🎬Mode DémoChoisir une démo
Retour au hub d'urgence

Fiche d'urgence

Compte compromis

Mot de passe vole, compte mail/CRM utilise par un tiers, MFA contourne

Quelqu'un d'autre a acces a un de vos comptes professionnels - emails sortants suspects, regles de transfert ajoutees, donnees consultees.

60 premières minutes

Réflexes immédiats

  1. Forcer la deconnexion de toutes les sessions actives

    Pourquoi : Coupe l'acces immediat de l'attaquant. Disponible dans tous les services pro.

  2. Changer le mot de passe sur un AUTRE appareil (pas celui compromis)

    Pourquoi : Si le poste est compromis, le keylogger capture le nouveau mot de passe.

  3. Activer ou re-verifier la double authentification MFA

    Pourquoi : Empeche la reconnexion par mot de passe seul.

  4. Verifier les regles de transfert de mails (Outlook, Gmail) et delegues

    Pourquoi : Vecteur typique : l'attaquant met une regle 'tout copier vers email-attaquant'.

  5. Verifier les applications/connexions OAuth tierces autorisees

    Pourquoi : L'attaquant peut avoir cree un acces persistant via un app malveillante.

Antipatterns

Erreurs à éviter

  1. Ne PAS continuer a utiliser le poste si keylogger suspecte

    Pourquoi : Tous les nouveaux mots de passe sont compromis aussitot saisis.

  2. Ne PAS re-utiliser le mot de passe compromis ailleurs

    Pourquoi : Credential stuffing : vos autres comptes seront testes en quelques heures.

  3. Ne PAS supprimer les emails suspects sortants envoyes en votre nom

    Pourquoi : Preuves de l'utilisation frauduleuse.

  4. Ne PAS hesiter a alerter les contacts qui ont recu des emails suspects

    Pourquoi : Ils peuvent etre cibles d'arnaque en aval (faux RIB, etc.).

  5. Ne PAS attendre pour notifier la CNIL si donnees personnelles consultees

    Pourquoi : Delai 72h des connaissance raisonnable.

24 premières heures

Actions sous 24 h

  1. Auditer les logs d'acces (date, IP, user-agent) sur 30 jours

    Pourquoi : Determine la duree de la compromission et les actions de l'attaquant.

  2. Lister les emails/fichiers consultes ou exfiltres pendant la periode

    Pourquoi : Necessaire pour notification CNIL si donnees personnelles touchees.

  3. Lancer la rotation des mots de passe sur les autres comptes lies

    Pourquoi : Si l'attaquant a vu votre coffre-fort de mots de passe, tous sont a risque.

  4. Verifier sur HaveIBeenPwned si vos credentials sont publiquement leakes

    Pourquoi : Origine possible du compromise = autre fuite de service.

  5. Documenter l'incident dans votre registre RGPD (article 33-5)

    Pourquoi : Obligation legale meme si vous ne notifiez pas la CNIL.

Boîte à outils

Outils utiles

HaveIBeenPwned (nouvel onglet)

Verifier si email + mot de passe sont leakes publiquement

Microsoft 365 - verifier connexions (nouvel onglet)

Activite de connexion + applications tierces autorisees

Google Workspace - securite du compte (nouvel onglet)

Connexions recentes + appareils + 2FA

Accompagnement humain

Quand appeler Humanix Cybersecurity

Pour audit forensic complet du compte (timeline + impact), formation post-incident, et mise en place d'un MFA renforce. Intervention sur site possible.

Appeler maintenant Email d'urgence

Autres fiches d'urgence

Rançongiciel

Vos fichiers sont chiffres et un message demande une rançon

Fuite de donnees

Des donnees clients ou collaborateurs apparaissent en ligne

Fraude au president / virement frauduleux

Un faux PDG ou faux fournisseur a obtenu un virement

Vol ou perte de materiel pro

Laptop, telephone, cle USB ou disque externe disparu

« Pas de panique. Une heure de réflexion claire vaut une journée de sprint dans la peur. »