Comment réagir à une cyberattaque en 7 étapes

Les cybermenaces sont en constante hausse au Canada. Malgré les mesures préventives prises par les organisations, le Centre canadien pour la cybersécurité estime que le nombre d’incidents liés à des rançongiciels au Canada augmente d’environ 25 % par année depuis 2021. Dans son document Les tendances des ransomwares et les stratégies proactives en 2025, l’entreprise Veeam indique que 69% des entreprises “ont subi au moins une attaque par ransomware ayant entraîné un chiffrement ou une exfiltration de données” en 2025. Ces statistiques doivent encourager les entreprises à investir sérieusement dans la protection de leurs systèmes et données.

Même bien préparée, votre entreprise n’est jamais totalement à l’abri : rançongiciels, logiciels malveillants, attaques DDoS, phishing… une intrusion peut survenir à tout moment. Comment réagir lorsque les données de votre entreprise sont en jeu ?

Une cyberattaque peut immobiliser vos opérations, chiffrer vos données, bloquer l’accès à vos systèmes essentiels et mettre en péril votre réputation auprès de vos clients.

Les PME sont particulièrement vulnérables, car elles ne disposent pas toujours d’une équipe TI interne dédiée à la cybersécurité.

Le Groupe COSIOR vous propose un guide pratique en 7 étapes pour répondre à une cyberattaque et retrouver la maîtrise de vos systèmes dans les plus brefs délais, tout en limitant les dommages. Nous nous inspirons notamment du Guide sur les rançongiciels du Centre canadien pour la cybersécurité.

• Étape 1: Identifier la nature de l'attaque
• Étape 2: Isoler et évaluer les systèmes affectés
• Étape 3: Aviser rapidement la police, l'assurance et les partenaires critiques
• Étape 4: Activer votre équipe de réponse aux incidents (CIRT)
• Étape 5: Changer immédiatement les mots de passe et accès
• Étape 6: Nettoyer, effacer et réinstaller les systèmes infectés
• Étape 7: Renforcer la sécurité pour éviter une nouvelle attaque
• FAQ - En cas de cyberattaque

Étape 1 : Identifier la nature de l’attaque

Pour agir efficacement, il est essentiel de comprendre quel type d’attaque affecte vos systèmes. Malware, vol d’identité, infiltration… Mieux connaître l’ennemi, c’est déjà savoir comment le neutraliser.

Voici un aperçu des attaques les plus courantes :

Hameçonnage et harponnage (Phishing / Spear phishing)

Parfois aussi connu sous le nom de “filoutage”, l'hameçonnage est une technique répandue qui consiste pour les fraudeurs à se faire passer pour une institution de confiance (banque, assurance maladie, etc.) afin d’obtenir des renseignements personnels d’utilisateurs. Les fraudeurs contactent leurs victimes par courriel ou message texte et les redirigent vers un site web frauduleux imitant une organisation légitime. L’utilisateur y entre alors ses informations sensibles, croyant être dans un environnement sécurisé. Le harponnage ou “spear phishing” utilise la même technique mais en dressant un message extrêmement personnalisé grâce à des données sur l’utilisateur collectées sur Internet. Les conséquences peuvent être graves : perte d’accès, vols de données, frais frauduleux, voire chiffrement des fichiers dans les cas de rançongiciels.

Cheval de Troie (Trojan)

Le cheval de Troie est un logiciel malveillant qui se donne l’apparence d’un logiciel légitime. Il dépose en réalité une charge malveillante qui s’infiltre discrètement dans l’environnement TI et permet aux cybercriminels d’espionner l’activité, de voler des données ou d’installer d’autres maliciels. Les conséquences peuvent inclure un ralentissement des systèmes, le vol d’informations stratégiques et des pertes financières importantes.

Attaque par déni de service (DDoS)

Ces attaques consistent à saturer les serveurs d’une entreprise en émettant de façon synchronisée un grand nombre de requêtes. Cela peut notamment rendre un site transactionnel inaccessible, entraînant une perte immédiate de revenus. Cette indisponibilité des serveurs entraîne des pertes financières, une atteinte à la réputation, ou encore l’interruption des opérations.

Rançongiciel (Ransomware)

Les rançongiciels font partie des attaques les plus redoutées par les entreprises. Ces logiciels malveillants prennent en otage les données de l’entreprise en les chiffrant et exigent le paiement d’une rançon (souvent très élevée) pour les restituer. Les conséquences, tant financières qu’opérationnelles et réputationnelles, sont majeures.

Rootkit

Un rootkit est un logiciel malveillant qui s’introduit furtivement dans les systèmes informatiques dans le but de détourner les ressources informatiques d’une entreprise ou encore d’espionner et d’accéder aux données hébergées ou circulant sur l’ordinateur ciblé.

Une fois l’attaque identifiée, il faut agir vite pour empêcher la propagation et limiter les dommages.

Étape 2 : Isoler et évaluer les systèmes affectés

Ça y est, c’est arrivé! Vos systèmes informatiques sont attaqués! Maintenant que vous avez identifié la nature de l’attaque, il est temps de faire l’inventaire des dégâts. Pour ce faire, isolez immédiatement les systèmes compromis en les déconnectant du réseau pour stopper la propagation. Ensuite, dressez un inventaire complet des composantes touchées : serveurs, postes de travail, réseaux (y compris Wi-Fi), partages de fichiers et données.

Consignez tous les indices (messages, URL, expéditeurs) : ils aideront à la réponse et à l’enquête.

L’objectif ici n’est pas de tout réparer tout de suite, mais de stopper l’hémorragie.

Checklist des actions prioritaires

1. Déconnecter le poste ou serveur compromis
2. Désactiver le Wi-Fi / VPN au besoin
3. Sauvegarder les journaux (logs) avant toute manipulation

Étape 3 : Aviser rapidement la police, l’assurance et les partenaires critiques

Maintenant que l’infrastructure infectée est isolée, signalez l’incident rapidement afin d’activer les protections légales, financières et opérationnelles prévues dans vos politiques.

Signaler le cyberincident auprès de la police

Contactez votre police locale ou la Sûreté du Québec pour signaler la cyberattaque. Cela vous permettra de déposer plainte, une démarche souvent indispensable pour obtenir des remboursements de la part de votre assureur. Cela pourrait également aider les services de police dans leur enquête afin d’identifier les cybercriminels et prévenir de futurs incidents. Vous pouvez aussi signaler l’incident au Centre antifraude du Canada et au Centre pour la cybersécurité du Canada.

Signaler le cyberincident à la Commission d’accès à l’information (CAI)

Si des renseignements personnels sont touchés ou si l’incident présente un risque sérieux de préjudice, la Loi 25 impose de déclarer l’incident dans les plus brefs délais à la Commission d’accès à l’information (CAI) et aux personnes concernées.

Signaler le cyberincident auprès de l’assurance

Si vous avez souscrit un contrat d’assurance cyberrisques, il est important de signaler le cyberincident à votre compagnie d’assurance. En fonction de votre contrat, vous pourriez avoir accès à des experts TI pour vous assister et obtenir une couverture des coûts financiers liés à l’attaque.

Signaler le cyberincident aux partenaires critiques

Il est important d’aviser les partenaires qui pourraient être affectés par votre attaque. On pense notamment à votre institution financière afin qu’elle bloque tout transfert d’argent non approuvé pour limiter les pertes financières. Avisez également vos clients ou tout partenaire qui peut subir les conséquences de la cyberattaque. Cela aura pour effet de limiter les dommages à votre image en démontrant votre proactivité à traiter le problème.

Après avoir effectué ces signalements, il est désormais temps d’intervenir pour résoudre l’incident.

Étape 4 : Activer votre équipe de réponse aux incidents (CIRT)

En parallèle devotre plan de continuité TI, faites intervenir votre équipe de réponse aux incidents afin qu’elle puisse gérer les risques immédiats et trouver une solution à la crise. Cette équipe — interne ou externe — prend en charge la réponse opérationnelle : analyse de l’attaque, confinement, restauration sécurisée et reprise des activités. Parmi les actions qu’ils entreprendront, on peut nommer :

• l’analyse des journaux et des vecteurs d’entrée;
• le confinement des comptes compromis;
• la restauration à partir de sauvegardes propres;
• la collecte d’éléments pour fins d’enquête.

Si vous ne disposez pas d’une équipe interne, nos experts TI peuvent prendre le relais rapidement.

Étape 5 : Changer immédiatement les mots de passe et accès

En particulier dans les cas de spear phishing, des comptes peuvent avoir été compromis. Il est indispensable de changer les mots de passe des comptes compromis ET des administrateurs — même si aucun signe de vulnérabilité n’est visible ainsi que de forcer la déconnexion des sessions actives, si vous en êtes capables. Vous pouvez également activer l’authentification multifacteur (MFA) sur les comptes prioritaires. Vous pourrez ainsi diminuer la capacité de nuisance des cybercriminels.

Étape 6 : Nettoyer, effacer et réinstaller les systèmes infectés

C’est l’étape qui vous permettra de vous débarrasser du logiciel malveillant. Supprimez tous les éléments compromis, puis réinstallez les systèmes à partir de sauvegardes validées comme étant exemptes de malware. N’utilisez jamais une sauvegarde avant d’avoir validé qu’elle n’est pas infectée. Les rançongiciels peuvent dormir plusieurs jours avant de s’activer. Ne réactivez les accès qu’après une validation complète de l’environnement.

Étape 7 : Renforcer la sécurité pour éviter une nouvelle attaque

Un fois l’incident résolu, vous ne voulez pas que cela se reproduise! Il est donc essentiel de mettre en place des actions de prévention qui vous permettront de renforcer votre protection face aux cybermenaces. Cela peut être un logiciel de sécurité plus performant, l’implantation de l’identification à facteurs multiples (MFA) ou bien de pare-feu renforcé. Si vous n’avez pas toutes les ressources ou compétences à l’interne, faire appel à des experts en cybersécurité est un investissement stratégique qui réduit considérablement les risques futurs. On vous conseille également d’adopter des mesures préventives, que vous pourrez trouver dans notre article de blog au sujet de la sécurisation des parcs informatiques. Un environnement TI mieux protégé réduit drastiquement les risques financiers et opérationnels.

Pour valider que votre nouvelle posture de cybersécurité est performante, pensez à réaliser un test d’intrusion. Il permettra de mettre en lumière d’éventuelles vulnérabilités que vous n’auriez pas encore identifiées.

L’expertise Groupe COSIOR en cybersécurité

Le Groupe COSIOR est un interlocuteur de choix pour les organisations, PME et grandes entreprises qui souhaitent externaliser leur cybersécurité. Grâce à notre équipe de spécialistes informatiques, nous analysons rapidement l’origine des cyberattaques, confinons au maximum les dégâts, restaurons vos systèmes informatiques et vous conseillons par la suite pour renforcer la protection et la résilience de votre infrastructure TI.

Ne laissez pas la cybersécurité devenir une urgence : renforcez dès aujourd’hui votre résilience face aux cybermenaces.

Contactez-nous pour obtenir du soutien ou une évaluation de votre posture de cybersécurité.

FAQ

Comment savoir si mon entreprise est victime d’une cyberattaque ?

Voici plusieurs signes courants d’une cyberattaque : des ralentissements inexpliqués de vos systèmes, des comptes utilisateurs verrouillés, des fichiers chiffrés, des alertes d’antivirus, des demandes de rançon, des pics de trafic réseau, des comportements anormaux des serveurs.

Qui doit être contacté en cas de cyberattaque en entreprise ?

Contactez votre équipe TI interne, ou votre fournisseur MSP le cas échéant, la police, l’assurance cybersécurité et selon les cas, les partenaires ou clients touchés.

Faut-il payer la rançon lors d’un rançongiciel ?

Les autorités recommandent fortement de ne jamais payer : vous n’avez malheureusement aucune garantie de récupérer vos accès et données. Par ailleurs, cela risque d’inciter les cybercriminels à réattaquer.

Quels systèmes doivent être isolés en premier ?

Vos systèmes les plus critiques et ceux contenant des données sensibles doivent être priorisés :

• vos serveurs critiques, 
• les contrôleurs de domaine, 
• les sauvegardes exposées au malware, 
• les solutions de messagerie, 
• votre VPN, 
• les postes compromis, 
• les réseaux invités.

Une PME doit-elle obligatoirement déclarer une cyberattaque ?

Cela dépend du type de données touchées. Une atteinte à la confidentialité de données personnelles (loi 25 au Québec) doit être signalée aux autorités compétentes et aux personnes concernées.

Comment éviter qu’une nouvelle attaque survienne ?

Plusieurs actions permettent de limiter les risques d’une nouvelle cyberattaque :

• Faire un audit de sécurité pour détecter les vulnérabilités de vos systèmes,
• Avoir une politique de mot de passes robuste,
• Implanter l’authentification multifacteur (MFA), 
• Segmenter son réseau pour limiter les risques de propagation, 
• Effectuer des sauvegardes hors ligne qui ne seront pas infectées par d’éventuelles attaques, 
• Former ses employés aux pratiques anti-phishing,
• Veiller à faire les mises à jour continues de ses systèmes
• Mettre en place une politique de gestion des accès.