Ransomware : que faire quand votre collectivité est attaquée

Les 60 premières minutes sont décisives

Un ransomware vient de chiffrer les serveurs de votre collectivité. Les agents ne peuvent plus accéder à leurs fichiers. Un message de rançon s'affiche. La panique s'installe.

Les décisions prises dans la première heure déterminent l'ampleur des dégâts. Voici le protocole à suivre.

Étape 1 — Isoler immédiatement (0 à 15 minutes)

Ce qu'il faut faire

• Déconnecter physiquement les machines infectées du réseau (débrancher le câble Ethernet, couper le Wi-Fi)
• Ne pas éteindre les postes infectés — la mémoire vive contient des indices forensiques
• Déconnecter les sauvegardes du réseau si elles sont encore accessibles
• Couper les accès VPN et les connexions distantes

Ce qu'il ne faut surtout pas faire

• Ne pas payer la rançon — dans 40% des cas, les données ne sont pas restituées même après paiement
• Ne pas tenter de nettoyer soi-même les machines infectées
• Ne pas redémarrer les serveurs (le malware pourrait se propager davantage au redémarrage)
• Ne pas communiquer via la messagerie interne si elle est compromise

Étape 2 — Alerter les bons interlocuteurs (15 à 60 minutes)

Contacts obligatoires

• ANSSI : signalement via le formulaire en ligne ou au 01 71 75 84 68. L'agence peut dépêcher des experts en renfort
• Gendarmerie/Police : déposer plainte immédiatement (Brigade de Lutte Contre la Cybercriminalité ou gendarmerie locale formée C3N)
• CNIL : notification obligatoire dans les 72 heures si des données personnelles sont compromises (article 33 du RGPD)
• Votre prestataire informatique : mobiliser l'équipe technique d'urgence

Contacts recommandés

• CSIRT régional : chaque région dispose d'un centre de réponse aux incidents (Breizh Cyber, CyberCorsica, etc.)
• Assurance cyber : si vous avez souscrit une police, déclarer le sinistre immédiatement
• Préfecture : informer le préfet pour coordonner la réponse territoriale

Étape 3 — Évaluer l'étendue des dégâts (heures 1 à 24)

Questions critiques à poser

• Quels systèmes sont touchés ? (messagerie, état civil, comptabilité, paie ?)
• Les sauvegardes sont-elles intactes ? (tester en environnement isolé)
• Des données ont-elles été exfiltrées avant le chiffrement ? (double extorsion)
• Combien de postes et serveurs sont compromis ?
• Le malware est-il encore actif et en propagation ?

Documenter tout

Photographier les écrans, noter les horodatages, conserver les logs. Ces éléments seront essentiels pour l'enquête et pour l'assurance.

Étape 4 — Communiquer (premières 24 heures)

En interne

• Informer les agents par téléphone ou SMS (pas par email si la messagerie est compromise)
• Donner des consignes claires : ne pas utiliser les postes, ne pas brancher de clés USB
• Activer les procédures dégradées : travail sur papier, accueil physique renforcé

En externe

• Informer les citoyens via les réseaux sociaux ou le site web (s'il n'est pas touché)
• Prévenir les partenaires et intercommunalités connectées à votre SI
• Ne pas communiquer de détails techniques publiquement (les attaquants surveillent)

Les élus

• Le maire ou le président de l'intercommunalité doit être informé immédiatement
• Préparer un point de situation factuel pour les élus et la presse
• Anticiper les questions des administrés

Étape 5 — Reconstruire (jours et semaines suivants)

La reconstruction ne s'improvise pas

• Ne jamais restaurer sur un système compromis — reconstruire sur des machines saines
• Tester les sauvegardes en environnement isolé avant toute restauration
• Changer tous les mots de passe (Active Directory, messagerie, applications métier)
• Corriger la faille d'entrée identifiée avant de remettre les systèmes en ligne

Ordre de priorité de restauration

1. Paie des agents — obligation légale, échéance mensuelle

2. État civil — service public essentiel, impossible à reporter

3. Comptabilité/trésor public — paiement des factures et des fournisseurs

4. Messagerie — rétablir les communications internes

5. Applications métier — urbanisme, social, scolaire

Ce que les cas réels nous apprennent

Les incidents documentés sur des collectivités françaises montrent des constantes :

• Lille : 1 million d'euros de coût, 305 Go de données sur le dark web
• Betton : données personnelles de 5 000 habitants publiées en ligne — irréversible
• Loiret : 30 minutes d'attaque, plus de 2 mois de reconstruction
• Chalon-sur-Saône : 51 communes impactées d'un seul coup via le SI mutualisé

Dans aucun de ces cas, la rançon n'a été payée. Dans tous ces cas, la reconstruction a pris des semaines à des mois.

Prévenir plutôt que guérir

La meilleure réponse à un ransomware, c'est de ne jamais y être confronté. Les 5 actions prioritaires (sauvegardes 3-2-1, MFA, mises à jour, sensibilisation, plan de continuité) réduisent le risque de plus de 80%.

Un audit EBIOS RM permet d'identifier précisément vos vulnérabilités et de construire un plan de protection adapté à votre collectivité.

Chaque collectivité sera ciblée un jour. La question n'est pas « si » mais « quand ». La différence entre une crise maîtrisée et une catastrophe, c'est la préparation.

SOCLE. accompagne les collectivités avant, pendant et après un incident cyber. Diagnostic de résilience ou nous consulter en urgence.