Rançongiciel
Reprise après rançongiciel : préparer PRA/PCA, sauvegardes et décisions de crise
La reprise après rançongiciel ne se joue pas seulement sur la sauvegarde. Elle dépend aussi des accès, de l'ordre de restauration, des dépendances techniques, de la communication et de la capacité de décision sous pression.
Ne pas confondre sauvegarde et restauration
Une sauvegarde existante n'est pas une preuve de reprise. La vraie preuve est la capacité à restaurer les bonnes données, avec les bons accès, dans le bon ordre et dans un délai acceptable pour le métier.
Un test de restauration limité mais complet révèle souvent les dépendances oubliées : identité, DNS, certificats, comptes de service, réseau, stockage ou validation applicative.
Préparer les premières décisions de crise
Lors d'un rançongiciel, l'organisation doit décider vite : isoler, préserver, restaurer, communiquer, mobiliser des prestataires, informer des parties prenantes. Ces décisions ne doivent pas être improvisées dans la panique.
Un runbook court, un annuaire hors SI et des critères de priorisation réduisent fortement la confusion des premières heures.
- cellule de crise
- annuaire hors SI
- critères de restauration
- contacts juridique / assurance
- messages internes
Construire un PRA/PCA utilisable
Un PRA/PCA doit être un outil de décision, pas un document dormant. Il doit indiquer ce qui reprend en premier, qui valide, quelles ressources sont nécessaires et quels modes dégradés sont acceptables.
Les exercices réguliers permettent de transformer un plan théorique en routine de reprise.
Questions fréquentes
Quel test lancer en premier ?
Choisir un système critique et organiser un test de restauration limité, documenté et validé par le métier. C'est souvent le meilleur révélateur de maturité.