حدّدت الوكالة الوطنية للسلامة المعلوماتية موجموعة من مراحل التّي يجب اتباعها بعد التعرّض لهجمة سيبرنية أو إلكترونية ، داعية إلى عدم فصل أو إطفاء جهاز الحاسوب خلال الحادثة، لأن من شأن ذلك الزيادة في مخاطر فقدان أدلّة الهجمة، وأن تسجيل الخروج من الشبكة هي الطريقة الأفضل بالنسبة للمتضرر .
وفي هذه الحالة يجب على المؤسسة وضع خليّة أزمة عبر تعيين مسؤول للقيام بالعمليّات الضروريّة وإطلاق المسار لإنقاذ أو استعادة البيانات اللازمة .
من جهة أخرى فإنّه على المؤسسة حفظ المعطيات الأدلّة عن الهجمة عبر توثيق الحادثة ضمن تقرير من خلال ادماج صحيفة الروابط ولقطات الشبكات الى جانب نسخة عن القرص الصلب للحواسيب المتأثرة من الهجمة. وعند انقضاء الأزمة فإنّه من الضروري إجراء تقرير بخصوص الخطوات المنجزة لتقييم هذه العملية .
