retour
Entreprises
Dangers
Mesures et outils

Cyberattaque : Que faire ?

En cas de suspicion de cyberattaque contre une PME, une réaction rapide est essentielle. Une intervention immédiate peut aider à minimiser l’impact de l’attaque et à éviter d’autres dommages. Cet article explique les principales étapes à suivre pour contenir un cyberincident.

Les cyberattaques commencent souvent avant même qu’elles ne deviennent visibles, par exemple par un chiffrement des données ou une demande de rançon.

Souvent, les cybercriminels accèdent d’abord au système pour en analyser l’infrastructure informatique. Les signes suivants peuvent indiquer une cyberattaque :

  • Ralentissement inexpliqué des performances du système : l’ordinateur fonctionne lentement et les ventilateurs se déclenchent fréquemment, même en l’absence de tâches exigeantes.
  • Accès plus lent aux systèmes et messages d’erreur fréquents : l’ouverture des fichiers et applications est retardée, et des messages d’erreur apparaissent régulièrement.
  • Connexion Internet ralentie et trafic réseau inhabituel : la vitesse de connexion diminue soudainement, et le tableau de bord du routeur affiche un trafic sortant anormalement élevé.
  • Comportements inhabituels de l’ordinateur : le curseur de la souris bouge tout seul, des fenêtres s’ouvrent et se ferment sans intervention de l’utilisateur.
  • Avertissements de l’antivirus : votre logiciel antivirus détecte et/ou bloque un fichier suspect.
  • Erreurs liées aux mises à jour Windows ou aux logiciels antivirus : des messages signalent que les mises à jour de Windows ou les programmes antivirus (ex. Microsoft Defender) ne fonctionnent plus correctement ou ont été désactivés.
  • Avertissements sur des tentatives d’accès suspectes : vous recevez des notifications indiquant qu’un appareil inconnu ou une connexion depuis un emplacement inhabituel a été détecté (ex. Microsoft 365, compte Google).
  • Demandes d’authentification à deux facteurs : vous recevez une demande de confirmation par code SMS ou application d’authentification alors que ni vous ni vos collaborateurs ne tentez de vous connecter.
  • Problèmes de mot de passe : votre mot de passe n’est plus accepté alors que vous êtes certain de l’avoir correctement saisi.
  • Page d’accueil du navigateur modifiée ou apparition de fenêtres pop-up : votre page de démarrage a changé sans votre intervention, ou des fenêtres publicitaires apparaissent soudainement.

 

Si plusieurs de ces signes apparaissent, il faut réagir immédiatement. Voici les mesures à prendre :

  • Déconnectez tous les systèmes d’Internet : débranchez immédiatement les appareils concernés du réseau et désactivez également le Wi-Fi pour empêcher toute propagation de l’attaque.
  • Avertissez les responsables concernés : informez la personne en charge de la sécurité informatique, en interne ou en externe, ainsi que votre organisation de gestion des urgences, si elle existe.
  • Contactez un prestataire en cybersécurité si nécessaire : si vous ne disposez pas des compétences requises, faites appel à un prestataire spécialisé (Security Incident Response Service) pour vous aider à gérer l’incident et à analyser la situation.
  • Informez les collaborateurs : assurez-vous que tous les employés soient informés de l’incident et des mesures à adopter.
  • Contactez votre assurance cyber : si vous avez souscrit une assurance cyber contactez-la immédiatement. Votre assureur peut vous assister dans la gestion de l’incident grâce à ses partenaires spécialisés.
  • Signalez l’attaque à la police : informez la police de la cyberattaque afin de permettre l’ouverture d’une enquête pénale.
  • Obligation de signalement pour les infrastructures critiques : depuis le 1er avril 2025, les exploitants d’infrastructures critiques doivent signaler tout cyberincident, y compris les attaques par rançongiciel, à l’Office fédéral de la cybersécurité (OFCS) dans un délai de 24 heures après sa découverte.
  • Déclaration volontaire auprès de l’Office fédéral de la cybersécurité : une fois l’accès à vos systèmes rétabli, signalez l’incident via le formulaire disponible sur le site de l’OFCS.
  • Déclaration auprès du PFPDT : selon l’article 24 de la nouvelle Loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, toute violation de la sécurité des données doit être signalée au Préposé fédéral à la protection des données et à la transparence (PFPDT) si elle présente un risque élevé pour les personnes concernées.
  • Cette obligation concerne les particuliers, les entreprises et les organismes fédéraux. La déclaration doit être effectuée dès que possible via le formulaire suivant : https://databreach.edoeb.admin.ch/report
    Si des données personnelles sont concernées, l’entreprise doit également se conformer au Règlement général sur la protection des données (RGPD) de l’Union européenne, en fonction de sa localisation.

 

Grâce à une réaction rapide et coordonnée, vous pouvez limiter les dommages et adopter les mesures nécessaires pour sécuriser vos systèmes et clarifier la situation.

 

Pour plus d’informations

Que faire en cas de cyberattaque?

Cyberattaque – que faire? Aide-mémoire à l’intention des CISO  

Cyberrisques | ASA

Plus d'articles
Escroquerie
Exemples

Phishing grâce aux logins
Informations générales
Logiciel malveillant

Comment agissent les adwares et les spywares ?
Informations générales
Sécuriser des données

Pourquoi sécuriser ses données
Exemples

Phishing au nom de fausses autorités
Vers toutes les contributions

Gagnez des billets VIP pour un match de la Nati et toutes sortes d’autres prix intéressants.

Participer maintenant

Wir verwenden Cookies, um unsere Website nutzerfreundlich und zuverlässig bereitstellen zu können, unter anderem durch Erfolgs- und Reichweitenmessung. Weitere Informationen finden Sie in unserer Datenschutzerklärung.