Lundi matin, 8h47. Vous allumez votre ordinateur et un message s’affiche à l’écran, vos fichiers sont chiffrés, une somme en cryptomonnaie est exigée sous 48 heures. Le logo de votre entreprise ne répond plus. Le serveur de fichiers est inaccessible. Vos collègues commencent à arriver.
Ce scénario n’est pas une fiction. En France, une entreprise est victime d’une cyberattaque toutes les 4 secondes. Les ransomwares, ou rançongiciels, représentent aujourd’hui la menace la plus dévastatrice pour les organisations de toutes tailles. Et contrairement à ce qu’on pourrait croire, les PME sont des cibles privilégiées : moins protégées que les grands groupes, elles restent suffisamment rentables pour les cybercriminels.
Les premières minutes : stopper la propagation
Quand un ransomware frappe, chaque minute compte. Le logiciel malveillant se propage activement sur votre réseau, il cherche d’autres machines à infecter, d’autres fichiers à chiffrer. Votre priorité absolue : l’isoler avant qu’il n’atteigne l’ensemble de votre infrastructure.
Débranchez immédiatement les machines infectées du réseau
Coupez le câble ethernet, désactivez le Wi-Fi, déconnectez les partages réseau. Ne vous contentez pas d’éteindre le Wi-Fi depuis Windows, débranchez physiquement. Chaque seconde de connexion laisse le ransomware progresser vers d’autres postes et serveurs.
Ne pas éteindre les serveurs
C’est contre-intuitif, mais éteignez le moins possible. La mémoire vive des machines infectées contient des informations précieuses pour les experts en forensique, clés de chiffrement partielles, traces d’activité malveillante. Éteindre efface ces indices définitivement.
Alerter toute l’équipe immédiatement
Personne ne doit ouvrir un fichier, cliquer sur un lien ou brancher une clé USB tant que l’étendue de l’infection n’est pas connue. Une seule action non coordonnée peut relancer la propagation.
Documenter ce que vous voyez
Prenez des captures d’écran du message de rançon, notez l’heure exacte de découverte, les machines visiblement touchées, les dernières actions effectuées avant l’incident. Ces informations seront essentielles pour les autorités et les experts qui interviendront.
Ne jamais payer la rançon
Le réflexe est compréhensible, récupérer ses données au plus vite, reprendre l’activité. Mais payer est une erreur dans la quasi-totalité des cas.
D’abord, rien ne garantit que vous récupérerez vos fichiers. Selon le rapport Veeam 2023, 21% des entreprises qui paient ne récupèrent jamais leurs données. Les cybercriminels ne sont pas des partenaires fiables.
Ensuite, payer vous expose à de futures attaques. Vous êtes désormais identifié comme une cible qui cède, votre nom circule sur les forums criminels.
Enfin, dans certains cas, payer est illégal. Si le groupe ransomware est sous sanctions internationales, OFAC aux États-Unis, règlements européens, le paiement peut engager votre responsabilité pénale.
La règle est simple : ne payez pas, signalez, faites appel à des experts.
Identifier le ransomware
Savoir à quelle souche vous avez affaire conditionne la suite. Certains ransomwares anciens ont des failles connues, des déchiffreurs gratuits existent et peuvent vous éviter toute perte de données.
Rendez-vous sur NoMoreRansom.org, la plateforme collaborative d’Europol, d’Interpol et des éditeurs de sécurité. Uploadez un fichier chiffré ou copiez le texte du message de rançon. Le site identifie la souche et vous indique si un déchiffreur est disponible. Vous pouvez également utiliser ID Ransomware, nomvirus.id, pour une identification rapide.
Si aucun déchiffreur n’existe pour votre souche, ne supprimez pas les fichiers chiffrés. Les clés de déchiffrement finissent parfois par être publiées des mois plus tard, suite au démantèlement de groupes criminels par les autorités.
Évaluer l’étendue des dégâts
Une fois la propagation stoppée, cartographiez rapidement ce qui a été touché.
Quels systèmes sont infectés ? Postes de travail, serveurs de fichiers, serveurs applicatifs, NAS, faites l’inventaire précis des machines compromises avant toute action de restauration.
Vos sauvegardes sont-elles intactes ? C’est la question critique. Si vos sauvegardes sont connectées en permanence au réseau, le ransomware les a probablement chiffrées aussi. Vérifiez en priorité vos sauvegardes hors ligne ou externalisées.
Y a-t-il eu exfiltration de données ? Les groupes ransomware modernes pratiquent la double extorsion, ils volent vos données avant de les chiffrer et menacent de les publier si vous ne payez pas. Consultez les journaux réseau pour détecter des transferts inhabituels dans les jours précédant l’attaque.
Cette évaluation conditionne tout, le temps de reprise estimé, les obligations légales de notification, et la stratégie de restauration.
Contacter les autorités et déclarer l’incident
Une cyberattaque par ransomware n’est pas un incident informatique interne, c’est un crime. Plusieurs démarches sont obligatoires ou fortement recommandées.
Déposer plainte auprès de la police ou de la gendarmerie. Conservez toutes les preuves, captures d’écran, logs, message de rançon. Sans plainte, aucune enquête n’est possible.
Signaler sur cybermalveillance.gouv.fr, la plateforme nationale d’assistance aux victimes de cyberattaques, référencée par l’État. Elle oriente vers des prestataires qualifiés et fournit des guides de remédiation adaptés à votre situation.
Notifier la CNIL sous 72 heures si des données personnelles ont été compromises, c’est une obligation légale RGPD. Le non-respect expose à des sanctions significatives.
Contacter votre assureur cyber si vous disposez d’une couverture, certaines polices couvrent les frais de remédiation, la perte d’exploitation et les frais juridiques.
Face à une attaque active, être accompagné par cette entreprise de cybersécurité en Île-de-France permet d’accélérer le diagnostic, de contenir l’incident et d’orchestrer la reprise, sans improviser sous pression.
Restaurer depuis les sauvegardes
Si vos sauvegardes sont intactes, c’est ici que la reprise commence. Mais attention, restaurer trop vite sur un système encore compromis revient à remettre vos données dans une machine infectée.
Nettoyer avant de restaurer. Reformatez les machines infectées, réinstallez les systèmes d’exploitation depuis zéro. Ne réutilisez jamais un système compromis sans l’avoir entièrement reconstruit.
Appliquez la règle 3-2-1. Trois copies de vos données, sur deux supports différents, dont une hors ligne ou externalisée. C’est le standard minimum pour résister à un ransomware. Si vous n’étiez pas à ce niveau avant l’attaque, c’est le moment de l’implémenter.
Testez avant de reprendre. Une sauvegarde non testée n’est pas une sauvegarde. Vérifiez l’intégrité des données restaurées avant de remettre vos équipes en production.
Priorisez les systèmes critiques. Identifiez ce dont vous avez absolument besoin pour reprendre une activité minimale, messagerie, facturation, outils métier, et restaurez dans cet ordre.
Après la crise : éviter la récidive
La reprise d’activité ne signifie pas la fin du travail. La question la plus importante est : comment le ransomware est-il entré ?
Identifiez le vecteur d’entrée. Les trois causes les plus fréquentes sont un email de phishing ouvert par un collaborateur, un accès RDP exposé sur Internet sans authentification renforcée, et une vulnérabilité logicielle non patchée. Sans identifier la porte d’entrée, vous restez exposé.
Formez vos équipes. 85% des cyberattaques exploitent une erreur humaine. Une session de sensibilisation régulière réduit drastiquement le risque d’un prochain incident.
Auditez votre infrastructure. Un audit post-incident permet d’identifier toutes les failles résiduelles, pas seulement celle exploitée lors de l’attaque.