Le rançongiciel ne s'annonce pas poliment. Au moment où vous voyez la première note de rançon ou l'extension de fichier chiffrée, l'attaquant est probablement présent dans votre environnement depuis des jours ou des semaines, exfiltrant des données, désactivant les sauvegardes et déployant le payload sur plusieurs systèmes. L'événement de chiffrement est l'acte final — mais votre réponse dans les 60 premières minutes peut encore déterminer si vous perdez quelques systèmes ou l'ensemble de votre infrastructure.
Ce guide décompose la première heure critique en trois phases, chacune avec des actions spécifiques, des points de décision et les erreurs courantes à éviter.
Phase 1 : Détection & Triage Initial (Minutes 0–15)
Les premières minutes consistent à confirmer ce à quoi vous avez affaire et à activer votre structure de réponse. Toute alerte suspecte n'est pas forcément un rançongiciel, et les faux positifs font perdre un temps précieux si vous escaladez prématurément.
- Vérifiez la détection — Confirmez les indicateurs de rançongiciel : fichiers chiffrés avec des extensions inhabituelles, notes de rançon sur les bureaux, activité massive de renommage de fichiers dans les outils de surveillance
- Identifiez les systèmes affectés — Utilisez votre console EDR, votre SIEM ou la surveillance réseau pour déterminer combien de terminaux présentent une activité de chiffrement
- Classifiez l'étendue — S'agit-il d'un seul poste de travail, d'un département ou de toute l'entreprise ? L'étendue détermine votre stratégie de confinement
Une fois l'activité de rançongiciel confirmée, activez immédiatement votre équipe de réponse aux incidents. Chaque minute de délai est une minute que l'attaquant utilise pour chiffrer davantage de systèmes.
- Alertez l'équipe IR — Utilisez votre rotation d'astreinte. N'envoyez pas d'e-mails — le système de messagerie peut être compromis
- Attribuez les rôles — Incident Commander, Technical Lead, Communications Lead, Scribe. Si vous disposez d'un plan IR, suivez-le
- Établissez un canal de commandement — Mettez en place un canal de communication dédié en dehors de votre infrastructure d'entreprise (Signal, pont téléphonique hors bande, etc.)
Collectez suffisamment d'informations pour prendre des décisions de confinement éclairées dans la phase suivante.
- Identifiez la variante du rançongiciel — Les notes de rançon, les extensions de fichiers chiffrés et les noms de processus peuvent aider à identifier la souche spécifique. Des outils comme ID Ransomware peuvent aider
- Vérifiez les indicateurs d'exfiltration de données — De nombreux groupes de rançongiciels modernes exfiltrent les données avant de chiffrer. Vérifiez les transferts de données sortants inhabituels dans les journaux réseau
- Évaluez l'état des sauvegardes — Déterminez si vos sauvegardes sont intactes, hors ligne ou potentiellement compromises. Les attaquants ciblent systématiquement les systèmes de sauvegarde en premier
Phase 2 : Décisions de Confinement (Minutes 15–30)
Le confinement est la phase la plus critique. L'objectif est d'arrêter la propagation du chiffrement tout en préservant autant de preuves que possible. Chaque action de confinement implique des compromis, et le bon choix dépend de votre situation spécifique.
Le confinement au niveau réseau est généralement le moyen le plus rapide d'arrêter la propagation latérale.
- Isolez les segments réseau affectés — Utilisez des règles de pare-feu ou des commutateurs réseau pour couper les VLANs affectés du reste du réseau
- Bloquez les communications C2 connues — Si vous avez identifié l'infrastructure de commande et contrôle, bloquez immédiatement ces adresses IP et domaines au périmètre
- Désactivez les comptes compromis — Si vous avez identifié les comptes d'accès de l'attaquant, désactivez-les dans Active Directory. Envisagez de réinitialiser le compte
krbtgtsi une compromission du domaine est suspectée
L'isolation réseau seule ne suffit pas. Vous avez besoin d'un confinement au niveau des terminaux pour arrêter le chiffrement sur chaque système.
- Utilisez EDR pour isoler les terminaux — La plupart des plateformes EDR prennent en charge l'isolation réseau qui maintient le terminal accessible via la console EDR tout en coupant tous les autres accès réseau
- NE PAS éteindre les systèmes — C'est une erreur critique. L'extinction détruit la mémoire volatile, les connexions réseau actives et les données de processus en cours d'exécution, essentielles pour l'investigation numérique
- Si aucun EDR n'est disponible — Débranchez les câbles réseau (ne pas éteindre). Pour les appareils sans fil, désactivez les adaptateurs Wi-Fi
- Surveillez toute nouvelle activité de chiffrement — De nouveaux systèmes sont-ils encore affectés après les actions de confinement ?
- Vérifiez l'état des systèmes critiques — Contrôleurs de domaine, serveurs de sauvegarde et autres actifs Tier 0
- Décidez d'un soutien externe — Si l'étendue dépasse la capacité de votre équipe, c'est le moment de faire appel à un soutien IR externe. N'attendez pas la quatrième heure
Phase 3 : Préservation des Preuves & Communication (Minutes 30–60)
Le confinement étant en cours, la priorité suivante est de préserver les preuves et d'activer vos protocoles de communication. Ces actions se déroulent en parallèle.
Chaque action que vous prenez (ou omettez de prendre) dans cette fenêtre affecte votre capacité à enquêter sur la violation, à satisfaire aux exigences réglementaires et potentiellement à engager des poursuites judiciaires.
- Capturez d'abord les données volatiles — Images mémoire des systèmes clés (en particulier les contrôleurs de domaine et le point d'infection initial). Utilisez des outils comme
winpmemou la capacité de capture mémoire de votre EDR - Collectez les journaux critiques — Journaux d'événements de sécurité, journaux Sysmon, journaux PowerShell et télémétrie EDR. Ces éléments peuvent être ciblés pour suppression par l'attaquant. Consultez notre guide des artefacts forensiques Windows pour une liste de collecte complète
- Créez des images forensiques — Priorité à l'image du point d'infection initial et de tout système présentant des indicateurs d'activité de l'attaquant
- Préservez les notes de rançon et les exemples chiffrés — Ces éléments contiennent l'identification de la souche et potentiellement des informations de déchiffrement
À ce stade, votre Communications Lead doit activer le processus de notification.
- Briefez la direction — Fournissez l'étendue, le statut actuel et les prochaines étapes attendues. Évitez toute spéculation sur l'attribution ou l'impact total
- Faites appel au conseil juridique — Les obligations de notification de violation varient selon la juridiction et le type de données. Le service juridique doit évaluer les obligations réglementaires tôt
- Notifiez votre assureur cyber — La plupart des polices ont des fenêtres de notification. Une notification tardive peut affecter la couverture
- Préparez des déclarations provisoires — Rédigez des communications internes et externes. Ne divulguez pas de détails techniques publiquement à ce stade
- Établissez les priorités d'investigation — Vecteur d'accès initial, chronologie des mouvements latéraux, étendue de l'exfiltration de données
- Planification des ressources — Avez-vous besoin de capacités IR supplémentaires ? De spécialistes forensiques ? D'un soutien juridique ?
- Définissez une cadence de briefing — Établissez des intervalles réguliers de mise à jour pour la direction (toutes les 2–4 heures dans les premières 24 heures)
- Documentez tout — Assurez-vous que votre Scribe a capturé chaque décision, action et observation. Cette documentation est essentielle pour la revue post-incident et les éventuelles procédures judiciaires
Erreurs Courantes qui Aggravent la Situation
Sous la pression d'un incident de rançongiciel actif, les équipes commettent fréquemment des erreurs qui aggravent les dégâts. Évitez les suivantes :
- Payer la rançon sans investigation IR — Le paiement ne supprime pas l'attaquant de votre environnement. Sans comprendre son accès, vous serez probablement à nouveau compromis
- Effacer les systèmes avant l'imagerie forensique — La reconstruction des systèmes infectés détruit les preuves nécessaires pour comprendre l'étendue complète de la violation et satisfaire aux exigences réglementaires
- Restaurer depuis des sauvegardes sans confirmer qu'elles sont saines — Si l'attaquant a compromis votre infrastructure de sauvegarde, la restauration réintroduit la menace
- Communiquer via des canaux compromis — Si l'attaquant a accès à votre messagerie ou Slack, il peut lire vos plans de réponse. Utilisez des communications hors bande
- Retarder l'engagement d'un soutien IR externe — Les premières 24 heures sont les plus critiques pour la collecte de preuves. Faire appel à un soutien externe à la 48e heure signifie que vous avez déjà perdu des données forensiques précieuses
Après la Première Heure
Les 60 premières minutes posent les bases, mais la récupération après un rançongiciel est un marathon. Après la réponse initiale, vos priorités se déplacent vers l'analyse des causes profondes, l'évaluation complète de l'étendue, la récupération des systèmes et le renforcement à long terme. Des playbooks de réponse aux incidents structurés garantissent que chaque phase de la récupération suit un processus cohérent et rigoureux.
Les organisations qui se remettent avec succès d'un rançongiciel ne sont pas celles qui ont le mieux improvisé. Ce sont celles qui avaient un plan, l'ont exécuté sous pression et se sont adaptées à l'évolution de la situation.
Besoin d'un Soutien IR Immédiat ?
Si vous êtes actuellement confronté à un incident de rançongiciel, notre équipe IR est disponible 24h/24 et 7j/7 pour un déploiement d'urgence. Ou explorez notre playbook de réponse aux rançongiciels.