Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 5 : Incident, signalement et responsabilités

Module 5 : Incident 17 min de lecture

5.1 J'ai cliqué : les 5 minutes pour agir et limiter la casse

Vous venez de cliquer sur un lien suspect ou d'ouvrir une pièce jointe douteuse. Les 5 prochaines minutes vont déterminer l'ampleur des dégâts. Voici la conduite à tenir, étape par étape, et pourquoi le pire réflexe est de masquer l'incident.

Les 5 premières minutes après un clic suspect
0'
Stop
Ne pas paniquer, ne pas masquer. Respirer. Pas de nouveau clic.
1'
Déconnecter du réseau
Débrancher Ethernet + désactiver Wi-Fi physiquement. Ne pas éteindre la machine.
2'
Si identifiants saisis
Depuis un autre appareil sain, changer le mot de passe + tous les comptes utilisant le même.
3'
Signaler à la DSI / RSSI
Téléphone si urgent, email avec capture d'écran. Plus tôt = mieux.
5'
Documenter
Heure exacte, action réalisée, capture du mail, témoins éventuels.
1

Pourquoi la rapidité fait toute la différence

Selon les rapports IBM Cost of a Data Breach 2024, un incident détecté et contenu en moins d'une heure coûte en moyenne 1,5 million $. Un incident détecté et contenu en plus de 200 jours (médiane mondiale actuelle) coûte 4,9 millions $. Le facteur principal de cette différence : la rapidité de réaction.

Cycle typique d'un ransomware après clic :

  • T+0 minutes : clic → téléchargement du dropper
  • T+1 à 5 minutes : exécution → installation du loader, prise de persistance
  • T+30 à 60 minutes : reconnaissance interne, escalade de privilèges, désactivation EDR
  • T+1 à 24 heures : mouvement latéral, identification des serveurs critiques, exfiltration des données
  • T+24 à 72 heures : déploiement du payload de chiffrement, démarrage du ransomware

La fenêtre des premières minutes est la fenêtre d'or pour bloquer toute la chaîne. Une déconnexion réseau immédiate empêche la communication avec le serveur de contrôle (C2) et arrête souvent l'attaque avant qu'elle ne s'établisse. Un signalement à la DSI dans les 5 minutes permet de bloquer les comptes compromis avant qu'ils ne soient utilisés ailleurs.

2

Le pire réflexe : la honte et le silence

Statistiquement, la première cause d'aggravation d'un incident n'est pas le clic initial — c'est le silence du salarié qui a cliqué. Par honte, par peur d'une sanction, par espoir que « ça va passer », beaucoup de victimes attendent des heures voire des jours avant de signaler. Pendant ce temps, l'attaque progresse.

Quelques chiffres :

  • Selon Mimecast 2024, 56 % des salariés français ne signalent pas immédiatement un clic sur phishing dont ils prennent conscience
  • Le délai moyen de signalement volontaire est de 14 heures — largement après le déclenchement de la chaîne d'attaque
  • Les entreprises avec une culture « no blame » (pas de sanction pour signalement de bonne foi) ont des temps de signalement 5 à 10 fois plus courts

Côté management, le message à faire passer doit être limpide et martelé : « Signaler immédiatement un clic accidentel ne sera JAMAIS sanctionné. Cacher un incident, en revanche, sera sanctionné. » Cette politique « no blame » est explicitement recommandée par l'ANSSI, le NIST et toutes les normes modernes (ISO 27001:2022).

Promesse no-blame : « Si vous cliquez par erreur sur un phishing et le signalez dans la demi-heure, vous êtes un héros, pas un coupable. Vous limitez les dégâts d'une situation que personne n'a su voir venir, et vous protégez vos collègues. »
3

Déconnecter du réseau : la première mesure technique

La déconnexion réseau immédiate est la mesure n°1 à appliquer. Pourquoi ?

  • Coupe la communication avec le C2 (serveur de commande et contrôle) — la plupart des malwares ont besoin de cette communication pour télécharger leur charge utile et exfiltrer
  • Empêche le mouvement latéral vers d'autres machines du réseau interne
  • Stoppe l'exfiltration de fichiers déjà compromis
  • Préserve la machine pour analyse forensique (à condition de ne pas éteindre)

Méthode pratique :

  • Ethernet : débrancher physiquement le câble
  • Wi-Fi : désactiver le Wi-Fi via le bouton physique (touche F12 sur la plupart des laptops) ou les paramètres réseau. Le simple fait de « se déconnecter du réseau » suffit, pas besoin d'oublier le réseau.
  • Téléphone / mobile : activer le mode avion immédiatement
  • Ne pas éteindre la machine : éteindre détruit la mémoire vive (RAM) qui contient des indices forensiques précieux (clés de chiffrement, processus en cours, connexions actives)
Publicité
4

Changer les mots de passe : à partir d'un autre appareil sain

Si vous avez saisi des identifiants sur le faux site (ou s'il y a doute), la priorité est de changer immédiatement le mot de passe du service concerné — depuis un autre appareil, pas celui qui a été potentiellement compromis (la machine compromise peut contenir un keylogger).

Méthode :

  1. Identifier le service concerné (ex : votre email Microsoft 365, votre banque, votre cloud)
  2. Depuis un autre appareil sain (téléphone perso, autre ordinateur familial), vous connecter au service
  3. Changer le mot de passe immédiatement (utiliser le gestionnaire pour générer un nouveau mot de passe fort)
  4. Vérifier le MFA : si vous avez configuré une 2FA, vérifier qu'elle est toujours bien configurée et que vous en avez le contrôle. Si possible, regénérer les codes de secours.
  5. Examiner les activités récentes : Microsoft 365 / Google Workspace / iCloud permettent de voir les sessions actives. Déconnecter toutes les sessions inconnues.
  6. Changer également tous les autres comptes utilisant le même mot de passe (raison pour laquelle on ne réutilise jamais ses mots de passe)

Si vous aviez activé un MFA solide (TOTP, FIDO2, Passkey), même un mot de passe compromis ne suffit pas à l'attaquant — vous gagnez du temps pour réagir. C'est la preuve de la valeur du MFA en conditions réelles.

5

Documenter l'incident : préparer l'analyse forensique

Pendant que la DSI prend en charge la suite, votre rôle est de documenter tout ce dont vous vous souvenez, sans tarder (la mémoire faiblit vite). Le plus utile :

  • Heure exacte du clic / de l'ouverture / de la saisie
  • Capture d'écran du mail / SMS / message reçu (si encore accessible)
  • URL exacte du faux site, si vous vous en souvenez (lisible dans l'historique du navigateur)
  • Données saisies : identifiant, mot de passe (vous n'avez pas à le redire mais préciser quel compte), informations bancaires, autres
  • Actions déjà effectuées : déconnexion, changement de mot de passe (heure)
  • Témoins éventuels : collègues qui ont vu votre écran, qui ont reçu le même mail
  • État de la machine : comportement bizarre (lenteur, fenêtres pop-up, ralentissement) qui pourrait indiquer un malware actif

Cette documentation, transmise à la DSI, permet à l'équipe SOC de :

  • Évaluer rapidement l'ampleur (1 personne touchée ou campagne large)
  • Bloquer les autres comptes potentiellement compromis
  • Alerter les autres salariés sur la campagne en cours
  • Préparer le rapport pour l'inspection du travail / la CNIL si nécessaire
6

Cas particulier : ransomware visible

Si votre écran affiche un message de demande de rançon (chiffrement de fichiers, fond d'écran modifié, alertes pop-up insistantes), vous êtes face à un ransomware déjà déclenché. Conduite :

  1. Photographier l'écran avec un téléphone (ne pas faire de capture sur la machine compromise)
  2. Débrancher Ethernet, désactiver Wi-Fi immédiatement — même si l'attaque semble déjà avancée, cela limite la propagation aux autres machines
  3. Ne pas éteindre la machine (préservation forensique de la RAM)
  4. Alerter la DSI / RSSI par téléphone — c'est une urgence majeure, ne pas attendre une réponse email
  5. Alerter les collègues immédiatement à proximité pour qu'ils déconnectent leurs machines si suspicion de propagation
  6. Ne pas payer la rançon, ne pas tenter de négocier — c'est la décision de la direction et de la cellule de crise, pas du salarié
Important : en cas de ransomware déclenché, l'incident est très probablement irréversible sur la machine touchée. Mais la rapidité d'isolement détermine si la contagion s'étend à 1 machine, 10 machines, ou l'ensemble du SI. Chaque seconde compte.
Les 5 étapes de la conduite à tenir après un clic
1
STOP
Pas de panique, pas de masquage
2
ISOLER
Couper Ethernet + Wi-Fi (ne pas éteindre)
3
CHANGER MDP
Depuis un autre appareil sain
4
SIGNALER
DSI / RSSI immédiatement
5
DOCUMENTER
Capture, heure, actions, témoins
À retenir
  • 5 étapes : STOP → ISOLER → CHANGER MDP → SIGNALER → DOCUMENTER.
  • Le pire réflexe = masquer l'incident. Le délai moyen de signalement est de 14 h — beaucoup trop tard.
  • Culture no-blame : signaler immédiatement n'est jamais sanctionné. Cacher l'est.
  • Déconnecter (Ethernet + Wi-Fi) mais ne pas éteindre (préservation forensique RAM).
  • Changer le mot de passe depuis un autre appareil sain, pas la machine compromise.
  • Un incident contenu en < 1 h coûte 1,5 M$ vs 4,9 M$ après 200 jours (IBM Cost of Data Breach 2024).
Sommaire de la formation
Progression : 81%