Checklist incident ransomware

Un ransomware est une urgence. Les premières actions doivent limiter la propagation, préserver les preuves, protéger les sauvegardes et organiser la réponse sans paniquer.

Priorités immédiates

• isoler les machines touchées
• ne pas éteindre sans réflexion
• couper les accès réseau si propagation active
• protéger les sauvegardes
• prévenir les personnes responsables
• conserver les preuves
• noter les heures et actions

L'objectif immédiat est de contenir et comprendre, pas de tout nettoyer trop vite.

Containment

Actions possibles selon contexte :

• déconnecter le câble réseau
• désactiver le Wi-Fi
• isoler un VLAN
• couper un partage compromis
• suspendre un compte suspect
• bloquer une règle ou une destination

Il faut éviter de détruire les preuves utiles à l'analyse.

Sauvegardes

À vérifier rapidement :

• sauvegardes disponibles
• dernière sauvegarde saine
• accès aux sauvegardes
• immutabilité ou protection
• risque de compromission des sauvegardes
• capacité de restauration

Ne restaure pas sur un environnement encore compromis.

Comptes et accès

• désactiver les comptes compromis
• révoquer les sessions suspectes
• réinitialiser les mots de passe critiques
• vérifier les comptes admin
• contrôler les accès VPN
• examiner les clés et secrets exposés

Collecte minimale

À conserver :

• note de rançon
• hash ou nom des fichiers suspects
• journaux systèmes
• journaux d'authentification
• événements EDR ou antivirus
• liste des machines touchées
• heure du premier signe connu

Communication

• établir un canal fiable
• éviter de partager des détails sensibles partout
• tenir une chronologie
• nommer un responsable de coordination
• documenter les décisions
• préparer la communication interne

Après containment

• identifier le point d'entrée probable
• mesurer l'étendue
• nettoyer ou reconstruire
• restaurer depuis sauvegarde saine
• changer les secrets exposés
• corriger les failles
• renforcer la détection
• faire un retour d'expérience