Cyberattaque : le plan d’urgence des PME réunionnaises

Illustration d'une équipe de PME réunionnaise réagissant à une alerte de cyberattaque sur ses écrans

Face à une cyberattaque, les premières heures décident de presque tout : isoler les machines, ne pas éteindre, ne pas payer, prévenir les bonnes personnes. Une PME qui a préparé un plan d’urgence — même une simple page plastifiée — redémarre en jours ; une PME qui improvise peut perdre des semaines. Voici le plan de réaction, puis le plan de préparation.

Pourquoi une PME réunionnaise est-elle une cible ?

Parce que les attaquants visent la facilité, pas la taille. Le panorama de la cybermenace publié par l’ANSSI en mars 2026 le confirme : les PME représentaient 48 % des victimes de rançongiciel recensées en 2025. Les grandes entreprises se sont blindées ; les attaques glissent vers les structures moins protégées.

Le phénomène est massif : la plateforme Cybermalveillance.gouv.fr a enregistré plus de 423 000 demandes d’assistance en 2024, en hausse d’environ 50 % sur un an. Chez les professionnels, l’hameçonnage reste la menace numéro un, à l’origine d’environ une demande d’assistance d’entreprise sur cinq.

Et le coût est loin d’être théorique : le cabinet Asterès l’estimait en 2023 à 25 600 € en moyenne de coûts directs par attaque réussie, hors rançon éventuelle. Pour une TPE réunionnaise, ajoutez les spécificités de l’île : un serveur à remplacer peut mettre des semaines à arriver par fret, et le support de votre prestataire métropolitain n’ouvre qu’à 10 h ou 11 h heure Réunion. L’improvisation coûte ici plus cher qu’ailleurs.

Les premières heures : les six bons réflexes

Vous constatez des fichiers chiffrés, une demande de rançon, un compte inaccessible ou des virements suspects. Dans l’ordre :

  • Isolez, n’éteignez pas. Débranchez le câble réseau et coupez le Wi-Fi des machines touchées, mais laissez-les allumées : la mémoire contient des preuves utiles aux enquêteurs.
  • Déconnectez les sauvegardes. Un disque de sauvegarde branché pendant l’attaque sera chiffré aussi. Mettez-le hors de portée immédiatement.
  • Ne payez pas la rançon. Payer ne garantit rien, finance les attaquants et vous signale comme payeur. C’est la recommandation constante des autorités.
  • Alertez votre prestataire informatique — ou, à défaut, rendez-vous sur 17Cyber ou Cybermalveillance.gouv.fr, qui établissent un diagnostic et orientent vers des prestataires référencés.
  • Changez les mots de passe critiques depuis un appareil sain : messagerie, banque, administrateur.
  • Prévenez votre banque au moindre doute sur des paiements, pour bloquer ou tenter de rappeler des virements.

Affichez cette liste quelque part : au moment où vous en aurez besoin, votre informatique sera peut-être hors service — et la version imprimée deviendra votre seul document accessible. Gardez-en aussi une copie chez vous ou dans votre véhicule : une crise ne prévient pas de l’endroit où elle vous trouvera.

Qui prévenir, et quelles sont vos obligations ?

Une cyberattaque n’est pas qu’un problème technique, c’est aussi un dossier administratif. Quatre interlocuteurs :

  • La police ou la gendarmerie : déposez plainte, idéalement sous 72 heures. C’est indispensable pour l’assurance et cela alimente les enquêtes.
  • La CNIL : si des données personnelles (clients, salariés) ont pu être volées ou exposées, la notification est obligatoire sous 72 heures. Nous avions détaillé ces obligations dans notre article sur le RGPD pour les TPE réunionnaises.
  • Votre assureur : vérifiez si votre contrat comporte un volet cyber et respectez ses délais de déclaration.
  • Vos clients et partenaires, si leurs données ou vos échanges sont concernés. Une communication honnête et rapide préserve la confiance ; le silence la détruit.

À La Réunion, le tissu économique est dense et interconnecté : vos clients sont souvent aussi vos voisins, vos fournisseurs, vos connaissances. La transparence en cas d’incident y est encore plus payante qu’ailleurs — et la rumeur, encore plus rapide.

Comment préparer votre plan d’urgence avant l’attaque ?

Le plan tient sur une page. Rédigez-le un vendredi calme, pas un lundi de crise :

  • La liste des contacts d’urgence : prestataire informatique, banque, assureur, hébergeur du site, opérateur télécom — avec les numéros de téléphone, pas seulement les e-mails.
  • L’inventaire de vos outils critiques : quels logiciels, quelles données, hébergés où, avec quels identifiants d’administration (conservés en lieu sûr).
  • La règle de sauvegarde 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors site et déconnectée. À La Réunion, pensez cyclone : la copie « hors site » protège aussi contre les dégâts physiques.
  • Un test de restauration par trimestre. Une sauvegarde jamais testée est une hypothèse, pas une protection.
  • Un référent désigné : qui décide de couper le réseau ? Qui parle aux clients ? Même à trois salariés, le dire à l’avance évite la panique.

Ce plan complète les mesures de prévention que nous avions détaillées dans nos 5 réflexes essentiels de cybersécurité : mots de passe robustes, double authentification, mises à jour, méfiance face aux e-mails pressants, sauvegardes. La prévention réduit la probabilité ; le plan d’urgence réduit les dégâts. Il vous faut les deux.

Dernier conseil : parlez-en à votre équipe. La plupart des attaques commencent par un e-mail d’hameçonnage ouvert de bonne foi. Un salarié qui ose dire immédiatement « j’ai cliqué sur un lien bizarre » vous fait gagner des heures précieuses — à condition qu’il sache qu’il ne sera pas blâmé.

Une fois le plan écrit, testez-le une fois par an, comme un exercice d’évacuation. Le scénario tient en une question posée un matin : « nos fichiers sont chiffrés, on fait quoi ? ». Trente minutes suffisent pour vérifier que chacun connaît son rôle, que les numéros sont à jour et que la dernière sauvegarde se restaure vraiment. Les failles du plan se découvrent bien mieux pendant un exercice que pendant une crise.

Ce qu’il faut retenir pour votre TPE/PME

  • Les PME représentaient 48 % des victimes de rançongiciel en 2025 (ANSSI) : la taille ne protège pas, elle attire même.
  • Les six réflexes des premières heures : isoler sans éteindre, déconnecter les sauvegardes, ne pas payer, alerter, changer les mots de passe, prévenir la banque.
  • Plainte sous 72 h, notification CNIL sous 72 h si des données personnelles sont touchées, déclaration à l’assureur.
  • Un plan d’urgence d’une page, imprimé, avec contacts et sauvegardes testées : c’est la différence entre quelques jours et quelques semaines d’arrêt.

FAQ

Combien coûte une cyberattaque à une petite entreprise ?

Le cabinet Asterès estimait en 2023 le coût direct moyen d’une attaque réussie à 25 600 € hors rançon, auxquels s’ajoutent les pertes d’exploitation pendant l’arrêt. Le vrai coût dépend surtout de votre préparation : des sauvegardes saines et testées changent radicalement la facture.

Faut-il une cyber-assurance ?

C’est de plus en plus pertinent, y compris pour les petites structures, mais lisez les conditions : exigences de sécurité minimales, délais de déclaration, plafonds. Une assurance ne remplace jamais les sauvegardes ni la prévention — elle les complète.

Que faire si je reçois un e-mail suspect sans avoir cliqué ?

Ne cliquez sur rien, ne répondez pas, signalez-le sur la plateforme Signal Spam ou transférez-le à votre référent informatique, puis supprimez-le. Prévenez vos collègues : un e-mail d’hameçonnage arrive rarement dans une seule boîte de l’entreprise.

Vous avez un projet dans le numérique ? Devenez adhérent de Digital Réunion et rejoignez l’écosystème numérique réunionnais.

Table des matières
Partager sur:
Facebook
Twitter
LinkedIn

Autres Actualités