Plan de réponse à incident cyber pour PME : modèle simple en 7 étapes

Une alerte cyber n’est pas toujours une crise. La première étape consiste à qualifier les faits : quels comptes, quels postes, quelles données, quelle heure de début probable, quel impact visible pour les utilisateurs.

Conservez les preuves dès le départ : captures, journaux, adresses IP, messages reçus, fichiers suspects. Évitez les suppressions précipitées qui peuvent rendre l’analyse impossible.

La réponse à incident échoue souvent parce que personne ne sait qui décide. Un plan simple doit nommer un responsable opérationnel, un décideur métier, un contact prestataire, un contact juridique ou assurance et un porte-parole.

Ces rôles doivent être testés. Si le seul contact technique est indisponible, l’entreprise doit quand même pouvoir couper un accès, appeler l’hébergeur ou prévenir les personnes concernées.

Le confinement dépend du scénario : désactiver un compte, isoler un poste, couper un VPN, bloquer une règle de messagerie, retirer un partage public ou suspendre une application exposée.

L’action doit être rapide mais documentée. Notez ce qui est coupé, quand, par qui et pourquoi. Cette trace aide à restaurer proprement et à expliquer les décisions après l’incident.

La restauration ne consiste pas seulement à remettre le service en ligne. Il faut vérifier que l’accès initial est fermé, que les mots de passe sensibles sont changés, que les sauvegardes sont saines et que les systèmes restaurés sont à jour.

Terminez par un retour d’expérience court : ce qui a été détecté trop tard, ce qui a manqué, les décisions difficiles, les mesures à financer et la prochaine date de test du plan.