Retour aux actualitésRansomware

    Ransomware PME : prévention, réaction et reconstruction

    18 min de lecture

    Les ransomwares représentent en 2026 la menace cyber la plus dévastatrice pour les PME françaises. Selon le panorama de la cybermenace publié par l'ANSSI, 61 % des attaques traitées ciblaient des entreprises de moins de 250 salariés, avec une rançon moyenne demandée de 312 000 € et un coût total de remédiation supérieur à 1,2 million d'euros. Pire encore, 60 % des PME victimes d'une attaque par rançongiciel cessent leur activité dans les 18 mois.

    Ce guide complet détaille comment fonctionnent les ransomwares modernes, comment vous en protéger efficacement, et que faire si vous êtes victime — en intégrant les obligations imposées par la directive NIS2.

    Qu'est-ce qu'un ransomware en 2026 ?

    Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les données de la victime et exige le paiement d'une rançon — généralement en cryptomonnaie — pour fournir la clé de déchiffrement. Le modèle a profondément évolué :

    • Double extorsion : avant de chiffrer, l'attaquant exfiltre les données et menace de les publier en cas de non-paiement.
    • Triple extorsion : ajout d'attaques DDoS et de pressions sur les clients/partenaires de la victime.
    • Ransomware-as-a-Service (RaaS) : industrialisation du modèle, avec des plateformes (LockBit, BlackCat, Akira, Play) louant leur infrastructure à des affiliés.
    • Big Game Hunting : ciblage de PME et ETI plutôt que de grands groupes mieux protégés.

    Comment les ransomwares pénètrent-ils dans une PME ?

    L'ANSSI et l'éditeur Sophos identifient cinq vecteurs principaux représentant 92 % des compromissions :

    1. Phishing (44 %) : email piégé avec pièce jointe ou lien malveillant. Voir notre guide Phishing en entreprise.
    2. Identifiants compromis (24 %) : reuse de mot de passe, credential stuffing, achat de logs sur le dark web.
    3. Vulnérabilités exposées (15 %) : VPN, RDP, pare-feu, applications Web non patchés.
    4. Supply chain (6 %) : compromission via un fournisseur ou un MSP.
    5. Insider threat (3 %) : action malveillante interne ou erreur grave.

    Une attaque type dure aujourd'hui en moyenne 5 jours entre l'intrusion initiale et le déclenchement du chiffrement. Cette fenêtre est l'opportunité décisive pour détecter et stopper l'attaque avant l'irréparable.

    Les 7 mesures préventives indispensables

    1. Sauvegardes 3-2-1-1-0 (immutables et testées)

    La règle 3-2-1-1-0 est devenue le standard de l'industrie : 3 copies des données, sur 2 supports différents, dont 1 hors site, 1 immutable (write-once), avec 0 erreur lors des tests de restauration. Les sauvegardes immutables (S3 Object Lock, Veeam Hardened Repository, Rubrik) résistent au chiffrement par ransomware même si l'attaquant obtient des privilèges admin.

    2. EDR/XDR sur tous les endpoints

    L'antivirus traditionnel basé sur signatures est inefficace contre les ransomwares modernes. Un EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, HarfangLab) détecte les comportements anormaux : élévation de privilèges, énumération réseau, suppression de Volume Shadow Copies, processus de chiffrement de masse.

    3. Authentification multifacteur partout

    100 % des accès distants (VPN, RDP, M365, applications SaaS) doivent être protégés par MFA. Privilégier les clés FIDO2 ou les applications d'authentification, pas le SMS qui est facilement contourné par SIM swapping.

    4. Segmentation réseau et principe du moindre privilège

    Un attaquant qui compromet un poste utilisateur ne doit pas pouvoir atteindre directement le serveur de fichiers, l'AD, l'ESXi ou les sauvegardes. La segmentation Zero Trust et l'usage d'accès Just-In-Time (PAM) limitent drastiquement la propagation latérale.

    5. Patch management rigoureux

    Les vulnérabilités critiques exposées sur Internet (VPN Fortinet, Citrix, Ivanti, Exchange, MOVEit) doivent être corrigées dans les 72 heures maximum. Mettre en place un scan continu d'exposition externe (EASM) est devenu essentiel.

    6. Désactivation de RDP exposé et durcissement AD

    RDP exposé sur Internet est le vecteur d'attaque préféré des opérateurs de ransomware. Toutes les administrations distantes doivent passer par un bastion ou un VPN avec MFA. L'Active Directory doit être audité (Tier model, comptes à privilèges, GPO sécurité, désactivation NTLMv1/v2).

    7. Plan de réponse à incident testé

    Avoir un plan ne suffit pas : il doit être testé deux fois par an via des exercices tabletop incluant la direction, le DSI/RSSI, la communication, le juridique. Les rôles, contacts (CSIRT, assureur cyber, prestataire forensic), procédures de décision (paiement ou non, notification) doivent être pré-définis.

    Que faire en cas d'attaque ransomware : les 24 premières heures

    Heure H : Détection

    • NE PAS éteindre brutalement les machines : couper la connectivité réseau (débrancher le câble, isoler le VLAN) sans perdre les preuves en mémoire.
    • Activer la cellule de crise (DG, RSSI, DSI, communication, juridique).
    • Geler tous les changements IT en cours.

    H+1 à H+4 : Confinement

    • Isoler les segments compromis et couper les accès distants (VPN, RDP).
    • Préserver les preuves : copies disques, logs, dumps mémoire.
    • Contacter le CSIRT régional gratuit (cert.ssi.gouv.fr) et votre prestataire de réponse à incident.
    • Notifier votre assureur cyber (la plupart des polices imposent un délai de 24-48 h).

    H+4 à H+24 : Notifications légales

    • NIS2 : alerte précoce à l'ANSSI dans les 24 h si vous êtes entité essentielle ou importante.
    • RGPD : notification à la CNIL dans les 72 h si données personnelles compromises.
    • Plainte pénale : dépôt obligatoire dans les 72 h pour bénéficier de la prise en charge par l'assurance cyber (loi LOPMI 2023).
    • Communication interne aux collaborateurs (consignes, mode dégradé).
    • Communication externe préparée (clients, partenaires, médias) — la transparence est désormais valorisée.

    Faut-il payer la rançon ?

    La position officielle de l'ANSSI, du FBI et d'Europol est claire : ne payez pas. Les raisons :

    • Aucune garantie : 8 % des victimes ayant payé n'ont jamais récupéré leurs données. 18 % ont reçu une clé partielle ou défectueuse.
    • Récidive : 80 % des entreprises ayant payé sont reattaquées dans l'année.
    • Risque légal : payer un groupe sous sanctions internationales (LockBit, Conti) expose à des poursuites.
    • Financement du crime organisé et du cyberterrorisme.
    • Depuis 2023, en France, l'indemnisation par l'assurance cyber est conditionnée au dépôt de plainte et la prise en charge du paiement de rançon est très encadrée.

    Reconstruction : restaurer sans réintroduire la menace

    La phase de reconstruction est plus longue que prévue : compter en moyenne 22 jours d'arrêt total et 3 à 6 mois pour un retour à la normale. Étapes clés :

    1. Forensic complet avant toute restauration : identifier le vecteur initial, le périmètre compromis, l'éventuelle persistence.
    2. Construction d'un environnement « propre » isolé pour valider les sauvegardes.
    3. Réinstallation complète des systèmes critiques (AD, hyperviseurs, serveurs) — pas de simple restauration.
    4. Rotation totale des secrets : mots de passe, certificats, clés API, comptes de service.
    5. Renforcement avant remise en production : EDR, MFA, segmentation, monitoring renforcé.
    6. RETEX partagé avec le COMEX et plan d'amélioration à 12 mois.

    Ransomware et NIS2 : obligations spécifiques

    Pour les entités soumises à NIS2, un incident ransomware déclenche un processus de notification structuré :

    ÉchéanceAction
    24 heuresAlerte précoce à l'ANSSI
    72 heuresNotification d'incident détaillée + notification CNIL si données perso
    1 moisRapport final : analyse, impact, mesures correctives

    Le non-respect peut entraîner des amendes jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles.

    Combien coûte une protection anti-ransomware pour une PME ?

    MesureCoût annuel (100 utilisateurs)
    EDR/XDR managé (MDR 24/7)20 000 – 60 000 €
    Sauvegarde immutable cloud + on-prem8 000 – 25 000 €
    Bastion d'administration + PAM5 000 – 15 000 €
    Scan d'exposition externe (EASM)3 000 – 12 000 €
    Assurance cyber (capacité 1 M€)4 000 – 18 000 €
    Exercices crise + accompagnement RSSI15 000 – 40 000 €

    Budget total : 55 000 à 170 000 € par an selon la maturité visée. À comparer aux 1,2 M€ de coût moyen d'une attaque réussie, et au risque vital pour l'entreprise.

    Plan d'action prioritaire en 30 jours

    1. Auditer l'exposition Internet (RDP, VPN, applications) — bloquer les accès non nécessaires.
    2. Vérifier la stratégie de sauvegarde et tester une restauration complète.
    3. Activer MFA partout, en particulier sur les comptes admin et accès distants.
    4. Déployer ou mettre à niveau l'EDR sur tous les endpoints et serveurs.
    5. Rédiger ou mettre à jour le plan de réponse à incident et organiser un exercice tabletop.
    6. Souscrire ou réviser la police d'assurance cyber.
    7. Identifier votre prestataire de réponse à incident et négocier un contrat de garantie d'intervention.

    Conclusion : la résilience comme priorité stratégique

    Face aux ransomwares, la question n'est plus « si » mais « quand ». La résilience cyber doit devenir une priorité stratégique portée par la direction générale. Combinez prévention solide, capacité de détection rapide, plan de continuité éprouvé et culture de la transparence pour transformer un événement potentiellement mortel en un incident géré.

    CyberConform accompagne les PME et ETI dans toutes les phases : audit de maturité anti-ransomware, mise en place des défenses techniques, rédaction du PCA/PRA et exercices de crise. Pour aller plus loin, consultez notre guide Plan de continuité d'activité (PCA) cybersécurité.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit