Plan reprise cyberattaque : quand le ransomware frappe, quand les serveurs tombent, quand les données sont chiffrées — c’est déjà trop tard pour improviser. En 2026, une PME ou ETI française est victime d’une cyberattaque significative toutes les deux minutes. Le coût moyen d’un incident dépasse 500 000 euros quand on additionne la perte d’exploitation, la remédiation technique, les obligations légales et l’atteinte à la réputation. Ce guide propose un protocole de rétablissement post-cyberattaque structuré, opérationnel et adapté aux réalités des PME-ETI — avec les étapes, les délais, les rôles et les outils à mobiliser avant, pendant et après l’incident.
Pourquoi chaque PME a besoin d’un dispositif de reprise après incident
La question n’est plus de savoir si vous serez attaqué, mais quand. Les ransomwares, les compromissions de messagerie professionnelle (BEC) et les attaques par supply chain ciblent désormais en priorité les entreprises de taille intermédiaire — assez grandes pour payer des rançons significatives, mais souvent trop petites pour disposer d’un SOC 24/7. Sans stratégie de restauration après attaque formalisé, la panique guide les décisions : on formate des serveurs qui contiennent des preuves forensiques, on communique trop tôt ou trop tard, on paie des rançons sans garantie de récupération.
La directive NIS 2 impose désormais aux entités concernées de disposer de plans de continuité et de reprise d’activité testés, ainsi que de procédures de notification d’incidents dans des délais stricts (24h pour l’alerte préliminaire, 72h pour la notification détaillée). L’absence de plan reprise cyberattaque constitue un manquement susceptible de sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. La conformité NIS2 transforme ce qui était une bonne pratique en obligation légale.
Au-delà de la conformité, un procédure de rétablissement informatique bien préparé réduit considérablement le coût de l’incident. Les entreprises qui disposent d’un plan testé récupèrent en moyenne 3 à 5 fois plus vite que celles qui improvisent — et leur facture totale est 40 à 60 % inférieure. L’investissement dans la préparation se rembourse dès le premier incident évité ou maîtrisé.
Les trois phases d’un protocole de continuité post-incident
Un démarche de reconstruction après intrusion complet s’articule en trois phases distinctes, chacune avec ses acteurs, ses outils et ses livrables. Négliger une phase compromet les deux autres.
Phase 1 — Avant l’attaque : préparer le plan reprise cyberattaque
La préparation est la phase la plus importante — et la plus négligée. C’est celle qui transforme une crise chaotique en incident maîtrisé. Un stratégie de résilience post-attaque efficace commence par un ensemble de mesures préventives et organisationnelles.
Constituer la cellule de crise. Identifiez à l’avance les membres de votre cellule de crise : direction générale, DSI ou RSSI, juridique, communication, RH, et un représentant des métiers critiques. Chaque membre doit connaître son rôle, disposer des coordonnées d’urgence (téléphones personnels, emails secondaires — votre messagerie d’entreprise sera peut-être hors service) et avoir accès au dispositif de continuité activité depuis un support hors réseau (version imprimée, clé USB chiffrée, cloud personnel sécurisé).
Identifier les actifs critiques. Classez vos systèmes par ordre de criticité métier : quels systèmes doivent absolument être restaurés en premier ? ERP, messagerie, site e-commerce, système de paie, applications métier critiques. Définissez pour chacun un RTO (Recovery Time Objective — délai maximal de restauration) et un RPO (Recovery Point Objective — perte de données maximale acceptable). Ces indicateurs structurent votre programme de restauration système en imposant des priorités claires.
Mettre en place les sauvegardes résilientes. La règle 3-2-1-1 est le minimum : 3 copies de vos données, sur 2 supports différents, dont 1 hors site et 1 hors ligne (air-gapped). Les sauvegardes hors ligne sont votre dernière ligne de défense contre les ransomwares qui chiffrent aussi les sauvegardes réseau. Testez la restauration chaque mois — une sauvegarde non testée n’est pas une sauvegarde. Le plan reprise cyberattaque doit documenter précisément les procédures de restauration pour chaque système critique.
Contractualiser les prestataires d’urgence. En pleine crise, vous n’avez pas le temps de chercher un prestataire de réponse à incident (CERT/CSIRT privé), un cabinet d’avocats spécialisé en cybersécurité, un expert forensique ou un communicant de crise. Contractualisez ces prestations à l’avance (contrats de type « retainer ») pour garantir une intervention en moins de 4 heures. Intégrez ces contacts dans votre stratégie de reprise d’activité.
Phase 2 — Pendant l’attaque : réagir selon le protocole de recovery après incident
L’attaque est détectée — ou pire, vous la découvrez en arrivant au bureau un lundi matin devant des écrans qui affichent une demande de rançon. Votre dispositif de rétablissement numérique entre en action.
Heure 0-2 : Contenir et isoler. La priorité absolue est d’empêcher la propagation. Déconnectez les systèmes compromis du réseau (ne les éteignez pas — vous détruiriez des preuves en mémoire vive). Isolez les segments réseau touchés. Coupez les accès VPN et les connexions vers les partenaires. Activez la cellule de crise et le plan reprise cyberattaque. Prévenez votre prestataire de réponse à incident.
Heure 2-24 : Évaluer et notifier. L’équipe forensique analyse l’étendue de la compromission : quels systèmes sont touchés, quel vecteur d’attaque a été utilisé, les attaquants sont-ils encore présents dans le réseau ? Parallèlement, le ce protocole opérationnel prévoit la notification de l’ANSSI dans les 24 heures (obligation NIS 2), la notification de la CNIL si des données personnelles sont compromises (obligation RGPD, 72h), et l’information des parties prenantes internes. Ne communiquez pas publiquement à ce stade — attendez d’avoir une vision claire de la situation.
Jour 1-7 : Remédier et restaurer. Une fois la menace contenue et l’analyse forensique suffisamment avancée, commencez la restauration des systèmes critiques selon l’ordre de priorité défini dans votre cette démarche de rétablissement. Restaurez depuis les sauvegardes hors ligne (après vérification qu’elles ne sont pas compromises). Changez tous les mots de passe et révoquz tous les tokens d’accès. Renforcez les mesures de sécurité pour combler la faille exploitée. Documentez chaque action — cette traçabilité est essentielle pour la conformité et les assurances.
Phase 3 — Après l’attaque : capitaliser et renforcer
La crise immédiate est passée, mais le travail est loin d’être terminé. Le un tel dispositif de reprise inclut une phase de retour d’expérience et de renforcement qui conditionne votre résilience future.
Semaine 2-4 : Le retour d’expérience (RETEX). Réunissez la cellule de crise pour une analyse à froid : qu’est-ce qui a fonctionné, qu’est-ce qui a échoué, qu’est-ce qui manquait ? Le RETEX doit être documenté et déboucher sur un plan d’amélioration concret. Mettez à jour votre plan reprise cyberattaque en intégrant les leçons apprises. Les entreprises qui réalisent un RETEX sérieux divisent par deux le temps de résolution de l’incident suivant.
Mois 1-3 : Le renforcement post-incident. Déployez les mesures correctives identifiées : patching de la vulnérabilité exploitée, segmentation réseau renforcée, déploiement d’un EDR si ce n’était pas encore fait, formation des collaborateurs sur le vecteur d’attaque utilisé. Un DSI de transition peut piloter cette phase de reconstruction quand les équipes internes sont encore sous le choc ou débordées par le rattrapage opérationnel.
Le rapport final. NIS 2 exige un rapport final d’incident dans le mois suivant la notification. Ce rapport doit décrire la nature de l’incident, les mesures prises, les impacts et les actions correctives. Votre assureur cyber demandera également un rapport détaillé. Le protocole de restauration post-incident doit prévoir un modèle de rapport et identifier le responsable de sa rédaction.
Budget et ressources pour un feuille de route de rétablissement PME
Combien coûte la préparation d’un procédure de reconstruction SI ? Beaucoup moins cher que l’absence de plan. Voici les fourchettes budgétaires pour une PME-ETI de 50 à 500 collaborateurs en 2026.
Élaboration du plan (one-shot). Budget : 10 000 à 30 000 euros HT. Inclut l’analyse de risques, la cartographie des actifs critiques, la rédaction des procédures, la mise en place des sauvegardes résilientes et un premier exercice de crise. Un diagnostic flash IT permet souvent de poser les bases de ce plan reprise cyberattaque en quelques semaines. Si vous faites appel à un manager de transition IT spécialisé, comptez le TJM du management de transition sur 15 à 30 jours.
Contrats de retainer (annuel). Budget : 5 000 à 20 000 euros HT par an. Cette enveloppe couvre le droit de tirage auprès d’un prestataire de réponse à incident (CERT privé), d’un cabinet d’avocats cyber et éventuellement d’un communicant de crise. En cas d’incident, ces prestataires interviennent en priorité et à des tarifs pré-négociés — un avantage décisif quand chaque heure compte.
Tests et exercices (annuel). Budget : 3 000 à 10 000 euros HT par an. Incluant un test de restauration des sauvegardes (trimestriel), un exercice de crise sur table (annuel) et un test technique de type « red team light » ou test d’intrusion ciblé. Ces exercices révèlent les failles du dispositif de réponse à incident avant qu’un vrai attaquant ne les exploite.
Assurance cyber (annuel). Budget : 5 000 à 30 000 euros HT par an selon la taille et le secteur. L’assurance cyber couvre les frais de remédiation, la perte d’exploitation, les frais juridiques et parfois la rançon (controversé). La plupart des assureurs exigent désormais l’existence d’un programme de reprise opérationnelle documenté comme condition de souscription — c’est un cercle vertueux.
Les erreurs fatales dans l’exécution d’un stratégie de reconstruction numérique
Même avec un plan reprise cyberattaque en place, certaines erreurs peuvent transformer un incident maîtrisable en catastrophe. Les plus courantes sont aussi les plus évitables.
Formater les machines avant l’analyse forensique. Le réflexe naturel est de « tout nettoyer » le plus vite possible. C’est une erreur grave : vous détruisez les preuves nécessaires à l’enquête forensique, à la notification réglementaire et à la procédure judiciaire. Le ce dispositif structuré doit spécifier que les machines compromises sont isolées et imagées (copie forensique) avant toute remédiation.
Payer la rançon sans réfléchir. En 2026, le taux de récupération des données après paiement de rançon ne dépasse pas 65 % — et le paiement vous signale comme « bon client » aux attaquants, augmentant la probabilité d’une deuxième attaque. Le protocole de remédiation doit anticiper cette décision en amont avec la direction générale et le juridique, en tenant compte de la position de l’ANSSI (qui déconseille formellement le paiement) et des clauses de votre assurance cyber.
Communiquer trop tôt ou mal. Un communiqué de presse prématuré qui minimise l’incident ou qui promet une résolution rapide se retourne systématiquement contre l’entreprise quand la réalité s’avère plus grave. Le plan de rétablissement informatique doit prévoir des éléments de langage pré-validés, un processus de validation des communications et un calendrier de communication progressive aligné sur l’avancement de la remédiation.
Négliger la dimension humaine. Une cyberattaque est un traumatisme pour les équipes. Les collaborateurs dont l’erreur (clic sur un phishing, mot de passe faible) a permis l’attaque culpabilisent. Les équipes IT travaillent 20 heures par jour pendant les premiers jours. Le plan reprise cyberattaque doit intégrer un volet humain : rotation des équipes, soutien psychologique si nécessaire, communication transparente pour éviter les rumeurs, et surtout — aucune sanction disciplinaire contre le collaborateur à l’origine de l’incident (sauf malveillance avérée).
Retour d’expérience : comment une ETI industrielle a restauré ses opérations en 5 jours
En mars 2025, une ETI industrielle française de 380 salariés a subi une attaque par ransomware qui a chiffré l’intégralité de son système d’information. Les serveurs de production, la messagerie, l’ERP et les outils collaboratifs étaient tous inaccessibles. Sans protocole de restauration préétabli, cette entreprise aurait probablement mis entre trois et six semaines avant de retrouver un fonctionnement normal. Grâce à un dispositif de continuité activité structuré et testé régulièrement, la reprise complète a été effective en cinq jours ouvrés.
Le premier réflexe de l’équipe IT a été d’isoler les segments réseau compromis pour contenir la propagation du logiciel malveillant. Parallèlement, le responsable sécurité a déclenché la procédure de gestion de crise prévue dans leur stratégie de résilience informatique, en contactant immédiatement leur prestataire spécialisé en réponse à incident et en notifiant la CNIL dans les 72 heures réglementaires. Les sauvegardes externalisées, stockées sur un environnement déconnecté et chiffré, ont permis de restaurer les données critiques dès le deuxième jour.
La cellule de crise, composée du DSI intérimaire mobilisé via TRANSICIO, du RSSI externe et du directeur général, s’est réunie toutes les quatre heures pendant les 72 premières heures. Chaque réunion produisait un point de situation diffusé à l’ensemble des collaborateurs, maintenant ainsi la confiance et la transparence indispensables en période de crise. Le dispositif de reprise d’activité après incident incluait des procédures dégradées permettant aux équipes commerciales de continuer à traiter les commandes manuellement pendant la restauration des systèmes.
Le cinquième jour, 95 % des services étaient rétablis. L’analyse post-incident a révélé que le vecteur d’intrusion était un email de phishing ciblé. L’entreprise a alors renforcé son programme de sensibilisation et déployé une solution EDR sur l’ensemble de son parc. Le coût total de l’incident, estimé à 180 000 euros, aurait pu dépasser le million sans cette préparation méthodique. Ce cas illustre parfaitement pourquoi chaque PME et ETI doit investir dans un protocole de rétablissement post-cyberattaque avant d’en avoir besoin, et non pas en réaction à une crise déjà déclenchée.
FAQ — cette procédure de reprise
Combien de temps faut-il pour élaborer un mécanisme de restauration après crise ?
Comptez 4 à 8 semaines pour un cadre de reprise post-incident complet, depuis l’analyse de risques jusqu’au premier exercice de crise. Si vous partez de zéro en matière de sauvegardes et de procédures, ajoutez 4 à 6 semaines pour le déploiement des mesures techniques. Un accompagnement par un DSI de transition spécialisé en cybersécurité permet souvent de comprimer ce calendrier de 30 à 40 %.
À quelle fréquence faut-il tester le plan reprise cyberattaque ?
Les sauvegardes doivent être testées (restauration complète d’un système critique) au minimum une fois par trimestre. L’exercice de crise sur table (simulation d’un scénario d’attaque avec la cellule de crise) doit être réalisé au moins une fois par an. Le processus de rétablissement après attaque lui-même doit être relu et mis à jour tous les 6 mois, ou après chaque changement majeur du SI (nouvelle application, changement d’hébergeur, fusion-acquisition).
Faut-il souscrire une assurance cyber en complément du plan ?
Oui, l’assurance cyber est un complément indispensable du protocole de rétablissement post-cyberattaque — mais elle ne le remplace pas. L’assurance couvre les conséquences financières de l’incident (perte d’exploitation, frais de remédiation, responsabilité civile), mais elle n’empêche pas l’attaque et ne restaure pas vos systèmes. La plupart des assureurs exigent désormais un minimum de mesures de sécurité (MFA, sauvegardes hors ligne, plan de réponse documenté) comme conditions de souscription.
Que faire si nous n’avons pas les compétences internes pour gérer une cyberattaque ?
C’est le cas de la majorité des PME-ETI. Le dispositif de reprise après incident doit intégrer cette réalité en s’appuyant sur des prestataires externes pré-contractualisés : un CERT privé pour la réponse technique, un cabinet d’avocats pour la conformité réglementaire, un communicant de crise. Pendant l’incident, un expert en gestion de crise informatique peut coordonner l’ensemble des acteurs. L’essentiel est de formaliser ces partenariats avant l’incident — pas pendant.
Préparez votre entreprise face aux cyberattaques
Nos experts en gestion de crise informatique vous accompagnent dans l’élaboration et le test de votre plan de reprise.
Lire aussi
- RSSI de transition : sécuriser votre SI pendant une vacance de poste
- Conformité NIS2 : calendrier 2026, sanctions et plan d’action PME
- DSI de transition : le guide complet pour décideurs en 2026
- Moderniser son infrastructure cloud : feuille de route pour ETI
- Manager de transition IT : missions types, profils et sélection
Pour aller plus loin
- DSI de transition — notre accompagnement
- Diagnostic flash IT — évaluation rapide de votre SI
- Tarifs du management de transition IT
- Management de transition IT — notre approche
Vous souhaitez voir comment nous avons accompagne des entreprises comme la votre ? Decouvrez nos etudes de cas en management de transition IT pour des retours d’experience concrets sur des missions similaires.