Aller au contenu principal
Sécurité Guide pratique PME

Définir la procédure de réponse aux incidents

En cas d'incident de sécurité, savez-vous qui contacter et quelle procédure suivre ?

En bref — ce que vous devez retenir

Savoir quoi faire dans les 30 premières minutes d'un incident de sécurité peut faire la différence entre une disruption mineure et une catastrophe majeure. Une procédure documentée évite la panique, les erreurs sous pression et la perte de preuves.

? Nature du problème

Lors d'un incident de sécurité (ransomware, compromission de compte, fuite de données), les premières décisions sont cruciales et souvent prises dans l'urgence par des personnes paniquées. Les erreurs classiques : éteindre les machines infectées sans avoir capturé les preuves, payer la rançon sans consulter un expert, ne pas déconnecter rapidement les systèmes exposés.

Une procédure de réponse aux incidents (IRP) définit : qui prévenir, dans quel ordre, quelles actions immédiates prendre, comment contenir l'incident, et comment communiquer.

Comment corriger — étape par étape

  1. Définissez les rôles : qui est le responsable incidents (Direction), qui est le contact technique (IT interne ou prestataire), qui gère la communication (clients, médias, CNIL)
  2. Créez une fiche réflexe (une page) avec les actions des 30 premières minutes : déconnecter le réseau, préserver les preuves, appeler le contact IT, ne PAS redémarrer
  3. Liste des contacts d'urgence : prestataire IT, ANSSI (signalement), assureur cyber, CNIL (si données personnelles)
  4. Décision de paiement de rançon : documentez une politique claire (recommandation : ne jamais payer sans avis expert)
  5. Testez la procédure lors d'un exercice tabletop annuel
  6. Affichez la fiche réflexe dans les bureaux et envoyez-la par email à tous les collaborateurs

! Incidents réels

Agence de pub — Paris, 2022

Ransomware détecté un vendredi à 18h. Sans procédure définie, l'équipe a passé 2 heures à chercher qui appeler. Un collaborateur a redémarré son poste infecté, effaçant des preuves potentielles. L'assureur a refusé de couvrir partiellement car les délais de notification n'avaient pas été respectés.

Directeur IT — Lyon, 2023

"Notre procédure tenait sur une page. Quand le ransomware a frappé à 2h du matin, le responsable de permanence a suivi les 6 étapes en 20 minutes. On a contenu l'incident avant qu'il touche nos serveurs. Cette fiche nous a sauvés."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →