Incidents 9 min de lecture Par l'équipe Kipsafe

Réponse à incident : pourquoi les premières heures décident de tout

Un incident cyber ne se joue pas au moment où il éclate — il se joue dans ce que vous faites juste après. Qualification, confinement, preuves, communication, remédiation : voici le protocole des premières heures, et tout ce qui doit être prêt bien avant.

Le scénario est toujours le même. Un lundi matin, un utilisateur signale qu'il ne peut plus ouvrir ses fichiers. Ou un partenaire vous appelle : vos données circulent sur un forum. Ou votre supervision remonte un trafic sortant anormal en pleine nuit. À cet instant précis, deux trajectoires se séparent : celle de l'entreprise qui applique un protocole préparé, et celle de l'entreprise qui improvise.

La différence entre les deux ne se mesure pas en confort — elle se mesure en jours d'arrêt d'activité, en données perdues, en obligations légales manquées. Et elle se décide presque entièrement dans les premières heures.

Le contexte : des attaques plus nombreuses, des exfiltrations en forte hausse

La menace n'est pas théorique. Dans son Panorama de la cybermenace 2025, l'ANSSI indique avoir traité 1 366 incidents sur l'année, dont 196 exfiltrations de données — un chiffre en hausse de 51 %. Autrement dit : de plus en plus d'attaquants ne se contentent pas de chiffrer vos systèmes, ils repartent avec vos données. Ce qui change tout dans la gestion de crise, car une exfiltration déclenche des obligations de notification et un risque réputationnel que le simple chiffrement n'impose pas toujours.

Côté coûts, le rapport IBM Cost of a Data Breach 2025 pose le décor mondial : une violation de données coûte en moyenne 4,44 millions de dollars — et jusqu'à 5,56 millions dans les services financiers. Le même rapport mesure un délai moyen de 241 jours pour identifier puis contenir une violation. C'est le meilleur chiffre enregistré depuis 9 ans, et il reste vertigineux : près de huit mois, en moyenne, entre l'intrusion et sa maîtrise complète.

241 jours
Délai moyen pour identifier et contenir une violation — le plus bas depuis 9 ans (IBM, 2025)
4,44 M$
Coût moyen mondial d'une violation de données — 5,56 M$ dans les services financiers (IBM, 2025)
+51 %
Hausse des exfiltrations de données traitées par l'ANSSI en 2025 (196 cas sur 1 366 incidents)

Ces 241 jours sont une moyenne qui cache l'essentiel : le délai de détection et de confinement n'est pas subi, il se construit. Une entreprise dont la journalisation est active, dont les rôles sont définis et dont le plan de réponse a été répété ne vit pas le même incident qu'une entreprise qui découvre tout en même temps — l'attaque, et son impréparation.

Le protocole : 5 temps qui structurent la réponse

Il n'existe pas deux incidents identiques, mais toutes les réponses efficaces suivent la même ossature. Ces cinq temps ne sont pas strictement séquentiels — la communication, par exemple, court en parallèle de tout le reste — mais chacun doit être piloté explicitement, par quelqu'un dont c'est le rôle.

Temps 01
Qualifier : que se passe-t-il vraiment ?

Avant d'agir, comprendre. S'agit-il d'un rançongiciel, d'une compromission de compte, d'une exfiltration, d'un faux positif ? Quels systèmes sont touchés, lesquels sont critiques pour l'activité, l'attaque est-elle encore en cours ? Une qualification rapide et honnête évite les deux erreurs classiques : sous-réagir (« c'est juste un poste infecté ») et sur-réagir (tout éteindre, y compris ce qui aurait permis de comprendre).

C'est aussi le moment d'ouvrir une main courante : qui a vu quoi, à quelle heure, qui a fait quoi. Ce journal horodaté sera précieux pour les enquêteurs, l'assureur — et pour vous.

Temps 02
Confiner : stopper la propagation sans détruire l'enquête

L'objectif est d'empêcher l'attaquant de progresser : isoler les machines compromises du réseau, désactiver les comptes suspects, couper les accès distants non indispensables, segmenter ce qui peut l'être. Le réflexe à combattre : éteindre brutalement les machines. Un poste éteint perd sa mémoire vive — et avec elle, souvent, les traces de l'attaquant. Isoler du réseau, oui ; débrancher la prise, seulement en dernier recours.

Confiner, c'est aussi protéger ce qui ne l'est pas encore : vérifier immédiatement que les sauvegardes sont hors de portée de l'attaquant, avant toute autre chose.

Temps 03
Préserver les preuves : penser à l'après dès le début

Journaux systèmes, journaux firewall et proxy, images disque et mémoire des machines touchées, courriels de phishing d'origine : tout ce qui documente l'attaque doit être copié et mis à l'abri avant d'être écrasé par la reconstruction. Sans preuves, pas d'analyse fiable du mode opératoire, une déclaration d'assurance fragilisée, un dépôt de plainte affaibli — et surtout aucun moyen de garantir que la faille d'origine a bien été refermée.

La pire décision des premières heures est presque toujours la même : réinstaller trop vite. On efface l'incendie et son origine — et l'attaquant revient par la même porte.

Temps 04
Communiquer : en interne, aux autorités, aux personnes concernées

Une crise cyber est aussi une crise de communication. En interne : informer la direction avec des faits, donner des consignes claires aux équipes (que toucher, que ne pas toucher, à qui remonter). En externe : prévenir votre prestataire de réponse à incident, votre assureur cyber, et déposer plainte. Si l'incident touche des données personnelles, la notification à la CNIL n'est pas une option — c'est une obligation légale à délai court.

Temps 05
Remédier : éradiquer, restaurer, durcir

Une fois l'attaque comprise et contenue : fermer la faille d'origine, réinitialiser les secrets compromis (mots de passe, clés, jetons), reconstruire les systèmes touchés à partir de sources saines, puis restaurer les données depuis des sauvegardes vérifiées. Le retour à la normale se fait sous surveillance renforcée — c'est précisément au moment où tout semble réparé qu'un accès résiduel de l'attaquant fait le plus de dégâts.

Enfin, le retour d'expérience : qu'est-ce qui a fonctionné, qu'est-ce qui a manqué, que change-t-on ? Un incident dont on ne tire rien est un incident qui se reproduira.

Obligation légale — notification CNIL sous 72 h

Si l'incident constitue une violation de données à caractère personnel, l'article 33 du RGPD impose de la notifier à la CNIL dans les 72 heures après en avoir pris connaissance. Ce délai court pendant que vous gérez la crise technique — raison de plus pour que la question « des données personnelles sont-elles concernées ? » soit posée dès la qualification, pas une semaine plus tard.

Ce qui doit être prêt avant l'incident

Tout ce qui précède suppose une chose : que rien ne soit découvert le jour J. Un protocole de réponse ne s'invente pas en pleine crise, à 2 heures du matin, avec une messagerie potentiellement compromise et une direction qui demande des réponses. La qualité de votre réponse à incident se décide des mois avant l'incident, sur quatre chantiers concrets.

Un plan de réponse écrit, court et testé
Qui décide, qui isole, qui communique, qui documente. Des scénarios types (rançongiciel, compte compromis, fuite de données) avec les premières actions de chacun. Un plan de 40 pages jamais ouvert ne vaut rien ; une fiche réflexe répétée en exercice vaut de l'or.
Une liste de contacts accessible hors du SI
Prestataire de réponse à incident, assureur cyber, direction, DPO, contacts CNIL et forces de l'ordre, prestataires critiques. Imprimée ou stockée hors de votre système — si votre annuaire est chiffré par l'attaquant, il ne vous servira à rien.
Des sauvegardes isolées et réellement testées
Une sauvegarde connectée en permanence au réseau sera chiffrée avec le reste. Il faut des copies hors ligne ou immuables — et surtout des restaurations testées régulièrement. Une sauvegarde qui n'a jamais été restaurée est une hypothèse, pas une garantie.
Une journalisation qui regarde au bon endroit
On ne peut qualifier que ce qu'on peut voir. Journaux centralisés, conservés assez longtemps, couvrant les accès distants, les comptes à privilèges et les flux sortants : c'est la matière première de la qualification et de l'enquête.

Et si vous ne voulez pas gérer ça seul

Tout ce protocole suppose des compétences disponibles immédiatement, de jour comme de nuit. C'est exactement le rôle d'une supervision externalisée : détecter tôt, qualifier vite, et dérouler les bons gestes sans improvisation.

// L'engagement Kipsafe
Prise en charge en moins de 20 minutes, 24h/24

Notre SOC fonctionne 24/7 : vos systèmes sont surveillés en continu, et en cas d'alerte critique, un expert Kipsafe prend en charge l'incident en moins de 20 minutes — qualification, confinement, préservation des preuves, coordination de la communication. Pas un répondeur, pas un ticket qui attend le lundi : un protocole qui démarre pendant que l'attaque est encore en train de se jouer.

Découvrez notre offre Cybersécurité — SOC 24/7 et réponse à incident.

Ce qu'il faut retenir

Un incident cyber est un événement violent mais gérable — à condition que la réponse soit un protocole, pas une improvisation. Qualifier avant d'agir, confiner sans détruire les preuves, documenter tout, notifier dans les délais, remédier en profondeur : chacun de ces gestes est simple isolément. Ce qui est difficile, c'est de les exécuter dans l'ordre, sous pression, sans préparation.

La bonne nouvelle : la préparation, elle, se fait à froid. Un plan testé, des contacts accessibles, des sauvegardes restaurables, une supervision qui veille — c'est ce qui transforme les premières heures d'un incident en simple procédure, plutôt qu'en catastrophe.

Votre plan de réponse tiendrait-il la nuit ?

Premier échange gratuit · SOC 24/7 · Prise en charge en moins de 20 minutes

Audit gratuit