diff --git a/a-placer.md b/a-placer.md
new file mode 100644
index 0000000..f3ce284
--- /dev/null
+++ b/a-placer.md
@@ -0,0 +1,19 @@
+
+1️⃣ Prévenir l'ensemble des clients d'une panne et faire de la prévention (stratégie de communication) sur l'attaque que l'entreprise à subit et les moyens pour les clients de la prévenir en amont ;
+2️⃣ Déconnecter l'ensemble du réseau et identifier le début du chiffrement dans des logs et remonter à quelques jours avant pour trouver les clés de registre, exe .. Afin de créer un script permettant de filtrer les postes et serveurs ;
+3️⃣ Mettre en place même si coûteuse d'autres instances clone sain du SI pourquoi pas dans différents datacenter, voir plusieurs (Vsphère), reconnecter uniquement les gros comptes dessus dès que possible puis les autres (pas tous sur le même clone) en monitorant l'activité, cela permet d'isoler les différents clients si un poste est infecté de recontaminer l'ensemble du réseau ;
+4️⃣  Déposez plainte au commissariat de police ou à la gendarmerie la plus proche, chaque logiciel malveillant a son propre fonctionnement et les méthodes de désinfections diffèrent selon le type de logiciel. Les sites suivants peuvent fournir des solutions dans certains cas :
+https://www.nomoreransom.org/fr/index.4html 
+https://stopransomware.fr/
+https://id-ransomware.malwarehunterteam.com/
+
+5️⃣  Tenter des solutions du gouvernement par ces outils mis à disposition  : 
+https://www.demarches.interieur.gouv.fr/particuliers/ransomware-rancongiciel-blocage-ordinateur-smartphone
+
+6️⃣  Conserver toutes les preuves relatives à l’attaque : heure et date de l’évènement, description de l’évènement, mesures mises en œuvre.
+7️⃣  Mettre en place des astreintes, afin d'identifier si un client infecté revient sur le réseau pour stoper toute suite l'activité et petit à petit les désinfectais ;
+8️⃣  Plus tard, mettre en place un PRA/PCA que tout SI normalement constitué doit établir pour prévenir de façon générale une interruption d'activité avec les risques et les solutions pour la reprise d'activité.
+
+Tenter Rkill comme solution rapide dans un premier temps : toolslib.net/downloads/viewdownload/111-rkill/
+
+Tout cela permet d'éviter le stress des équipes et permet d'utiliser les plans pour le rétablissement rapide du SI.
\ No newline at end of file