Le scénario est toujours le même. Un lundi matin, un utilisateur signale qu'il ne peut plus ouvrir ses fichiers. Ou un partenaire vous appelle : vos données circulent sur un forum. Ou votre supervision remonte un trafic sortant anormal en pleine nuit. À cet instant précis, deux trajectoires se séparent : celle de l'entreprise qui applique un protocole préparé, et celle de l'entreprise qui improvise.
La différence entre les deux ne se mesure pas en confort — elle se mesure en jours d'arrêt d'activité, en données perdues, en obligations légales manquées. Et elle se décide presque entièrement dans les premières heures.
Le contexte : des attaques plus nombreuses, des exfiltrations en forte hausse
La menace n'est pas théorique. Dans son Panorama de la cybermenace 2025, l'ANSSI indique avoir traité 1 366 incidents sur l'année, dont 196 exfiltrations de données — un chiffre en hausse de 51 %. Autrement dit : de plus en plus d'attaquants ne se contentent pas de chiffrer vos systèmes, ils repartent avec vos données. Ce qui change tout dans la gestion de crise, car une exfiltration déclenche des obligations de notification et un risque réputationnel que le simple chiffrement n'impose pas toujours.
Côté coûts, le rapport IBM Cost of a Data Breach 2025 pose le décor mondial : une violation de données coûte en moyenne 4,44 millions de dollars — et jusqu'à 5,56 millions dans les services financiers. Le même rapport mesure un délai moyen de 241 jours pour identifier puis contenir une violation. C'est le meilleur chiffre enregistré depuis 9 ans, et il reste vertigineux : près de huit mois, en moyenne, entre l'intrusion et sa maîtrise complète.
Ces 241 jours sont une moyenne qui cache l'essentiel : le délai de détection et de confinement n'est pas subi, il se construit. Une entreprise dont la journalisation est active, dont les rôles sont définis et dont le plan de réponse a été répété ne vit pas le même incident qu'une entreprise qui découvre tout en même temps — l'attaque, et son impréparation.
Le protocole : 5 temps qui structurent la réponse
Il n'existe pas deux incidents identiques, mais toutes les réponses efficaces suivent la même ossature. Ces cinq temps ne sont pas strictement séquentiels — la communication, par exemple, court en parallèle de tout le reste — mais chacun doit être piloté explicitement, par quelqu'un dont c'est le rôle.
Avant d'agir, comprendre. S'agit-il d'un rançongiciel, d'une compromission de compte, d'une exfiltration, d'un faux positif ? Quels systèmes sont touchés, lesquels sont critiques pour l'activité, l'attaque est-elle encore en cours ? Une qualification rapide et honnête évite les deux erreurs classiques : sous-réagir (« c'est juste un poste infecté ») et sur-réagir (tout éteindre, y compris ce qui aurait permis de comprendre).
C'est aussi le moment d'ouvrir une main courante : qui a vu quoi, à quelle heure, qui a fait quoi. Ce journal horodaté sera précieux pour les enquêteurs, l'assureur — et pour vous.
L'objectif est d'empêcher l'attaquant de progresser : isoler les machines compromises du réseau, désactiver les comptes suspects, couper les accès distants non indispensables, segmenter ce qui peut l'être. Le réflexe à combattre : éteindre brutalement les machines. Un poste éteint perd sa mémoire vive — et avec elle, souvent, les traces de l'attaquant. Isoler du réseau, oui ; débrancher la prise, seulement en dernier recours.
Confiner, c'est aussi protéger ce qui ne l'est pas encore : vérifier immédiatement que les sauvegardes sont hors de portée de l'attaquant, avant toute autre chose.
Journaux systèmes, journaux firewall et proxy, images disque et mémoire des machines touchées, courriels de phishing d'origine : tout ce qui documente l'attaque doit être copié et mis à l'abri avant d'être écrasé par la reconstruction. Sans preuves, pas d'analyse fiable du mode opératoire, une déclaration d'assurance fragilisée, un dépôt de plainte affaibli — et surtout aucun moyen de garantir que la faille d'origine a bien été refermée.
La pire décision des premières heures est presque toujours la même : réinstaller trop vite. On efface l'incendie et son origine — et l'attaquant revient par la même porte.
Une crise cyber est aussi une crise de communication. En interne : informer la direction avec des faits, donner des consignes claires aux équipes (que toucher, que ne pas toucher, à qui remonter). En externe : prévenir votre prestataire de réponse à incident, votre assureur cyber, et déposer plainte. Si l'incident touche des données personnelles, la notification à la CNIL n'est pas une option — c'est une obligation légale à délai court.
Une fois l'attaque comprise et contenue : fermer la faille d'origine, réinitialiser les secrets compromis (mots de passe, clés, jetons), reconstruire les systèmes touchés à partir de sources saines, puis restaurer les données depuis des sauvegardes vérifiées. Le retour à la normale se fait sous surveillance renforcée — c'est précisément au moment où tout semble réparé qu'un accès résiduel de l'attaquant fait le plus de dégâts.
Enfin, le retour d'expérience : qu'est-ce qui a fonctionné, qu'est-ce qui a manqué, que change-t-on ? Un incident dont on ne tire rien est un incident qui se reproduira.
Si l'incident constitue une violation de données à caractère personnel, l'article 33 du RGPD impose de la notifier à la CNIL dans les 72 heures après en avoir pris connaissance. Ce délai court pendant que vous gérez la crise technique — raison de plus pour que la question « des données personnelles sont-elles concernées ? » soit posée dès la qualification, pas une semaine plus tard.
Ce qui doit être prêt avant l'incident
Tout ce qui précède suppose une chose : que rien ne soit découvert le jour J. Un protocole de réponse ne s'invente pas en pleine crise, à 2 heures du matin, avec une messagerie potentiellement compromise et une direction qui demande des réponses. La qualité de votre réponse à incident se décide des mois avant l'incident, sur quatre chantiers concrets.
Et si vous ne voulez pas gérer ça seul
Tout ce protocole suppose des compétences disponibles immédiatement, de jour comme de nuit. C'est exactement le rôle d'une supervision externalisée : détecter tôt, qualifier vite, et dérouler les bons gestes sans improvisation.
Notre SOC fonctionne 24/7 : vos systèmes sont surveillés en continu, et en cas d'alerte critique, un expert Kipsafe prend en charge l'incident en moins de 20 minutes — qualification, confinement, préservation des preuves, coordination de la communication. Pas un répondeur, pas un ticket qui attend le lundi : un protocole qui démarre pendant que l'attaque est encore en train de se jouer.
Découvrez notre offre Cybersécurité — SOC 24/7 et réponse à incident.
Ce qu'il faut retenir
Un incident cyber est un événement violent mais gérable — à condition que la réponse soit un protocole, pas une improvisation. Qualifier avant d'agir, confiner sans détruire les preuves, documenter tout, notifier dans les délais, remédier en profondeur : chacun de ces gestes est simple isolément. Ce qui est difficile, c'est de les exécuter dans l'ordre, sous pression, sans préparation.
La bonne nouvelle : la préparation, elle, se fait à froid. Un plan testé, des contacts accessibles, des sauvegardes restaurables, une supervision qui veille — c'est ce qui transforme les premières heures d'un incident en simple procédure, plutôt qu'en catastrophe.
