1. Alertez immédiatement votre support informatique si vous en disposez afin qu’il prenne en compte l’incident (service informatique, prestataire, personne en charge).

2. Isolez les systèmes attaqués afin d’éviter que l’attaque ne puisse se propager à d’autres équipements en coupant toutes les connexions à Internet et au réseau local.

3. Constituez une équipe de gestion de crise afin de piloter les actions des différentes composantes concernées (technique, RH, financière, communication, juridique…).

4. Tenez un registre des évènements et actions réalisées pour pouvoir en conserver la trace à disposition des enquêteurs et tirer les enseignements de l’incident a posteriori.

5. Préservez les preuves de l’attaque : messages reçus, machines touchées, journaux de connexions…

Source : CNAMS – Février 2022