- 1re action : déconnecter immédiatement l'appareil du réseau et d'Internet pour stopper la propagation
- Ne JAMAIS payer : 71% des victimes qui paient ne récupèrent pas toutes leurs données (Sophos 2024)
- Signaler : 17Cyber.gouv.fr (assistance 24/7) + Cybermalveillance.gouv.fr + plainte en ligne
- Délai CNIL : notification de violation dans les 72h si données personnelles touchées (Art. 33 RGPD)
Introduction
Après un rançongiciel, les 5 premières actions dans les 24 heures sont : déconnecter l'appareil du réseau, ne JAMAIS payer la rançon, sauvegarder les preuves de l'attaque, signaler sur 17Cyber.gouv.fr (assistance 24/7 de la Police nationale et Gendarmerie), et porter plainte. Le rançon moyen demandé a atteint 3,96 millions de dollars en 2024, mais seuls 29% des victimes paient — un chiffre en baisse constante. Cybermalveillance.gouv.fr
Les 5 premières actions dans les 24 heures après un rançongiciel
1. Déconnecter immédiatement l'appareil du réseau Wi-Fi, d'Internet et de tout périphérique de stockage (clé USB, disque externe). Cela empêche le rançongiciel de se propager à d'autres appareils sur le même réseau. Ne pas éteindre l'ordinateur : certaines traces de l'attaque se trouvent dans la mémoire vive (RAM). Déconnecter le câble Ethernet ou désactiver le Wi-Fi dans les paramètres réseau.
2. Ne JAMAIS payer la rançon. Payer ne garantit pas la récupération des données : 71% des organisations qui paient ne récupèrent pas l'intégralité de leurs fichiers selon le rapport Sophos 2024. Payer finance le crime organisé et vous identifie comme cible récurrente — 80% des victimes qui paient subissent une seconde attaque. Les paiements en cryptomonnaie sont irréversibles et impossibles à tracer.
3. Sauvegarder les preuves avant toute action de nettoyage. Photographier l'écran du rançongiciel (message de rançon, adresse bitcoin, identifiant de victime). Noter la date et l'heure exactes. Conserver les fichiers chiffrés intacts — les outils de déchiffrement de NoMoreRansom.org nécessitent un échantillon chiffré pour identifier la variante.
4. Signaler l'attaque sur 17Cyber.gouv.fr, le guichet unique d'assistance de la Police nationale et de la Gendarmerie, accessible 24h/24. Le service établit un diagnostic, fournit des recommandations personnalisées et peut mettre en relation avec un policier ou gendarme par tchat. Signaler aussi sur Cybermalveillance.gouv.fr/signalement pour être orienté vers l'organisme compétent.
5. Porter plainte au commissariat, à la gendarmerie ou via la plateforme pre-plainte-en-ligne.gouv.fr. Le délai de prescription est de 6 ans à compter de la découverte de l'infraction (art. 9 du Code de procédure pénale). Fournir aux enquêteurs : captures d'écran du rançongiciel, fichiers chiffrés, journaux système, adresses de portefeuilles cryptomonnaie communiquées par les attaquants.
Notification CNIL : obligation dans les 72 heures si données personnelles touchées
Si le rançongiciel a chiffré des données personnelles (fichiers clients, dossiers employés, données de santé), le responsable de traitement doit notifier la CNIL dans les 72 heures après constatation de la violation (article 33 du RGPD). La notification se fait sur notifications.cnil.fr. En cas de risque élevé pour les personnes concernées (données de santé, données bancaires), il faut aussi les informer individuellement (article 34 du RGPD). Le défaut de notification expose à une sanction administrative pouvant atteindre 10 millions d'euros ou 2% du CA annuel mondial (art. 83 RGPD). Même si la violation semble mineure, il faut la documenter en interne — la CNIL peut la réclamer lors d'un contrôle.
Récupérer ses données sans payer : outils gratuits et sauvegardes
Vérifier d'abord si un outil de déchiffrement gratuit existe sur NoMoreRansom.org, initiative d'Europol et de la Police néerlandaise. Le site propose des outils pour 12 familles de rançongiciels actives en 2025-2026 : Lockbit 3.0, BlackBasta, Akira, Rhysida, Phobos, DoNex, Ragnar, Bianlian entre autres. Télécharger l'outil CryptoSheriff sur le site pour identifier la variante du rançongiciel à partir d'un fichier chiffré. Si aucune solution n'existe encore, vérifier régulièrement — de nouvelles clés sont ajoutées chaque semaine.
Si vous disposiez de sauvegardes offline (disque dur non connecté au moment de l'attaque, sauvegarde cloud avec historique de versions) : restaurer à partir de la dernière sauvegarde saine. Sur Windows, les copies shadow (Volume Shadow Copy) peuvent contenir des versions antérieures des fichiers — y accéder via Propriétés > Versions précédentes, sauf si le rançongiciel les a supprimées. La stratégie de sauvegarde recommandée est 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site (offline).
Protéger ses appareils après l'attaque : 6 mesures obligatoires
1. Réinitialiser le mot de passe de tous les comptes (email, banque, réseaux sociaux) depuis un appareil sain. Les rançongiciels volent souvent les identifiants avant de chiffrer (double extorsion). 2. Activer l'authentification à deux facteurs (2FA) sur chaque compte — une application d'authentification (Authy, Google Authenticator) est plus sûre que les SMS. 3. Mettre à jour le système d'exploitation et tous les logiciels — 32% des rançongiciels exploitent des vulnérabilités connues avec correctif disponible. 4. Installer un antivirus à jour et lancer une analyse complète. 5. Configurer des sauvegardes automatiques offline (disque externe déconnecté après la sauvegarde) et cloud avec historique de versions. 6. Vérifier les points d'entrée : 29% des attaques passent par des identifiants compromis — changer tous les mots de passe et vérifier les sessions actives sur HaveIBeenPwned.com.
Cas particuliers : entreprises, indépendants, collectivités
Entreprises : obligation de notification CNIL dans les 72h (art. 33 RGPD) + information des personnes concernées si risque élevé (art. 34). Le dispositif SenCy-Crise de Cybermalveillance.gouv.fr offre un accompagnement de gestion de crise cyber pour les professionnels. Les entreprises de plus de 50 salariés doivent disposer d'un registre des traitements et d'un délégué à la protection des données (DPO) si traitement à grande échelle.
Indépendants / auto-entrepreneurs : mêmes obligations RGPD si vous traitez des données personnelles clients. Vérifier que votre assurance professionnelle (RC Pro) couvre les cyberattaques — la plupart des contrats standard n'incluent pas cette garantie. Souscrire un cyber-assurance spécifique si votre activité dépend d'outils numériques.
Collectivités : la loi LPM (loi de programmation militaire) impose des obligations de cybersécurité renforcées. En cas d'attaque, contacter le CERT-FR (Centre gouvernemental de réponse aux incidents cyber) via cert.ssi.gouv.fr.
Sanctions pénales pour les auteurs de rançongiciels
Les auteurs de rançongiciels encourent les peines prévues par le Code pénal français, articles 323-1 à 323-7 (atteintes aux systèmes de traitement automatisé de données) : accès frauduleux à un système (2 ans d'emprisonnement + 60 000 € d'amende), altération de données (3 ans + 100 000 €), avec circonstance aggravante si commis en bande organisée (5 ans + 150 000 €). Le financement du terrorisme via le paiement d'une rançon constitue un délit distinct (art. 421-2 Code pénal). La France coopère avec Europol (European Cybercrime Centre - EC3) et Interpol pour les attaques transnationales.
Outils de detection et signalement des rancongiciels
# Verifier si un fichier est un rancongiciel connu
curl -s "https://mb-api.abuse.ch/api/v1/" -d "query=ransomware_notes" # Scanner un fichier suspect via VirusTotal
curl -s -X POST "https://www.virustotal.com/api/v3/files" \n -H "x-apikey: VOTRE_CLE_API" \n -F "file=@fichier_suspect.exe" # Verifier les processus suspects sur Windows
powershell -Command "Get-Process | Where-Object {$_.Name -match 'crypto|miner|lock' }" # Consulter la base NoMoreRansom pour trouver un decrypteur
curl -s "https://www.nomoreransom.org/api/decryptors.json" | jqÉtapes à suivre5
Étape 1 — Déconnecter et isoler l'appareil attaqué
Dès la découverte du rançongiciel, déconnectez immédiatement l'appareil du réseau. Coupez le Wi-Fi dans les paramètres réseau ou débranchez le câble Ethernet. Déconnectez tout périphérique de stockage externe (clés USB, disques durs) pour empêcher le chiffrement de vos sauvegardes. Ne pas éteindre l'ordinateur : la mémoire vive (RAM) contient des traces de l'attaque (clés de chiffrement temporaires, adresses IP des serveurs de commande). Prenez des photos de l'écran montrant le message de rançon, l'adresse Bitcoin, l'identifiant de victime et le montant demandé. Notez la date et l'heure exactes de la découverte. Si plusieurs appareils sont sur le même réseau, isolez-les tous — les rançongiciels se propagent automatiquement via le réseau local (SMB, RDP). Sur un réseau d'entreprise, alertez immédiatement le service informatique ou le DPO pour qu'il déclenche le plan de réponse à incident.
Étape 2 — Signaler sur 17Cyber et Cybermalveillance.gouv.fr
Rendez-vous sur 17Cyber.gouv.fr, le service public d'assistance en ligne gratuit accessible 24h/24 et 7j/7, proposé conjointement par la Police nationale, la Gendarmerie nationale et Cybermalveillance.gouv.fr. Lancez l'outil de diagnostic et d'assistance en ligne : il vous guide selon le type de cybermalveillance rencontrée. Si la menace le nécessite, un gendarme ou policier vous accompagne par tchat. En parallèle, signalez sur Cybermalveillance.gouv.fr/signalement : la plateforme vous oriente vers l'organisme compétent. Conservez le numéro de signalement fourni — il servira pour le dépôt de plainte et le suivi. Si vous êtes une entreprise, activez aussi le dispositif SenCy-Crise de Cybermalveillance.gouv.fr pour un accompagnement de gestion de crise cyber professionnel.Étape 3 — Porter plainte pour cyberattaque
Déposez plainte au commissariat de police, à la brigade de gendarmerie, ou en ligne sur pre-plainte-en-ligne.gouv.fr (service de pré-plainte, suivi d'un rendez-vous obligatoire). Le délai de prescription est de 6 ans à compter de la découverte de l'infraction (art. 9 CPP). Pièces à fournir : captures d'écran du message de rançon, fichiers chiffrés sur clé USB, journaux système (Event Viewer sur Windows : Applications et Services > Microsoft > Windows), adresses de portefeuilles Bitcoin communiquées par les attaquants, toute communication (email, note de revendication) reçue des attaquants. La plainte est transmise au procureur de la République qui décide des suites. Les enquêtes de cybercriminalité sont confiées à la BL2C (Brigade de lutte contre la cybercriminalité) ou au BEFTI (Brigade d'enquête sur les fraudes aux technologies de l'information). Conservez le récépissé de plainte.Étape 4 — Tenter la récupération via NoMoreRansom.org
Avant toute tentative de nettoyage, vérifiez si un outil de déchiffrement gratuit existe sur NoMoreRansom.org, initiative conjointe d'Europol et de la Police néerlandaise disponible en 37 langues. Téléchargez l'outil CryptoSheriff : il vous demande de téléverser un fichier chiffré et identifie la variante du rançongiciel. Si un outil de déchiffrement existe pour cette variante, le site vous le fournit gratuitement. En 2025-2026, des outils sont disponibles pour 12+ familles actives dont Lockbit 3.0, BlackBasta, Akira, Rhysida, Phobos, DoNex, Ragnar, Bianlian. Si aucun outil n'existe encore, ne désespérez pas : de nouvelles clés sont ajoutées chaque semaine. Vérifiez aussi les copies shadow Windows (clic droit sur un dossier > Propriétés > Versions précédentes). En dernier recours, les entreprises font appel à des prestataires labellisés ExpertCyber via Cybermalveillance.gouv.fr.Étape 5 — Réinstaller, sécuriser et prévenir les récidives
Après avoir épuisé les options de récupération, réinstallez le système d'exploitation à zéro (formatage complet, pas de réparation). Avant la réinstallation, sauvegardez les fichiers chiffrés sur un disque externe — de futurs outils de déchiffrement pourraient les rendre accessibles. Après la réinstallation propre : 1) Mettez à jour Windows/macOS et tous les logiciels immédiatement (32% des attaques exploitent des vulnérabilités connues avec correctif disponible). 2) Installez un antivirus à jour et lancez une analyse complète. 3) Changez TOUS vos mots de passe depuis l'appareil sain — les rançongiciels volent souvent les identifiants avant le chiffrement. 4) Activez l'authentification à deux facteurs (2FA) sur chaque compte via une app d'authentification. 5) Configurez des sauvegardes automatiques selon la règle 3-2-1 : 3 copies sur 2 supports différents dont 1 hors site. 6) Vérifiez sur HaveIBeenPwned.com si vos identifiants ont fuité. 7) Souscrivez une cyber-assurance si vous êtes indépendant ou TPE.
Conseils pratiques
- La règle de sauvegarde 3-2-1 vous sauve la mise : 3 copies de vos données, sur 2 supports différents (disque interne + disque externe), dont 1 hors site (sauvegarde cloud avec historique de versions). Un disque externe déconnecté après la sauvegarde est invulnérable aux rançongiciels.
- Vérifiez vos identifiants sur HaveIBeenPwned.com après toute attaque. 29% des rançongiciels pénètrent via des identifiants compromis. Si votre email apparaît dans une fuite, changez immédiatement le mot de passe de tous les comptes utilisant ce même identifiant.
- Activez les mises à jour automatiques sur Windows (Paramètres > Mise à jour Windows > Mise à jour automatique) et macOS (Préférences Système > Logiciels). 32% des rançongiciels exploitent des vulnérabilités pour lesquelles un correctif existait déjà au moment de l'attaque.
Points d'attention
- Ne JAMAIS payer la rançon : 71% des victimes qui paient ne récupèrent pas toutes leurs données (Sophos 2024), 80% subissent une seconde attaque, et le paiement constitue un financement du crime organisé pouvant relever de l'article 421-2 du Code pénal (financement du terrorisme).
- Ne pas éteindre l'ordinateur immédiatement après la découverte : la mémoire vive (RAM) contient les clés de chiffrement temporaires et les traces de connexion aux serveurs de commande (C2). Ces preuves disparaissent à l'extinction et sont indispensables pour l'enquête et éventuellement le déchiffrement.
- Oublier la notification CNIL dans les 72h si des données personnelles sont touchées : le défaut de notification expose à une sanction pouvant atteindre 10 millions d'euros ou 2% du CA annuel mondial (art. 83 RGPD). Même si vous pensez que la violation est mineure, documentez-la — la CNIL peut la réclamer lors d'un contrôle.
Questions fréquentes5
Faut-il payer la rançon après un rançongiciel ?
Non, jamais. 71% des victimes qui paient ne récupèrent pas toutes leurs données (Sophos 2024). Payer finance le crime organisé, vous identifie comme cible récurrente (80% de récidive), et le paiement en cryptomonnaie est irréversible. Les forces de l'ordre recommandent systématiquement de ne pas payer.
Comment signaler une attaque de rançongiciel en France ?
Deux plateformes officielles : 17Cyber.gouv.fr (assistance 24/7 par la Police et Gendarmerie) et Cybermalveillance.gouv.fr/signalement (orientation vers l'organisme compétent). Pour les entreprises, activez aussi SenCy-Crise sur Cybermalveillance.gouv.fr. Déposez plainte sur pre-plainte-en-ligne.gouv.fr ou au commissariat.
Peut-on récupérer ses données sans payer après un rançongiciel ?
Oui, dans certains cas. Vérifiez sur NoMoreRansom.org (initiative Europol) si un outil de déchiffrement gratuit existe pour votre variante. En 2025-2026, des outils existent pour 12+ familles actives. Vérifiez aussi les copies shadow Windows (Propriétés > Versions précédentes). Si vous aviez des sauvegardes offline, restaurez-les.
Quel est le délai pour notifier la CNIL après un rançongiciel ?
72 heures maximum après constatation de la violation de données personnelles (article 33 du RGPD). La notification se fait sur notifications.cnil.fr. Si le délai de 72h ne peut être tenu, il faut expliquer les motifs du retard. En cas de risque élevé pour les personnes, il faut aussi les informer directement (art. 34 RGPD).
Combien coûte en moyenne une attaque de rançongiciel ?
La rançon moyenne demandée a atteint 3,96 millions de dollars en 2024 (contre 1,54 million en 2023). Le coût total de remédiation (pertes d'activité, expertise, restauration) dépasse souvent 5 fois le montant de la rançon. Seuls 29% des victimes paient aujourd'hui, un chiffre en baisse constante.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesYUH déclaration impôts France : le guide détaillé 2026
Déclaration impôts 2026 : comment remplir les cases EHPAD (7CD, 7CE) pour réduire vos taxes
Comment déclarer une pension de retraite étrangère aux impôts en France en 2026
Déclaration de revenus 2026 : guide détaillé
Comment faire déclaration revenus expatrié
Comment déclarer comptes bancaires étrangers en 2026
Équipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.