Ma première cyberattaque

Publié le 30 juillet 2024. Mis à jour le 26 décembre 2025.

Jeudi 3 Janvier : cette journée marque la fin des vacances et le retour au bureau pour une poignée de salariés. Passées les bises et les bons vœux, il faut se résoudre à reprendre son poste. Pourtant, depuis quelques heures, se propage dans les murs un ennemi invisible, silencieux et sournois : un ransomware !

Vivez minute par minute la bascule d’une entreprise « normale » dans le chaos numérique. Récit de ma première cyberattaque !

Nota Bene : Par souci de confidentialité, les lieux et noms des intervenants ont été modifiés.

6h11 : L’explosion silencieuse.

Sans bruit, quelque part dans le serveur, une charge se déclenche : un ransomware. Sa mission est simple, brutale et implacable : chiffrer tout ce qu’il touche. Fichiers bureautiques, photos, bases de données clients, sauvegardes… rien ne lui échappe.

L’attaque commence. Personne ne la voit. Personne ne l’entend.

8h30 : Le bureau se réveille, le virus aussi.

Les premiers salariés arrivent, au compte-gouttes. On pose son manteau, on branche son PC, on connecte son smartphone au wifi. On parle vacances, neige, foie gras. Mais pendant ce temps, l’ennemi progresse de dossier en dossier, grimpe les étages, s’insinue dans les sauvegardes connectées au réseau. Bref, personne ne se doute de rien.

9h05 : Entrée en scène.

C’est mon tour. J’arrive, je distribue les bises, les « bonne année », puis je me replie dans mon bureau. Je relance la machine, je trie mes emails. Bref, la routine reprend. Mais je ne le sais pas encore, quelque part sur le réseau, l’histoire de ma journée vient déjà de prendre un tournant.

10h00 : Premier signal… ignoré.

Au service commercial, Sandy tente d’ouvrir son fichier de travail habituel. Un simple fichier sur le serveur : "Fichier_client.xls.FORREST" qui refuse de s'ouvrir. Un bug, pense-t-elle. Un de plus.

10h20 : Le chevalier de la hotline.

Agacée, Sandy appelle la hotline de notre prestataire informatique, CERFA. Au bout du fil, Benoît, jeune technicien motivé, prend la main à distance. Il veut aider, sincèrement. Il ouvre une sauvegarde pour récupérer le fameux fichier et rassure Sandy.

Et effectivement, tout refonctionne. Du moins en apparence. Car en restaurant cette sauvegarde, Benoît vient d’ouvrir une nouvelle porte royale au ransomware. Désormais, le mal se propage aussi dans les backups.

12h30 : Déjeuner… avec une bombe à retardement.

A la salle de repos, on déjeune tranquillement. « Tu es parti au ski ? », « Vous étiez combien à table pour le réveillon ? »

Dans les assiettes, rien que de la convivialité. Dans les serveurs, pourtant, c’est déjà un champ de ruines en devenir.

15h20 : Le frisson.

Toujours dans mon bureau, une phrase attrapée au vol me fait relever la tête : « On n’arrive plus à ouvrir certains fichiers… »

Mon côté technophile (et curieux) s’éveille aussitôt. Je me connecte au serveur, je parcours quelques dossiers… et là, la douche froide.

Le fichier "photo_equipe.jpeg" s’appelle désormais "photo_equipe.jpeg.FORREST".

Puis un autre. Puis un troisième.

A cet instant précis, je comprends. Je sais ce qui provoque ce genre de transformation en série.

15h25 : Le verdict tombe.

Direction Internet, forums plus ou moins recommandables, recherches ciblées. En quelques minutes, la confirmation apparaît : l’extension ".FORREST" est bien liée à un ransomware.

Le doute n’est plus ! Nous sommes en plein cœur d’une cyberattaque.

15h27 : Remonter le fil.

Je pars interroger les collègues. Sandy m’explique calmement qu’un fichier ne s’ouvrait plus ce matin, que la hotline est intervenue, et que finalement, « ça recommence ».

Tout s’assemble. Le ransomware était déjà là. Et il a déjà trouvé le chemin des sauvegardes.

15h30 : Le chevalier tombe de son cheval.

Je fonce au secrétariat pour rappeler la hotline. Le fameux Benoît décroche. Je ne passe pas par quatre chemins : « Vous êtes au courant qu’il y a un ransomware sur notre serveur ? »

Silence. Puis il avoue :

Oui, il s'en est rendu compte.

Oui, il essaie depuis des heures d’accéder au serveur pour le déconnecter.

Non, il n’y parvient pas.

Je pose deux questions simples, qui auraient dû appeler des réponses évidentes :

« Vous avez un protocole en cas de cyberattaque ? »

« Vous avez déjà géré ce type de situation ? »

Les réponses claquent comme un coup de froid : « Non… »

15h32 : Deux écoles… une décision.

 A ce moment-là, deux stratégies s’affrontent :

1. Laisser l’attaquant agir, observer, collecter des preuves, remonter la piste.

2. Couper tout, tout de suite, pour protéger le patrimoine numérique et limiter les dégâts.

Je choisis la seconde sans hésiter.

15h35 : Arrêt d’urgence.

Direction la salle serveur et coupe l’alimentation générale.

Mais le mal n’est pas seulement dans le serveur. Il circule aussi dans les câbles, le wifi, les PC des salariés en télétravail et connectés au serveur par VPN.

Je remonte les étages, j’ordonne de débrancher tout ce qui est connecté : PC, imprimantes réseau, boîtiers divers… Soudain, tout ce qui est "numérique" s’arrête.

15h40 : La pyramide humaine.

Reste une question : comment prévenir en urgence ceux qui ne sont pas là ? On ne sait pas exactement qui s’est connecté au serveur, ni depuis où. Et quant à la liste des numéros de téléphones pour les joindre, c'est une autre affaire.

Alors on improvise. Deux salariés appellent les absents, qui eux-mêmes tentent de joindre d’autres collègues, et ainsi de suite. Une chaîne d’appels en cascade. Improvisée, fragile mais qui a le mérite d'exister. 

15h55 : La tour d’ivoire. 

Hugues, le Directeur Général, arrive finalement. Regard froid comme d'habitude, pas un trait d’inquiétude sur le visage.

Persuadé qu’il est informé, je lui demande : « Vous êtes au courant qu’on subit une cyberattaque ? »

Sa réponse est lapidaire : « Non ».

Il monte s’enfermer dans son bureau, comme si de rien n’était. A cet instant précis, je ne sais plus ce qui est le plus dangereux : le manque de préparation de notre prestataire… ou notre difficulté collective à mesurer l’urgence.

Encore aujourd’hui, plusieurs années après, je retiens surtout ceci : en cyber, le déni coûte cher.

16h05 : Personne avant demain.

Je rappelle Benoît et lui explique que j’ai pris la main sur les opérations et qu’il nous faut un technicien sur site au plus vite.

Sa réponse est nette : « Désolé, mais je n’ai personne de disponible avant demain matin ».

Nous sommes le lendemain du Nouvel An, l’équipe est en sous-effectif. Je comprends la réalité logistique. Mais pour l’entreprise, cela veut dire une chose : rien ne bougera avant vendredi matin.

Je monte prévenir Hugues dans sa tour d’ivoire. Je le trouve curieusement serein en train de lire Les Échos.

Je lui annonce :

• Le réseau est à l’arrêt.

• Un technicien viendra demain.

Il lève à peine les yeux de son journal et me lance « Très bien, à demain alors ».

Je sais qu’il déteste l’informatique, que cela en serait presque "urticant" pour lui. Mais ce détachement face à un péril aussi grave me laisse… sidéré.

Vendredi 4 janvier : L’expert… dépassé.

8h45 : Le retour.

Je reviens au bureau, une seule question en tête : « Jusqu’où le ransomware est-il allé ? »

9h00 : Le technicien dépassé.

Le technicien CERFA arrive enfin : Patrick, la cinquantaine, notre référent habituel.

Il connaît nos locaux, notre réseau, nos habitudes.

D’un ton jovial, il me lance : « Alors, quel est le problème ? »

Je lui retourne la question : « Vous êtes au courant qu’on a eu une cyberattaque ? »

Son long silence et sa mine déconfite me suffisent pour comprendre qu'il n'est ni au courant ni préparé à gérer ce type d'incident, tout comme son collègue Benoit. Et surtout, il n’a aucun protocole de remédiation.

9h15 : Coach malgré moi.

Dès qu’il pose la main sur la souris, je comprends qu’il n’a ni les réflexes, ni les repères.

Journaux de logs, investigation forensic, isolement des preuves, segmentation réseau, tests de sauvegardes… Tout cela lui est étranger.

Je me retrouve à le coacher, alors même que ce devrait être son rôle de nous guider.

Je ne suis pas expert en cybersécurité, loin de là. Mais j’ai un avantage : adolescent, au début d’Internet, j’ai joué (de l’autre côté) avec ces outils. Et surtout, je me suis toujours tenu informé de l’évolution des menaces.

11h15 : Le bilan.

Au fur et à mesure des vérifications, le verdict s’alourdit :

• Le serveur principal est entièrement chiffré.

• Une première sauvegarde aussi.

• La seconde, ouverte par Benoît, est désormais inutilisable.

• Une troisième sauvegarde est corrompue.

Il ne reste qu’une quatrième sauvegarde, vieille de 15 jours, qui semble tenir le choc.

A ce moment-là, Hugues, le DG, arrive enfin. Nous lui présentons la situation :

• Une partie des données est perdue à jamais.

• Il faudra au moins une semaine pour revenir à une pseudo activité normale.

Il explose : « Ce n’est pas possible ! Tout le monde doit retravailler lundi ! ».

Je respire un grand coup et lui explique que le pirate est probablement encore là, quelque part, tapi dans le réseau. Reprendre trop vite, c’est lui rouvrir la porte.

15h30 : Deuxième vague d’appels.

Nouvelle pyramide d’appels pour prévenir tous les salariés. Objectif : les informer que les bureaux resteront fermés jusqu’à nouvel ordre et leur demander de nous signaler toute anomalie sur leurs PC respectifs.

La semaine suivante, nous naviguons à vue. Lundi, mardi, mercredi, jeudi… Le réseau se reconstruit petit à petit et se relance par segments.

Vendredi 11 janvier : 8 jours plus tard.

Les salariés peuvent enfin revenir et l’activité reprend peu à peu.

L’enquête, elle, sera frustrante :

• Le pirate a exploité une porte dérobée laissée ouverte plusieurs mois auparavant sur le serveur par le prestataire CERFA pour la télémaintenance.

• Des données semblent avoir été été volées, mais on ne saura jamais précisément lesquelles.

• Impossible de remonter jusqu’au pirate : trop d’éléments ont été chiffrés ou altérés par le chiffrement.

Morale de l’histoire.

Même un prestataire informatique peut se retrouver démuni face à une cyberattaque.

Le premier maillon faible ne s'est trouvé ni dans le serveur, ni dans le firewall mais entre la chaise et le clavier.

Loin de vouloir incriminer le seul prestataire, cette cyberattaque interroge au sens large nos habitudes, nos réflexes et nos arbitrages.

Sans sensibilisation régulière, les salariés ne voient pas les signaux faibles. Ils n’identifient pas les comportements suspects. Ils n’alertent pas au bon moment.

Et dans ce genre de crise, chaque minute compte. Pour la survie d’une entreprise, ce n’est pas une image.... mais la réalité.

Parce qu’une cyberattaque ne prévient pas. Mais vous, vous pouvez choisir de ne pas la subir les yeux fermés !