Le ransomware ne fait pas de distinction
En 2025, une entreprise est victime d'un ransomware toutes les 11 secondes dans le monde. La France est le 4ème pays le plus touché en Europe. Les PME sont des cibles privilégiées : moins protégées, plus susceptibles de payer, et souvent sans plan de réponse. Le coût total moyen (rançon + arrêt d'activité + restauration) atteint 1,85 million d'euros pour une ETI française. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
Comment fonctionne un ransomware
Le scénario type en 5 étapes :
- Intrusion : email de phishing, faille RDP exposée, vulnérabilité logicielle non patchée
- Progression latérale : l'attaquant se déplace dans le réseau, identifie les systèmes critiques (2-14 jours en moyenne)
- Exfiltration : vol des données sensibles (pour la double extorsion)
- Chiffrement : tous les fichiers sont chiffrés simultanément, souvent la nuit ou le week-end
- Rançon : message exigeant un paiement en crypto-monnaie avec un compte à rebours
Prévention : les 8 mesures essentielles
1. Sauvegardes 3-2-1 (mesure la plus importante)
3 copies de vos données, sur 2 types de supports différents, dont 1 hors site et déconnecté. La sauvegarde hors ligne est cruciale : les ransomwares modernes ciblent aussi les sauvegardes réseau et cloud synchronisé. Testez la restauration régulièrement (au moins trimestriellement).
2. Mises à jour et patch management
60% des ransomwares exploitent des vulnérabilités connues et patchées. Politique : mises à jour critiques sous 48h, mises à jour normales sous 7 jours. Automatisez avec WSUS (Windows), Automox ou PDQ Deploy.
3. Antivirus EDR (pas un simple antivirus)
Les antivirus traditionnels ne détectent que 40-60% des ransomwares modernes. Les EDR (Endpoint Detection and Response) analysent le comportement et détectent les activités suspectes en temps réel. Solutions : CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Bitdefender GravityZone. Budget : 3-10€/poste/mois.
4. Segmentation réseau
Si un poste est compromis, le ransomware ne doit pas pouvoir atteindre tous les serveurs. Segmentez votre réseau en zones (bureautique, serveurs, IoT, DMZ). Les accès inter-zones passent par des règles de firewall strictes.
5. MFA partout
L'authentification multi-facteurs sur tous les accès critiques : VPN, email, RDP, applications cloud, comptes admin. Le MFA bloque 99,9% des attaques par compromission d'identifiants (Microsoft). Pas de SMS (interceptable) : utilisez une app TOTP ou une clé physique.
6. Fermer les ports RDP
Le protocole RDP (Remote Desktop Protocol) exposé sur internet est le vecteur d'entrée #1 des ransomwares. Ne laissez JAMAIS RDP accessible directement depuis internet. Utilisez un VPN ou une solution d'accès distant sécurisée (Tailscale, WireGuard).
7. Formation des employés
Des campagnes de simulation de phishing régulières (mensuelles). Les employés qui échouent reçoivent une formation supplémentaire. Objectif : réduire le taux de clic sur les emails de phishing simulés à moins de 5%. Outil : KnowBe4 (à partir de 18€/user/an).
8. Plan de réponse aux incidents
Documenté, testé et connu de tous. Qui contacter en premier ? Comment isoler les systèmes infectés ? Où sont les sauvegardes hors ligne ? Qui prend les décisions (payer ou ne pas payer) ? Simulez un incident au moins une fois par an.
Que faire en cas d'attaque (les 6 premières heures)
Heure 0-1 : Isoler
Déconnectez immédiatement les machines infectées du réseau (câble ET wifi). Ne les éteignez PAS (les données en mémoire RAM peuvent aider l'enquête). Déconnectez les partages réseau et les sauvegardes en ligne. Activez le mode incident de votre plan de réponse.
Heure 1-2 : Évaluer
Identifiez le type de ransomware (la note de rançon contient souvent le nom). Vérifiez sur nomoreransom.org si un outil de déchiffrement gratuit existe. Évaluez l'étendue : quels systèmes sont touchés ? Les sauvegardes sont-elles intactes ?
Heure 2-4 : Communiquer
Prévenez votre direction, votre assurance cyber, votre prestataire IT/MSSP. Déposez plainte (commissariat ou gendarmerie, ou via la plateforme THESEE). Déclarez l'incident à la CNIL si des données personnelles sont compromises (obligation RGPD sous 72h). Contactez l'ANSSI si vous êtes un opérateur d'importance vitale.
Heure 4-6 : Décider et agir
Restaurer depuis les sauvegardes OU négocier avec les attaquants (déconseillé par l'ANSSI). Si vous restaurez : vérifiez que les sauvegardes ne sont pas elles-mêmes infectées. Reconstruisez les systèmes à partir de zéro si possible. Changez TOUS les mots de passe de l'entreprise.
Faut-il payer la rançon ?
Position de l'ANSSI et du FBI : ne payez pas. Raisons :
- Seulement 8% des payeurs récupèrent toutes leurs données
- 65% des payeurs sont re-attaqués dans les 12 mois (ils sont identifiés comme « bons payeurs »)
- Le paiement finance les organisations criminelles
- Rien ne garantit que les données volées ne seront pas publiées quand même
Exception : si la survie immédiate de l'entreprise en dépend ET que les sauvegardes sont détruites. Dans ce cas, faites appel à un négociateur professionnel (les CSIRT et certaines assurances cyber en fournissent).
Assurance cyber : faut-il y souscrire ?
En 2026, une assurance cyber coûte 1 000-5 000€/an pour une PME. Couverture typique : frais de réponse à incident, pertes d'exploitation, frais de notification RGPD, rançon (selon les contrats), responsabilité civile. Rentable si votre activité est fortement dépendante du numérique ou si vous traitez des données sensibles.
Après l'attaque : les leçons
Post-mortem obligatoire : comment l'attaquant est-il entré ? Pourquoi les défenses ont-elles échoué ? Quelles mesures auraient empêché l'attaque ? Documentez et implémentez les corrections. Les entreprises qui ne font pas ce travail sont ré-attaquées dans 80% des cas.
