Guide d'urgence Particuliers + PME Procédures concrètes Contacts officiels

Que faire en cas de cyberattaque ?

Couvre : ransomware · piratage de compte · phishing réussi · arnaque · fraude au virement · fuite de données · usurpation d'identité
Réponse rapide

En cas de cyberattaque, agir vite et dans l'ordre : 1) isoler les appareils compromis (réseau coupé, ne pas éteindre), 2) conserver les preuves, 3) changer les mots de passe critiques depuis un appareil sain, 4) activer le MFA, 5) contacter Cybermalveillance.gouv.fr pour orientation gratuite, 6) déposer plainte (police, gendarmerie ou pré-plainte THESEE en ligne), 7) si données personnelles concernées : notifier la CNIL sous 72h, 8) prévenir la banque si finance touchée. Ne pas payer de rançon immédiatement.

En une phrase — Ce guide rassemble les procédures d'urgence pour les cyberattaques les plus courantes — par type d'incident, avec contacts, délais légaux et erreurs à éviter. Pour particuliers et PME.
Diagnostic gratuit
Cybermalveillance.gouv.fr (24/7)
Numéro Info Escroqueries
0 805 805 817 (gratuit, lun-ven 9h-18h30)
Notification CNIL
Obligatoire sous 72h si fuite de données personnelles
Pré-plainte en ligne
service-public.fr (escroquerie : THESEE)
Délai contestation bancaire
13 mois pour opérations non autorisées
Signalement contenus illicites
internet-signalement.gouv.fr (PHAROS)

01 — UniverselProcédure d'urgence en 8 étapes

Quel que soit le type d'incident, ces 8 actions s'appliquent. Détails par type d'attaque dans les sections suivantes.

1. Isoler — les 5 premières minutes
  • Couper la connexion réseau de l'appareil suspect (Wi-Fi désactivé, câble Ethernet débranché).
  • Ne pas éteindre : la mémoire vive contient des preuves importantes pour le forensic.
  • Pour un site web : passer en mode maintenance, couper l'accès extérieur.
  • Pour un réseau d'entreprise : isoler le segment concerné sans tout couper.
2. Conserver les preuves
  • Captures d'écran de tout : messages, emails, rançons, alertes, transactions.
  • Conserver les emails avec headers complets.
  • Logs système si accessibles.
  • Notes horodatées de chaque action.
  • Numéros, pseudonymes, URLs frauduleuses.
  • Indispensable pour plainte, assurance, forensic.
3. Changer les mots de passe

Depuis un autre appareil sain (un ordinateur ou téléphone non touché par l'attaque).

  • Priorité absolue : email principal (porte d'entrée vers reset password de tous les autres comptes).
  • Puis : banque, services financiers, services SaaS critiques.
  • Voir mot de passe et gestionnaire.
  • Révoquer toutes les sessions actives sur chaque service.
  • Vérifier les règles de transfert email (les attaquants en créent souvent).
4. Activer le MFA partout

Voir : MFA.

  • Sur tous les comptes importants si pas déjà fait.
  • Privilégier authenticator app ou clé matérielle FIDO2.
  • Éviter SMS (vulnérable au SIM swapping).
  • Migrer vers passkeys où disponible.
5. Contacter Cybermalveillance.gouv.fr

Voir : Cybermalveillance.

  • Diagnostic en ligne gratuit guidé.
  • Fiches réflexes par type d'incident.
  • Mise en relation avec prestataires ExpertCyber de proximité (~1000 prestataires en France).
  • Disponible 24/7 sur cybermalveillance.gouv.fr.
  • Service entièrement gratuit.
6. Déposer plainte
  • Démarche obligatoire pour assurance, recours juridiques, régularisations.
  • Pré-plainte en ligne : service-public.fr.
  • THESEE : plateforme dédiée aux escroqueries en ligne (depuis 2022). Plus rapide que plainte classique.
  • Commissariat / gendarmerie : pour cas complexes ou avec préjudice important.
  • Demander et conserver le récépissé (preuve indispensable).
7. Notifier la CNIL si fuite de données personnelles

Voir : CNIL et RGPD.

  • Obligation légale : notification sous 72 heures (article 33 RGPD).
  • Via cnil.fr → notification de violation.
  • Information des personnes concernées si risque élevé (article 34).
  • Inscrire l'incident dans le registre des violations.
  • Sanctions en cas de non-notification : jusqu'à 10 M€ ou 2% du CA mondial.
8. Prévenir la banque si finance touchée
  • Opposition immédiate sur cartes et comptes.
  • Contestation des opérations frauduleuses (délai légal 13 mois pour contester).
  • La banque doit rembourser sauf preuve de négligence grave du client.
  • Activer alertes SMS sur toutes opérations.
  • Demander un relevé détaillé.

02 — RansomwareQue faire spécifiquement

Voir : Ransomware.

Premières actions (60 minutes)

  1. Isoler immédiatement : déconnecter du réseau toutes les machines infectées.
  2. Identifier l'ampleur : combien de machines, quels serveurs, quelles données.
  3. Vérifier les sauvegardes : sont-elles saines ou aussi chiffrées ?
  4. Conserver une note de rançon et fichiers chiffrés tels quels.
  5. Mobiliser : dirigeant, RSSI, prestataire IT, juriste, communication.
  6. Activer le plan de réponse à incident.

Décision rançon

Recommandation officielle : ne pas payer. Raisons :

  • Pas de garantie : ~30% des victimes payeuses ne récupèrent pas leurs données.
  • Finance la criminalité, encourage de nouvelles attaques.
  • Marqueur « payeur » : cible privilégiée pour récidive.
  • Risques juridiques : certains groupes sont sous sanctions OFAC (paiement = infraction).
  • Aspects éthiques : finance hôpitaux ciblés, services essentiels paralysés.

Alternatives au paiement

  • Restauration depuis sauvegardes 3-2-1 : solution principale.
  • nomoreransom.org : initiative Europol qui propose des clés de déchiffrement gratuites pour certains ransomwares (souvent anciens).
  • Reconstruction du SI à partir de zéro si nécessaire.
  • Accompagnement par prestataire ExpertCyber via Cybermalveillance.

Procédure complète sur 72h

  • Heure 1 : isolation, conservation preuves, mobilisation.
  • Heure 1-6 : analyse de l'ampleur, contact prestataire ExpertCyber, communication interne.
  • Heure 6-24 : dépôt de plainte, notification assureur cyber, début reconstruction.
  • 24-72h : notification CNIL si données personnelles, communication clients/fournisseurs si impact, restauration progressive.
  • Au-delà : post-mortem pour identifier le vecteur initial, renforcement durable.

03 — Piratage compteEmail, réseau social, SaaS

Voir : Piratage informatique.

Symptômes typiques

  • Notification de connexion depuis un appareil/lieu inhabituel.
  • Email de changement de mot de passe non initié par vous.
  • Impossible de se connecter avec votre mot de passe habituel.
  • Messages envoyés en votre nom.
  • Contacts qui vous signalent des messages bizarres.

Procédure

  1. Reprendre le contrôle : utiliser la procédure de récupération de compte (formulaire dédié sur Google, Microsoft, Facebook, Instagram, etc.).
  2. Changer le mot de passe immédiatement vers un mot fort et unique.
  3. Activer le MFA si pas déjà fait.
  4. Révoquer toutes les sessions actives dans les paramètres sécurité.
  5. Vérifier les paramètres modifiés : règles de transfert email, contacts ajoutés, signature, autorisations apps tierces.
  6. Prévenir vos contacts que votre compte a été piraté (ils peuvent recevoir des arnaques en votre nom).
  7. Vérifier les autres services où vous auriez réutilisé le même mot de passe.
  8. Pour comptes professionnels : prévenir l'IT immédiatement.

Cas particulier : Microsoft 365 / Google Workspace pro

  • Prévenir immédiatement l'IT.
  • L'admin peut révoquer toutes les sessions, forcer changement de mot de passe.
  • Vérifier les règles de transfert créées par l'attaquant (signal classique de BEC).
  • Auditer les emails envoyés pendant la compromission.
  • Surveiller risque BEC : l'attaquant peut avoir contacté clients/fournisseurs.

04 — PhishingSi on a cliqué

Voir notre guide complet phishing et la fiche phishing.

Si vous avez seulement cliqué (sans entrer d'identifiants)

  • Risque limité.
  • Vérifier l'absence de téléchargement automatique.
  • Scanner avec antivirus (Microsoft Defender, Malwarebytes).
  • Surveiller votre appareil (ralentissements, comportements anormaux).
  • Vérifier les emails envoyés et règles email pendant les heures suivantes.

Si vous avez entré vos identifiants

  1. Changer immédiatement le mot de passe du service depuis un autre appareil sain.
  2. Changer aussi tous les services où vous auriez réutilisé ce mot de passe.
  3. Activer le MFA si pas déjà fait.
  4. Révoquer les sessions actives.
  5. Vérifier les paramètres compte (transferts, autorisations).
  6. Surveiller les comptes pendant les jours suivants.
  7. Vérifier sur haveibeenpwned.com.

Si vous avez communiqué vos coordonnées bancaires

  1. Opposition immédiate auprès de la banque.
  2. Surveillance des opérations bancaires.
  3. Contestation des transactions frauduleuses (délai 13 mois).
  4. Dépôt de plainte.

Si pièce jointe ouverte ou exécutée

  • Risque élevé : malware probable.
  • Isoler immédiatement l'appareil.
  • Faire intervenir un professionnel pour analyse.
  • Ne pas tenter de « nettoyer » soi-même.
  • Considérer la reconstruction complète de l'appareil (formatage + réinstallation).
  • En entreprise : prévenir IT/RSSI immédiatement.

05 — Fraude virementArgent envoyé à un fraudeur

Voir : Fraude au président, BEC, arnaque en ligne.

Les premières heures sont cruciales

La récupération d'un virement frauduleux dépend essentiellement de la rapidité de réaction. Plus on attend, plus l'argent est dispersé et irrécupérable.

Procédure immédiate

  1. Contacter la banque immédiatement (numéro d'urgence sur dos de carte ou app banque).
  2. Demander un rappel du virement (parfois possible si pas encore traité).
  3. Si SEPA récent : la banque peut tenter une récupération auprès de la banque destinataire.
  4. Conserver toutes les preuves : emails, échanges, ordres de virement.
  5. Déposer plainte rapidement (pré-plainte en ligne ou commissariat).
  6. Prévenir l'assureur cyber en entreprise (délais courts).
  7. En entreprise : cellule de crise, audit interne, vérifier autres comptes.

Taux de récupération

  • Virement SEPA < 2h : récupération possible si compte destinataire pas encore vidé.
  • Virement SEPA 2-24h : récupération difficile, parfois possible avec coopération bancaire.
  • Virement > 24h : récupération rare.
  • Virement international : récupération très difficile, surtout vers pays peu coopératifs.
  • Cryptomonnaies : irrécupérable sauf rare exception.
  • Western Union, MoneyGram : quasi impossible.

Pour les entreprises

  • Vérifier comment l'attaque a commencé : email piraté, RIB modifié, faux PDG.
  • Vérifier que d'autres virements ne sont pas en cours.
  • Audit complet de la messagerie compromise.
  • Communication interne : prévenir tous les services finance/compta.
  • Renforcer immédiatement les procédures.

06 — Fuite donnéesNotification CNIL et impact RGPD

Voir : RGPD et CNIL.

Qu'est-ce qu'une violation de données personnelles

Article 4 RGPD : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Cas typiques

  • Vol de base de données clients.
  • Exfiltration lors d'un ransomware (double extorsion).
  • Erreur d'envoi (email à mauvaise liste, fichier mal partagé).
  • Vol d'appareil contenant des données.
  • Accès non autorisé via piratage de compte.

Notification CNIL — sous 72h

Procédure :

  1. Évaluer la nature et le volume des données concernées.
  2. Évaluer les risques pour les personnes concernées.
  3. Notifier via cnil.fr → notification de violation (formulaire en ligne).
  4. Si risque élevé : informer aussi les personnes concernées (article 34).
  5. Inscrire dans le registre des violations.
  6. Documenter toutes les mesures prises.

Que faut-il déclarer

  • Nature de la violation.
  • Catégories et nombre approximatif de personnes concernées.
  • Catégories et volume des données.
  • Conséquences probables.
  • Mesures prises ou proposées.
  • Coordonnées du DPO.

Si la notification dépasse 72h

  • Justifier le retard.
  • Notifier dès que possible.
  • Sanctions plus lourdes possibles, mais notification tardive reste mieux que pas de notification.

Communication aux personnes concernées

  • Obligatoire si risque élevé (vol d'identifiants, données financières, données sensibles).
  • Communication claire : ce qui s'est passé, quelles données, conséquences possibles, mesures prises, recommandations.
  • Modèles disponibles sur cnil.fr.

07 — UsurpationIdentité utilisée frauduleusement

Voir : Usurpation d'identité.

Signaux d'alerte

  • Courriers de relance pour crédits non souscrits.
  • Mises en demeure d'organismes inconnus.
  • Avis d'impôts ou CAF concernant des démarches non faites.
  • Faux profils à votre nom sur réseaux sociaux.
  • Refus inattendus (location, crédit) alors que situation OK.
  • Convocations police ou justice pour faits non commis.

Procédure

  1. Rassembler les preuves : courriers, emails, captures.
  2. Déposer plainte au commissariat (pré-plainte en ligne possible). Demander récépissé.
  3. Banque : opposition immédiate sur cartes et comptes.
  4. Organismes concernés : impôts (DGFiP), CAF, Pôle Emploi, sécurité sociale, URSSAF selon le cas.
  5. Cybermalveillance.gouv.fr pour orientation.
  6. Inscription FCC/FICP : si usurpation bancaire/crédit, demander inscription préventive auprès de la Banque de France.
  7. Surveillance identité numérique : alertes Google sur son nom, vérifications régulières.
  8. Faux profils : signaler aux plateformes via leurs procédures dédiées.
  9. PHAROS (internet-signalement.gouv.fr) pour les contenus illicites.

Régularisation auprès des organismes

  • Joindre le récépissé de plainte à toute correspondance.
  • Conserver toutes les communications par écrit.
  • Procédures parfois longues (3-12 mois).
  • Associations d'aide : France Victimes peut accompagner.

08 — ContactsNuméros et plateformes utiles

En urgence

  • Cybermalveillance.gouv.fr : diagnostic gratuit 24/7, fiches réflexes, prestataires ExpertCyber.
  • Info Escroqueries : 0 805 805 817 (gratuit, lun-ven 9h-18h30).
  • 17 : police-secours en cas d'urgence physique.
  • 3919 : violences conjugales (cas cyberharcèlement intra-conjugal).

Dépôt de plainte

  • service-public.fr : pré-plainte en ligne pour de nombreux délits.
  • THESEE (via service-public.fr) : spécifique aux escroqueries en ligne.
  • Commissariat ou gendarmerie : dépôt de plainte présentiel.
  • Procureur de la République : plainte avec constitution de partie civile (cas complexes).

Signalement

  • internet-signalement.gouv.fr (PHAROS) : contenus illicites en ligne, OCLCTIC.
  • signal.conso.gouv.fr : faux sites e-commerce, problèmes de consommation, DGCCRF.
  • signal-spam.fr : signaler des spams email.
  • 33700 : signaler SMS et appels suspects (transfert SMS au numéro).
  • moncompteformation.gouv.fr : fraude au CPF.

Régulateurs

  • CNIL (cnil.fr) : violations de données personnelles, plaintes RGPD.
  • ANSSI / CERT-FR : pour OIV, entités essentielles NIS2, administrations.
  • AMF (amf-france.org) : arnaques aux placements financiers, liste noire.
  • ACPR : secteur bancaire et assurance.

Associations d'aide

  • France Victimes : aide aux victimes, présente partout en France.
  • UFC-Que Choisir, 60 Millions de Consommateurs : associations consommateurs.
  • Point de Contact : signalement contenus illicites.
  • e-Enfance : protection mineurs en ligne, cyberharcèlement.

En entreprise

  • Prestataire IT / RSSI : première ligne.
  • Assureur cyber : cellule de crise 24/7 généralement disponible.
  • Avocat spécialisé : pour aspects juridiques complexes.
  • Communication / RP : pour gestion de crise médiatique.

09 — ErreursCe qu'il NE faut PAS faire

  • Éteindre l'appareil compromis : efface les preuves en mémoire vive, complique le forensic.
  • Tenter de nettoyer soi-même un malware : les ransomwares modernes ont des persistances qu'on ne voit pas. Reconstruction préférable.
  • Cacher l'incident : sanctions aggravées RGPD, perte de confiance plus grande, problèmes assurance.
  • Payer la rançon précipitamment : pas de garantie, encourage récidive, parfois illégal (sanctions OFAC).
  • Communiquer trop tôt aux médias : avant de connaître l'ampleur réelle.
  • Promettre aux clients que tout va bien : si on découvre plus tard que ce n'était pas le cas, perte de confiance majeure.
  • Négliger la conservation des preuves : empêche les enquêtes et compromet l'assurance.
  • Restaurer depuis sauvegardes sans vérifier : les sauvegardes peuvent aussi être compromises.
  • Repartir comme si de rien n'était sans corriger le vecteur initial : récidive certaine.
  • Sanctionner les victimes de phishing en interne : décourage le signalement futur, cache les incidents.
  • Cliquer sur les liens des emails « rançon » : peuvent contenir des trackers ou amplifier l'attaque.
  • Ignorer les délais légaux : 72h CNIL, délais assurance, prescription pour plainte.

Le réflexe d'or

En cas de doute : ne pas agir seul. Cybermalveillance.gouv.fr est gratuit, disponible 24/7, et offre un diagnostic adapté. Pour les entreprises : mobiliser immédiatement un prestataire ExpertCyber. Une mauvaise réaction dans les premières heures peut coûter plus cher que l'attaque elle-même.