Ransomware PME : comment se protéger et réagir en cas d'attaque

Q: Qu'est-ce qu'un ransomware ?

Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre vos fichiers et vous demande une rançon pour les récupérer. Il se propage principalement via des emails de phishing, des vulnérabilités non corrigées ou des accès RDP exposés. Les PME sont la cible principale car elles ont souvent des données de valeur mais des protections insuffisantes.

Q: Comment un ransomware entre-t-il dans une entreprise ?

90% des ransomwares entrent via le phishing (email avec pièce jointe ou lien malveillant). Les autres vecteurs sont les vulnérabilités logicielles non patchées, les accès Bureau à distance (RDP) exposés sur Internet avec des mots de passe faibles, et les clés USB infectées.

Q: Que faire si mon entreprise est touchée par un ransomware ?

1) Isolez immédiatement les machines touchées du réseau. 2) N'éteignez pas les serveurs (préservation de preuves). 3) Contactez un expert en cybersécurité. 4) Déposez une plainte (ANSSI, gendarmerie). 5) Ne payez pas la rançon — rien ne garantit la récupération des données. 6) Restaurez depuis votre dernière sauvegarde saine.

🚨 Chiffres clés 2025

1 PME française sur 3 a subi une cyberattaque en 2024
Coût moyen d'un ransomware pour une PME : 50 000 à 200 000 €
40 % des PME touchées ne s'en remettent pas (dépôt de bilan dans les 18 mois)

Qu'est-ce qu'un ransomware ?

Un ransomware (ou rançongiciel) est un programme malveillant qui s'introduit dans votre système informatique, chiffre l'ensemble de vos fichiers (documents, bases de données, sauvegardes accessibles en réseau) et vous demande une rançon — généralement en cryptomonnaie — pour obtenir la clé de déchiffrement.

Le résultat est immédiat : votre activité est paralysée. Impossible d'accéder à vos fichiers clients, vos devis, votre comptabilité, votre ERP. Certains ransomwares exfiltrent également les données avant de les chiffrer, menaçant de les publier si vous ne payez pas (double extorsion).

Comment un ransomware entre-t-il dans votre entreprise ?

📧

Phishing (90 % des cas)

Email qui semble légitime avec une pièce jointe piégée (PDF, Word, ZIP) ou un lien vers une page de connexion fausse. Un clic suffit pour infecter le poste, puis tout le réseau.

🖥️

RDP exposé sur Internet

Le Bureau à distance Windows (RDP) exposé sur Internet avec un mot de passe faible est une porte d'entrée classique. Les attaquants scannent Internet en permanence à la recherche du port 3389 ouvert.

🔓

Vulnérabilités non corrigées

Logiciels non mis à jour (Windows, VPN, pare-feu, applications web). Les ransomwares exploitent des failles connues — souvent corrigées depuis des mois — dans des systèmes jamais patchés.

🤝

Prestataire ou sous-traitant compromis

Un fournisseur ayant accès à votre réseau est compromis, et l'attaquant utilise cette connexion de confiance pour s'introduire chez vous. Attaques dites "supply chain".

Comment protéger votre PME contre les ransomwares

La bonne nouvelle : la grande majorité des attaques ransomware sont évitables avec des mesures de base bien appliquées. Voici les 6 couches de protection que HEConcept déploie pour ses clients :

1 Sauvegarde 3-2-1 hors ligne

3 copies, 2 supports différents, 1 hors site ou hors ligne. La copie hors ligne est inatteignable par le ransomware. C'est votre filet de sécurité ultime. Testez la restauration régulièrement — une sauvegarde non testée n'est pas une sauvegarde.

2 EDR sur tous les postes et serveurs

L'EDR (Endpoint Detection & Response) analyse les comportements en temps réel. Contrairement à l'antivirus classique, il détecte les ransomwares par leur comportement (chiffrement massif de fichiers) et peut isoler automatiquement le poste infecté avant que la propagation ne s'étende.

3 Authentification multi-facteurs (MFA)

Activez le MFA sur tous les accès distants (VPN, RDP, messagerie, applications cloud). Même si un identifiant est volé, l'attaquant ne peut pas se connecter sans le second facteur.

4 Pare-feu UTM et segmentation réseau

Un firewall UTM bloque les connexions sortantes vers les serveurs de commande des ransomwares (C&C). La segmentation réseau (VLAN) limite la propagation : si un poste est infecté, le ransomware ne peut pas atteindre tous les autres.

5 Mises à jour régulières

Appliquez les patchs de sécurité dès leur publication. Utilisez un outil de gestion centralisée (RMM) pour vous assurer qu'aucun poste ou serveur n'est oublié. Les vulnérabilités non patchées sont exploitées en moyenne dans les 15 jours suivant leur publication.

6 Sensibilisation des utilisateurs

La technique est secondaire si vos collaborateurs cliquent sur tout. Une formation annuelle + des simulations de phishing réduisent drastiquement le taux de clic. L'humain est le premier rempart — et la première faille.

Que faire si vous êtes touché par un ransomware ?

Vous venez de voir un message de rançon sur votre écran. Voici ce que vous devez faire dans l'ordre, sans paniquer :

1
Isolez immédiatement les machines touchées
Débranchez le câble réseau ou désactivez le Wi-Fi des postes infectés. Bloquez leur accès au réseau depuis le firewall. Ne les éteignez pas.
2
N'éteignez pas les serveurs
La mémoire vive contient des informations précieuses pour l'investigation. Les experts pourront peut-être récupérer la clé de chiffrement.
3
Contactez un expert en réponse à incident
HEConcept ou un spécialiste cyber peut analyser l'attaque, identifier le ransomware et déterminer si un déchiffreur gratuit existe (site NoMoreRansom.org).
4
Déposez plainte
Plainte auprès de la gendarmerie ou de la police. Signalez l'incident à l'ANSSI (cybermalveillance.gouv.fr). Indispensable pour déclencher votre assurance cyber.
5
Ne payez pas la rançon
Payer finance les cybercriminels et ne garantit pas la récupération de vos données. 30 % des victimes qui paient ne récupèrent pas tout.
6
Restaurez depuis vos sauvegardes saines
Si votre sauvegarde 3-2-1 est en ordre, vous redémarrez l'activité. C'est pour ça que la sauvegarde est la priorité absolue.

Questions fréquentes — Ransomware

Qu'est-ce qu'un ransomware ?

Un ransomware (rançongiciel) est un logiciel malveillant qui chiffre vos fichiers et vous demande une rançon pour les récupérer. Il se propage principalement par phishing, vulnérabilités non patchées ou RDP exposé. Les PME sont la cible principale car elles ont des données de valeur mais des protections souvent insuffisantes.

Comment un ransomware entre-t-il dans une entreprise ?

90 % des ransomwares entrent via le phishing. Les autres vecteurs sont les accès RDP exposés avec des mots de passe faibles, les vulnérabilités logicielles non corrigées, et les prestataires compromis (attaques supply chain).

Que faire si mon entreprise est touchée par un ransomware ?

Isolez immédiatement les machines touchées, n'éteignez pas les serveurs, contactez un expert cyber, déposez une plainte, ne payez pas la rançon, puis restaurez depuis vos sauvegardes saines. Plus vous agissez vite sur l'isolation, moins la propagation est étendue.

Audit cybersécurité gratuit pour votre PME

HEConcept évalue votre niveau de protection et vous remet un rapport de recommandations priorisées — sans engagement.

Demander l'audit gratuit →

Ransomware PME : comment se protéger et que faire en cas d'attaque

Qu'est-ce qu'un ransomware ?

Comment un ransomware entre-t-il dans votre entreprise ?

Comment protéger votre PME contre les ransomwares

Que faire si vous êtes touché par un ransomware ?

Questions fréquentes — Ransomware

Qu'est-ce qu'un ransomware ?

Comment un ransomware entre-t-il dans une entreprise ?

Que faire si mon entreprise est touchée par un ransomware ?

Audit cybersécurité gratuit pour votre PME