Vous venez de recevoir une alerte : les données de votre entreprise sont sur le dark web. Les identifiants de vos employés sont vendus dans un dump de violation. Ce moment définit si cela devient un incident gérable ou une violation catastrophique. Les 72 prochaines heures sont essentielles. Voici exactement ce qu'il faut faire.

Premiers 15 minutes — Triage immédiate

La panique est naturelle. Résistez-y.

Vos premières actions sont purement mécaniques : rassemblez des faits, documentez tout et activez le mécanisme de réponse aux incidents.

Faites ceci maintenant :

• Capturez tout. Prenez des captures d'écran de l'alerte, de la source, de l'horodatage, de l'URL. Vous en aurez besoin pour l'analyse médico-légale et les dépôts réglementaires.
• Identifiez l'étendue. Combien d'enregistrements sont exposés ? Quels types de données ? Mots de passe des employés ? Données personnelles de clients ? Données de cartes de paiement ? Propriété intellectuelle ? Cela détermine si vous faites une notification RGPD ou une urgence multi-pays.
• Déterminez l'âge. S'agit-il d'une violation toute nouvelle d'il y a une semaine, ou de données anciennes d'un incident que vous avez déjà corrigé il y a trois ans ? La chronologie importe pour la priorité d'enquête.
• Demandez : Sommes-nous actuellement compromis ? Une annonce sur le dark web pourrait être des données obsolètes. Ou elle pourrait signaler qu'un intrus est toujours dans votre réseau. C'est la question à laquelle votre CISO doit répondre immédiatement.
• Escaladez. Appelez votre CISO, directeur informatique, conseiller juridique et DPD (si vous en avez un). Si vous avez un plan de réponse aux incidents documenté, activez-le maintenant. Si ce n'est pas le cas, notez-le comme élément d'action pour après la crise.

Heures 1–4 — Confinement et évaluation

La vitesse importe ici, mais la précision importe plus. Votre objectif est d'arrêter le saignement avant de comprendre pleinement la blessure.

Confinement immédiat :

• Forcez la réinitialisation des mots de passe pour tous les comptes affectés. Oui, tous. Oui, immédiatement. C'est la seule action qui instantanément dévalorise les identifiants compromis sur le dark web. Les attaquants exécutent probablement des attaques de remplissage d'identifiants contre votre réseau maintenant, essayant d'utiliser les mots de passe exposés avant que les employés ne les changent.
• Révoquez les sessions actives. Déconnectez tout le monde. Forcez la réauthentification. Si un attaquant a déjà des sessions valides ouvertes, cela les termine.
• Vérifiez votre SIEM et vos journaux de sécurité. Cherchez des signes de compromission active :
  • Modèles de connexion inhabituels (hors heures, géographies inhabituelles, tentatives échouées)
  • Mouvement latéral (un compte compromis se déplaçant dans le réseau)
  • Exfiltration de données (grands transferts de fichiers, règles de réacheminement d'e-mail, téléchargements de stockage cloud)
  • Mécanismes de persistance (nouvelles tâches programmées, nouveaux comptes administrateur, règles VPN)

Questions d'évaluation :

• La violation est-elle en cours ou historique ? (Affecte l'urgence et l'étendue)
• Quels systèmes ont réellement été affectés ? (Les règles de notification diffèrent selon les données)
• Les données clients sont-elles incluses ? (Active la notification réglementaire dans presque toutes les juridictions)
• Les données de partenaires ou tiers sont-elles incluses ? (Responsabilité et exigences de notification supplémentaires)

Si vous n'avez pas l'expertise médico-légale en interne, engagez une firme externe de réponse aux incidents maintenant. Elle peut préserver les preuves correctement, effectuer l'attribution et vous guider dans la notification réglementaire. Ce n'est pas un coût à éviter.

L'horloge réglementaire de 72 heures RGPD/NIS2

Ce n'est pas optionnel.

Selon l'article 33 du RGPD, vous devez notifier votre autorité de contrôle dans les 72 heures après avoir pris connaissance d'une violation de données personnelles. Manquer ce délai n'est pas pardonnable—cela déclenche des amendes supplémentaires en plus de l'amende de violation principale.

Selon NIS2 (pour les opérateurs de services essentiels), le délai est encore plus serré : alerte précoce dans les 24 heures, notification complète dans les 72 heures.

Selon DORA (pour les institutions financières), notification immédiate aux régulateurs.

Les pénalités sont réelles :

• RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé, juste pour notification tardive
• NIS2 : amendes importantes et restrictions opérationnelles
• DORA : amendes + restrictions d'exploitation

Aperçu critique : Vous n'avez pas besoin d'avoir votre enquête terminée pour déposer une notification conforme. La loi s'attend à ce que vous notifiiez en fonction de ce que vous savez à la marque de 72 heures. Vous pouvez déposer une notification de suivi avec des détails supplémentaires au fur et à mesure de l'enquête.

Heures 4–24 — Notifiez et documentez

Juridique et conformité :

• Notifiez immédiatement votre DPD et votre conseiller juridique. Ils doivent être impliqués dans chaque décision.
• Notifiez votre autorité de contrôle. Pour les entreprises françaises, ceci est la Commission nationale de l'informatique et des libertés (CNIL).
  • Votre notification doit inclure :
    • Date et heure de la découverte
    • Description de la violation (quelles données, combien d'enregistrements, catégories de personnes affectées)
    • Conséquences probables
    • Mesures que vous prenez (correction, enquête, confinement)
    • Coordonnées de contact pour suivi
    • Note que l'enquête est en cours et vous fournirez des mises à jour
• Évaluez le risque de notification des personnes concernées. Si la violation présente un risque élevé pour les personnes (données sensibles, pas de chiffrement, déjà utilisé dans des escroqueries), vous devez notifier directement les personnes affectées. C'est séparé de la notification de l'autorité et se fait en parallèle.
• Notifiez immédiatement votre assureur cyber. De nombreuses polices ont des exigences strictes de notification. Retarder cela vous coûte la couverture.
• Préservez toutes les preuves au format médico-légal. Ne laissez pas votre équipe informatique simplement supprimer les journaux ou « nettoyer ». Tout est une preuve maintenant. La chaîne de garde importe pour l'enquête et le contentieux potentiel.
• Créez une chronologie détaillée de l'incident. Quand les données ont-elles été réellement volées versus quand vous en avez pris connaissance ? Cette distinction importe pour les calculs réglementaires et la responsabilité.

Jours 1–14 — Remédiation et récupération

Maintenant que des actions immédiates sont en place, passez au confinement et à la récupération complets.

Identifiants et accès :

• Forcez la réinitialisation des mots de passe dans toute l'entreprise si ce n'est pas déjà fait. Ne réinitialisez pas seulement les comptes affectés—supposez que votre coffre-fort de mots de passe est compromis.
• Implémentez ou renforcez l'authentification multi-facteurs sur tous les systèmes critiques. N'importe quel identifiant qu'un attaquant a acheté sur le dark web devient pratiquement inutile si l'authentification multi-facteurs est activée.
• Corrigez la vulnérabilité de cause profonde qui a permis la violation. C'est votre élément de correction principal. Vulnérabilité + identifiants volés = compromission active. Correction + identifiants volés = incident historique.

Enquête et attribution :

• Engagez une analyse médico-légale externe pour l'analyse de cause profonde. Vous devez savoir : Comment sont-ils entrés ? Quand ? Via quel système ? Ont-ils exfiltré uniquement les données ou les ont-elles vues ? Ont-ils installé une persistance ? Cela informe à la fois votre correction et votre réclamation d'assurance.
• Recherchez le mouvement latéral dans votre réseau. Si les attaquants avaient des identifiants valides, ils n'ont probablement pas seulement volé des données—ils se sont déplacés dans votre réseau. Trouvez ce qu'ils ont touché.

Durcissement opérationnel :

• Auditez tous les accès tiers. Les violations de données sont souvent retracées à des vendeurs tiers ou à des fournisseurs compromis. Qui a accès à vos systèmes ? En ont-ils encore besoin ? L'utilisent-ils ?
• Examinez et améliorez la couverture d'authentification multi-facteurs. Si l'authentification multi-facteurs avait été en place, cette violation aurait été infiniment moins dommageable. Rendez-la obligatoire pour tous les accès distants, tous les comptes privilégiés et tous les services cloud.
• Examinez et mettez à jour votre plan de réponse aux incidents. Maintenant que vous avez vécu cela, écrivez ce qui a fonctionné, ce qui n'a pas fonctionné et ce qui manquait. Mettez à jour votre liste de contacts, vos procédures d'escalade et vos relations avec les fournisseurs médico-légaux.

Communication et surveillance :

• Préparez les communications avec les clients si nécessaire. Si les données des clients ont été compromises, vous aurez besoin de communications transparentes et factuelles. Commencez à rédiger maintenant, mais ne l'envoyez que après avoir consulté le département juridique.
• Surveillez le dark web pour l'exposition continue de vos données. Les attaquants revendent parfois les mêmes données plusieurs fois. Configurez des alertes pour le nom de domaine de votre entreprise, les adresses e-mail des dirigeants et les noms des employés. DarkVault fournit une surveillance automatisée pour détecter les expositions de suivi.

Configuration de la surveillance continue après une violation

Une violation signale une vulnérabilité. Et les attaquants sont efficaces—ils revendent l'accès, les identifiants et les données plusieurs fois sur différents forums criminels.

Si les données de votre entreprise ont atteint le dark web une fois, vous avez besoin d'une surveillance continue pour détecter si elles sont revendues, exploitées pour des attaques de suivi ou regroupées avec d'autres violations.

Configurez les alertes dark web pour :

• Votre nom de domaine d'entreprise (pour les identifiants d'entreprise, les outils internes, le courrier professionnel)
• Noms des cadres dirigeants et adresses e-mail personnelles (pour l'hameçonnage ciblé)
• Noms de produits clés ou secrets commerciaux (pour le vol de PI ou l'intelligence concurrentielle)
• Votre secteur vertical + taille d'entreprise (les attaquants profilaient les cibles par secteur)

N'attendez pas la prochaine violation pour commencer à surveiller. Chaque entreprise de votre taille est ciblée. Commencez à surveiller le dark web maintenant pour détecter les expositions avant qu'elles ne soient exploitées. DarkVault fournit des scans continus du dark web et des alertes en temps réel pour que vous sachiez immédiatement quand vos données apparaissent.

Examen post-incident et rapports au conseil

Une fois la crise immédiate contenue, votre conseil et vos parties prenantes voudront des réponses.

Analyse de cause profonde :

• Qu'est-il réellement passé ? Quelle vulnérabilité a été exploitée ? S'agissait-il d'une vulnérabilité connue et corrigée qui n'avait pas été déployée en production ? Était-ce un zero-day ? S'agissait-il d'ingénierie sociale ou de compromission d'identifiants ?
• Aurait-ce pu être évité ? (Détermine la responsabilité des actionnaires et la couverture d'assurance cyber)

Reconstitution de la chronologie :

• Quand les données ont-elles été réellement volées ?
• Quand avez-vous pris connaissance ?
• Comment avez-vous pris connaissance ? (Détection interne, alerte externe, surveillance du dark web ?)
• Cette chronologie est critique pour la conformité réglementaire et les réclamations d'assurance.

Leçons réglementaires et financières :

• Combien la notification a-t-elle coûté ? (Heures d'avocats, relations publiques, médico-légal)
• Avez-vous respecté tous les délais réglementaires ?
• Quelle couverture votre assurance cyber a-t-elle fournie ?
• Qu'est-ce qui ne sera pas couvert en raison des clauses de négligence ?

Modèle de présentation au conseil :

Votre conseil posera trois questions : Qu'est-il passé ? Combien cela a-t-il coûté ? Comment le prévenons-nous la prochaine fois ? Structurez votre présentation autour de ces trois questions.

• Ce qui s'est passé : Un paragraphe. Pas de jargon. Juste les faits.
• Impact : Données compromises (types, volume), systèmes affectés, clients impactés, notifications réglementaires requises.
• Réponse : Chronologie des actions prises, coût de la réponse aux incidents, amendes/sanctions réglementaires, estimation des dommages à la réputation.
• Prévention : Quels changements vous apportez pour prévenir la récurrence. Budget requis.

FAQ

Combien de temps les données d'entreprise restent-elles sur le dark web ?

Indéfiniment. Une fois que les données sont sur le dark web, supposez qu'elles sont disponibles de façon permanente. Elles sont revendues, regroupées en nouveaux ensembles de données et partagées sur les forums. Le dark web est essentiellement une archive permanente. Votre stratégie de correction doit supposer que vos données sont compromises pour toujours—concentrez-vous sur la minimisation des dommages par la rotation des identifiants, l'authentification multi-facteurs et la surveillance.

Puis-je faire retirer mes données du dark web ?

Pratiquement parlant, non. Certains vendeurs prétendront que oui, mais ils paient essentiellement un opérateur de forum pour retirer vos données—et il n'y a aucune garantie qu'une autre copie ne circule pas déjà. Votre énergie est mieux dépensée dans la défense (authentification multi-facteurs, surveillance, contrôles d'accès) que dans la suppression.

Trouver mes données sur le dark web signifie-t-il définitivement que j'ai été piraté ?

Trouver des identifiants d'employés sur le dark web signifie que ces identifiants sont compromis. Que cela représente une violation active de vos systèmes dépend de la façon dont les identifiants ont été exposés. Ils pourraient être des données anciennes d'un incident non connexe, ou ils pourraient signaler un intrus actif maintenant. C'est pourquoi l'enquête médico-légale est critique—elle détermine si vous avez affaire à une exposition historique ou à un danger présent.