GUIDE CYBERSÉCURITÉ
Se protéger des ransomwares : guide entreprise
Le ransomware est aujourd'hui la première menace informatique pour les PME françaises. Comprendre comment une attaque se déroule, c'est déjà savoir où placer les défenses.
En bref
- Anatomie d'une attaque en 4 phases
- Les mesures de prévention qui comptent
- Sauvegardes résistantes au chiffrement
- Plan de réaction en cas d'attaque
Comment se déroule une attaque par ransomware
Un ransomware (rançongiciel) est un logiciel malveillant qui chiffre vos fichiers et exige une rançon pour les déchiffrer — souvent doublée d'une menace de publication des données volées. Contrairement à l'image du virus instantané, une attaque moderne se déroule en quatre phases, parfois étalées sur plusieurs semaines :
- L'intrusion. Le point d'entrée est presque toujours banal : un e-mail de phishing qui vole un mot de passe, un accès distant (RDP, VPN) mal protégé, ou une faille non corrigée sur un équipement exposé.
- La progression. L'attaquant explore le réseau, élève ses privilèges jusqu'aux comptes administrateurs et repère les données de valeur.
- La neutralisation des défenses. Avant de chiffrer, il exfiltre des données, désactive l'antivirus quand il le peut, et surtout détruit ou chiffre les sauvegardes accessibles depuis le réseau.
- Le chiffrement et la rançon. Souvent lancé une nuit de week-end. Au matin, les fichiers sont illisibles et une note de rançon s'affiche.
Cette chronologie a une conséquence pratique : chaque phase est une occasion de détection et de blocage. La défense ne repose jamais sur un seul outil.
Prévention : réduire la surface d'attaque
- Double authentification (MFA) sur la messagerie, le VPN et tous les accès distants : elle neutralise la majorité des vols de mots de passe.
- Mises à jour systématiques des postes, serveurs et équipements réseau — le cœur d'une maintenance informatique sérieuse.
- Comptes à privilèges maîtrisés : personne ne travaille au quotidien avec un compte administrateur ; les comptes admin sont nominatifs et rares.
- Accès distants durcis : pas de RDP exposé sur Internet, VPN à jour avec MFA. Voir notre guide du télétravail sécurisé.
- Cloisonnement du réseau : séparer serveurs, postes et Wi-Fi invité limite la progression d'un attaquant — un chantier typique de réseau d'entreprise.
- Sensibilisation des équipes : exercices de phishing, réflexe de signalement. L'humain est la première ligne de détection.
Sauvegardes : votre assurance-vie face au chiffrement
Si tout le reste échoue, seules les sauvegardes permettent de refuser la rançon. Encore faut-il qu'elles survivent à l'attaque : les opérateurs de ransomware ciblent les sauvegardes en priorité. Appliquez la règle 3-2-1 — 3 copies, 2 supports, 1 hors site — en y ajoutant une exigence : au moins une copie hors ligne ou immuable, c'est-à-dire impossible à modifier ou supprimer même avec des droits administrateur volés. Testez la restauration régulièrement et chronométrez-la : c'est ce temps, pas la sauvegarde elle-même, qui déterminera vos jours d'arrêt. Notre service de sauvegarde informatique intègre ces exigences par défaut.
Détection : repérer l'attaque avant le chiffrement
L'antivirus classique, qui compare les fichiers à des signatures connues, ne suffit plus : les attaquants utilisent des outils légitimes et des malwares inédits. Les solutions EDR (Endpoint Detection and Response) analysent les comportements — chiffrement massif de fichiers, élévation de privilèges, désactivation de services — et peuvent isoler automatiquement une machine compromise. Pour choisir entre antivirus managé et EDR selon votre taille et votre budget, consultez notre guide choisir un antivirus d'entreprise. Couplé à une supervision qui alerte sur les anomalies (connexions nocturnes, pics d'activité disque), l'EDR transforme une catastrophe en incident maîtrisé.
Plan de réaction : les bons réflexes en cas d'attaque
- Isolez immédiatement les machines touchées : débranchez le réseau (câble, Wi-Fi), sans éteindre les machines si possible — la mémoire contient des indices utiles à l'investigation.
- Coupez les accès distants et changez les mots de passe des comptes à privilèges depuis un poste sain.
- Alertez votre prestataire ou une équipe de réponse à incident. Déposez plainte, et notifiez la CNIL sous 72 h si des données personnelles sont touchées (voir RGPD en entreprise).
- Ne payez pas la rançon : le paiement ne garantit ni le déchiffrement ni la non-publication, et finance les prochaines attaques. C'est aussi la position de l'ANSSI.
- Restaurez proprement : reconstruisez à partir de sauvegardes saines, après avoir identifié et fermé le point d'entrée — sinon l'attaque recommence.
- Tirez les leçons : formalisez le retour d'expérience dans un plan de reprise d'activité testé.
Erreur à éviter : restaurer les sauvegardes sur un réseau encore compromis. On identifie d'abord le point d'entrée, on assainit, puis on restaure.
Questions fréquentes
FAQ
Les PME sont-elles vraiment ciblées par les ransomwares ?
Oui, majoritairement. Les attaques sont largement automatisées et visent les cibles les moins défendues : TPE, PME et collectivités représentent l'essentiel des victimes recensées en France.
Faut-il payer la rançon ?
Non. Le paiement ne garantit ni la récupération des données ni la confidentialité, il finance la criminalité et fait de vous une cible récurrente. La bonne réponse est la restauration depuis des sauvegardes saines.
Un antivirus classique suffit-il ?
Non. Il bloque les menaces connues mais rate les attaques comportementales modernes. Un EDR managé, qui détecte et isole les comportements suspects, est devenu le standard pour les entreprises.
Combien coûte une protection sérieuse contre les ransomwares ?
Pour une PME : EDR (quelques euros par poste et par mois), sauvegarde immuable, MFA et sensibilisation. L'ensemble reste très inférieur au coût d'une seule attaque, souvent chiffré en dizaines de milliers d'euros.
Une cyber-assurance remplace-t-elle la prévention ?
Non, elle la complète. Les assureurs exigent d'ailleurs des prérequis (MFA, sauvegardes externalisées, EDR) avant de couvrir le risque, et les exclusions sont nombreuses en cas de négligence.
Votre entreprise résisterait-elle à un ransomware ?
Nous évaluons vos défenses — accès, sauvegardes, détection — et corrigeons les failles prioritaires.