR. Si vous voulez vous préparer, parlez à nos analystes : containment, runbooks et appui aux notifications, avec un SOC européen dans votre fuseau horaire.

Délai de réponse : < 1 jour ouvré.