Comment Formind accompagne les entreprises victimes d’un ransomware ?

Les entreprises victimes d’un ransomware peuvent être tentées de vouloir gérer la crise par elles-mêmes. Face à une complexité multiple : circonscrire le périmètre compromis, communiquer avec les cybercriminels, gérer la communication vis-à-vis des clients, partenaires et autorités,… la situation impose l’aide d’un partenaire rompu à ces situations.

C’est dans ce contexte que Formind intervient avec sa Force d’Intervention Rapide, une équipe d’experts spécialisés dans la réponse à incident.

1. Comment cette dernière intervient-elle dans le cadre d’une cyberattaque par ransomware ?
2. Quelles sont les mesures de protection mises en place ?
3. Comment est organisée la reconstruction du système d’information ?

Éléments de réponse avec Christophe Bretonnière, Incident Response Manager chez Formind.

Phase initiale : analyse, qualification et planification de la réponse

Lorsqu’une attaque par ransomware survient, nos clients contactent rapidement l’équipe de réponse à incident de Formind, car en incapacité de gérer ce type d’attaque.

Comme le souligne Christophe Bretonnière : « Il n’est pas rare de recevoir des appels d’urgence le vendredi ou le lundi matin. C’est pour cela que nous conseillons d’appeler au moindre doute car une intervention précoce permet de limiter les impacts et d’organiser rapidement une réponse adaptée. Les premières heures sont déterminantes dans la gestion de cette crise. »

Cet échange permet ainsi d’établir rapidement un état des lieux de l’incident afin de structurer les premières actions.

Collecte d’information et périmètre de l’incident

Lors de cette première prise de contact, l’entreprise est mise en relation avec un expert dont l’objectif est de comprendre l’étendue de la cyberattaque au travers de trois questions :

• Quel est le type d’incident ?
• Quel est le périmètre impacté ?
• Quelles actions ont déjà été engagées ?

Ces éléments permettent de qualifier précisément l’incident et d’évaluer l’ampleur de la situation.

Accompagné par les experts Formind, une réunion d’une durée de 30min à 1h, est organisée avec les responsables métiers de l’entreprise incluant les décideurs informatiques (RSSI et DSI) et la direction générale.

Elle permet de collecter les différents faisceaux d’informations disponibles, permettant de comprendre le contexte de cet événement.

Lors de cette phase, le dispositif d’intervention de la FIR Formind est défini et peut ainsi être intégré à la gestion de crise du client.

Premières mesures techniques

Une fois l’incident cadré, les premières actions techniques sont réalisées. L’objectif est double : contenir la propagation de l’attaque et préserver les preuves nécessaires à l’investigation.

Il s’agit notamment de protéger les sauvegardes existantes, de sécuriser les serveurs encore fonctionnels et de préserver les données métiers non impactées. Chaque élément encore intact doit être mis à l’abri pour limiter les pertes.

Il y a également un enjeu fort autour de la conservation des preuves. Comme le rappelle l’expert : « Plus on arrive tôt, plus les preuves sont récentes. C’est comme pour un cambriolage, l’environnement informatique peut être pollué par des actions de collaborateurs de l’entreprise, rendant plus difficile l’identification des traces des cybercriminels. »

Toutes les actions sont documentées pour assurer une complète traçabilité. Cela facilite les échanges avec les assurances, les autorités ou pour constituer un dossier en vue de déposer une plainte.

Ces premières mesures permettent de stabiliser l’environnement, condition indispensable avant de débuter l’investigation technique.

Investigation technique et compréhension de l’attaque

Une fois l’attaque contenue, les experts de Formind entament l’analyse technique. L’objectif est de comprendre comment l’attaquant  a pénétré le système d’information, quel a été son cheminement, et jusqu’où s’est-il propagé.

Collecte des preuves

Cette phase repose sur la collecte de données techniques : journaux systèmes, configurations, connexions réseau, traces laissées sur les postes et serveurs. L’ensemble de ces éléments permet de reconstituer le mode opératoire de l’attaque.

Pour mener cette analyse, une cartographie du système d’information est nécessaire.

Comme le souligne Christophe Bretonnière : « Idéalement, le client a déjà cette cartographie. S’il ne l’a pas, elle sera créée à partir des éléments disponibles. L’objectif est d’identifier les zones touchées, les actifs informatiques prioritaires à remédier et les points de fragilité du réseau ».

Analyse du mode opératoire

C’est sur la base de cette cartographie que l’analyse forensic commence afin de comprendre et de reconstituer la kill chain : comment l’attaquant a pénétré le système, quels moyens ont été employés, et jusqu’où l’infrastructure a été compromise.

Dans le cas d’une attaque par ransomware, la compromission initiale se fait souvent par l’exploitation d’une vulnérabilité logicielle exposée sur internet.

« Il n’est pas rare d’observer un cas de figure lors d’une investigation où le point d’entrée s’est fait par un firewall vulnérable, non mis à jour. L’attaquant compromet cet équipement, puis se crée un compte utilisateur qu’il revend ensuite sur le Dark Web. Ce type d’acteur est appelé initial access broker ou IAB. Ce sont des groupes de cybercriminels spécialisés dans l’ouverture d’accès initiaux sur une infrastructure ciblée. Avec les IAB, il suffit à un second groupe cybercriminel d’acheter cet accès, de se connecter au firewall, puis d’utiliser cette position pour compromettre l’ensemble du système d’information. » souligne l’expert.

Une fois la compromission identifiée, l’analyse permet également de mettre en évidence les cibles privilégiées par les attaquants : en priorité les systèmes de sauvegarde, dont la neutralisation rend toute restauration difficile, et les serveurs de fichiers, qui hébergent des données critiques et essentielles au fonctionnement quotidien de l’entreprise comme des archives, bons de commande, contrats ou documents de facturation.

En parallèle de l’analyse technique, un travail de veille est systématiquement réalisé sur le Dark Web.

L’objectif est de détecter d’éventuelles fuites de données liées à l’attaque. Les équipes travaillent en étroite collaboration avec le Security Operation Center (SOC) pour enrichir les constats techniques et, si nécessaire, préparer les déclarations officielles auprès de la CNIL ou d’autres autorités compétentes.

Reconstruction et retour à la normale

Une fois l’incident contenu et les analyses techniques menées, la reconstruction du système d’information peut commencer. Cette étape est souvent plus longue et plus complexe qu’on ne l’imagine. Elle ne consiste pas seulement à restaurer des machines, mais à repartir sur des bases saines et sécurisées.

La première étape consiste à prioriser les besoins métiers. Toutes les entreprises ne redémarrent pas de la même façon. Dans certains cas, les actifs critiques sont reconstruits en priorité pour relancer la production, la facturation ou l’accès aux données essentielles.

Lorsque tout le SI est à l’arrêt, une remise en service partielle peut être mise en place en quelques jours. Il s’agit souvent d’un mode dégradé, avec des postes provisoires, sans accès Internet, et des outils métiers remplacés temporairement par des fichiers Excel ou des procédures manuelles.

À partir de là, les actifs de l’infrastructure sont reconstruits progressivement, en tenant compte des priorités fonctionnelles, de la sécurité, et des capacités internes à suivre la remise en service. Chaque nouveau système d’exploitation remis en ligne doit être vérifié, isolé si nécessaire, et intégré à un environnement durci.

Une étape qui se fait sur un temps long comme le rappelle l’expert puisque : « la remédiation complète d’un système d’information peut prendre jusqu’à une année. »

Rapport, retour d’expérience et recommandations

Une fois l’incident maîtrisé et la reconstruction engagée, l’équipe de réponse à incident formalise l’ensemble des actions réalisées dans un rapport destiné à différents interlocuteurs : direction générale, autorités de régulation, assurances ou autorités judiciaires.

Il comprend habituellement deux volets :

• Une synthèse managériale, claire et accessible, qui retrace les faits, les impacts et les décisions prises.
• Une annexe technique détaillée, avec les éléments d’investigation, les traces collectées, les indicateurs de compromission, et les vulnérabilités exploitées.

Ce rapport peut également servir de support en cas de dépôt de plainte ou de contrôle par la CNIL, l’ANSSI, ou un organisme sectoriel.

Au-delà du rapport, chaque intervention donne lieu à un retour d’expérience. L’objectif est d’identifier les points de fragilité, de tirer les enseignements de la crise, et de renforcer durablement la posture de sécurité.

Des recommandations sont formulées à court, moyen et long terme, autour des sauvegardes, des accès, des procédures internes ou de la détection. Le but est de faire évoluer les pratiques, de mieux se préparer à l’avenir, et d’ancrer une véritable culture de la cybersécurité dans l’organisation.

Cette approche permet de mieux sensibiliser les équipes, de consolider les échanges avec les parties prenantes, et de faire de la gestion de crise un véritable levier de résilience.

Formind vous accompagne dans la réponse à incident

Au-delà de l’expertise technique, une réponse à incident réussie repose sur l’organisation, la clarté des décisions et la capacité à garder une vision d’ensemble, même sous la pression. Dans un contexte tendu, le facteur humain devient central. Une gestion calme, structurée, et bien communiquée fait toute la différence.

C’est souvent ce qui distingue une crise subie d’une crise maîtrisée.

Chez Formind, nous accompagnons les organisations à chaque étape :

• En amont, pour vous préparer.
• En cas d’urgence, pour intervenir rapidement.
• En sortie de crise, pour renforcer durablement votre posture de cybersécurité.

Besoin d’aide face à un incident ou envie d’évaluer votre niveau de préparation ?

Contactez nos équipes