Thème : Cybersécurité | Cible : dirigeants de PME, responsables IT, indépendants et équipes administratives | Temps de lecture : 7 minutes
Une attaque par ransomware ne commence pas toujours par un écran bloqué ou un message de rançon.
Dans beaucoup de cas, l’attaque a commencé plusieurs jours, voire plusieurs semaines avant que l’entreprise ne s’en rende compte. Les cybercriminels cherchent d’abord une porte d’entrée, observent le réseau, récupèrent des accès, identifient les données importantes, puis déclenchent le blocage au moment le plus favorable pour eux.
La bonne nouvelle, c’est qu’à chaque étape, il existe des signaux à surveiller et des réflexes simples pour limiter les dégâts.
L’objectif n’est pas de vivre dans la peur. L’objectif est de comprendre le scénario pour mieux s’y préparer.
Un ransomware, ce n’est plus seulement « un virus qui bloque les fichiers »
Pendant longtemps, on a résumé le ransomware à une idée simple : un logiciel malveillant chiffre les fichiers de l’entreprise et demande une rançon pour les récupérer.
Cette définition reste juste, mais elle ne suffit plus.
Aujourd’hui, une attaque moderne peut combiner plusieurs actions :
- voler des identifiants ;
- accéder à la messagerie ou à un serveur ;
- explorer les dossiers partagés ;
- copier certaines données ;
- désactiver des protections ;
- toucher les sauvegardes ;
- chiffrer les fichiers ;
- faire pression sur l’entreprise avec une demande de rançon.
Autrement dit, le ransomware n’est souvent que la partie visible de l’attaque. Le vrai problème commence parfois bien avant le message affiché sur l’écran.
Toutes les attaques ne suivent pas exactement le même scénario. Mais beaucoup reprennent une logique comparable : entrer, s’installer, observer, affaiblir les protections, bloquer les données, puis faire pression.
Étape 1 | La porte d’entrée
Une attaque commence rarement par quelque chose de spectaculaire.
Elle peut venir d’un email de phishing, d’un mot de passe trop faible, d’un accès à distance mal protégé, d’un ordinateur non mis à jour, ou d’un compte compromis chez un fournisseur.
Dans une PME, ce point est important : les cybercriminels ne cherchent pas toujours une grande entreprise. Ils cherchent surtout une opportunité.
Cela peut commencer par un accès VPN mal protégé, une boîte mail compromise, un mot de passe réutilisé sur plusieurs services, ou un poste qui n’a pas reçu ses mises à jour.
Le bon réflexe : réduire les portes d’entrée.
Concrètement :
- activer l’authentification multifactorielle sur les accès sensibles ;
- maintenir les postes, serveurs et logiciels à jour ;
- protéger les accès à distance ;
- limiter les comptes administrateurs ;
- sensibiliser les équipes aux emails suspects.
Ce n’est pas une question de méfiance permanente. C’est une question de verrouillage raisonnable.
Pour une PME, la cybersécurité commence souvent par ces gestes simples : savoir qui a accès à quoi, vérifier que les outils sont à jour, et éviter qu’un seul mot de passe compromis puisse ouvrir trop de portes.
Étape 2 | L’installation discrète
Une fois l’accès obtenu, l’attaquant ne déclenche pas toujours immédiatement le ransomware.
Il peut d’abord essayer de s’installer discrètement. Son objectif : garder un accès, même si un mot de passe est changé ou si une première alerte est détectée.
C’est souvent à ce moment que l’entreprise ne voit encore rien. Les ordinateurs fonctionnent. Les emails partent. Les applications métiers restent accessibles.
Pourtant, quelque chose d’anormal peut déjà se passer en arrière-plan.
Le bon réflexe : surveiller les comportements inhabituels.
Par exemple :
- connexions à des heures inhabituelles ;
- accès depuis un pays ou une adresse IP suspecte ;
- création soudaine de nouveaux comptes ;
- activité anormale sur un serveur ;
- antivirus ou protection désactivée ;
- lenteurs inexpliquées.
Une PME n’a pas toujours besoin d’une usine à gaz. Mais elle a besoin d’un minimum de supervision, d’alertes et de suivi.
C’est aussi le rôle d’un prestataire IT : ne pas seulement intervenir quand un outil ne fonctionne plus, mais aider l’entreprise à détecter les signaux faibles et à réagir avant que l’incident ne devienne critique.
Étape 3 | L’exploration du réseau
Quand l’attaquant est entré, il cherche à comprendre où il se trouve.
Il observe les dossiers, les serveurs, les applications, les comptes utilisateurs, les sauvegardes, les données clients, les documents comptables ou les fichiers RH.
Son objectif est simple : identifier ce qui a le plus de valeur pour l’entreprise.
Dans une PME, cela peut être :
- la comptabilité ;
- les devis et factures ;
- les dossiers clients ;
- les données du personnel ;
- les accès aux outils cloud ;
- l’ERP ou le logiciel métier ;
- les boîtes mail partagées ;
- les fichiers de production.
Le bon réflexe : compartimenter.
Tout le monde ne doit pas avoir accès à tout. Un collaborateur administratif n’a pas forcément besoin d’accéder aux mêmes dossiers qu’un technicien, qu’un commercial ou qu’un dirigeant.
La gestion des droits n’est pas un détail technique. C’est une barrière de sécurité très concrète.
Plus les droits sont larges, plus un compte compromis peut faire de dégâts. À l’inverse, des accès mieux limités peuvent ralentir l’attaque, réduire son impact et faciliter l’analyse de ce qui a été touché.
Étape 4 | La préparation du blocage
Avant de chiffrer les fichiers, les cybercriminels peuvent chercher à affaiblir les défenses.
Ils peuvent tenter de supprimer des sauvegardes, de désactiver certains outils de sécurité, ou de rendre la restauration plus difficile.
C’est une étape critique, car elle détermine souvent la capacité de l’entreprise à redémarrer rapidement.
Une sauvegarde existe peut-être. Mais est-elle récente ? Testée ? Isolée ? Restaurable ? Protégée contre la suppression ?
C’est souvent là que la différence se fait entre une interruption maîtrisée et une crise longue.
Le bon réflexe : tester les sauvegardes avant d’en avoir besoin.
Avoir une sauvegarde ne suffit pas. Il faut aussi vérifier régulièrement que l’on peut restaurer les données et les systèmes essentiels.
Une bonne stratégie de sauvegarde doit répondre à trois questions simples :
- Quelles données devons-nous absolument récupérer ?
- En combien de temps devons-nous redémarrer ?
- Qui sait restaurer quoi, et dans quel ordre ?
La sauvegarde est un sujet technique, mais aussi un sujet de continuité d’activité. Elle doit être pensée en fonction de la réalité de l’entreprise : ses outils critiques, ses délais acceptables, ses priorités métiers.
Étape 5 | Le déclenchement du ransomware
C’est le moment visible de l’attaque.
Les fichiers deviennent inaccessibles. Des extensions étranges apparaissent. Un message de rançon s’affiche. Certains logiciels ne démarrent plus. Des collaborateurs ne savent plus ouvrir leurs documents.
Dans l’entreprise, la tentation est forte de redémarrer les machines, de cliquer partout, de chercher une solution rapide, ou de payer pour « repartir ».
C’est compréhensible. Mais c’est rarement la bonne réaction.
Le bon réflexe : isoler, alerter, préserver.
En cas de suspicion de ransomware :
- déconnecter les machines touchées du réseau ;
- couper les connexions si nécessaire ;
- prévenir immédiatement le prestataire ou le responsable IT ;
- ne pas brancher de disque dur ou de clé USB ;
- ne pas relancer les machines au hasard ;
- conserver les preuves ;
- documenter ce qui est observé.
L’objectif des premières minutes n’est pas de tout réparer. L’objectif est d’éviter que l’attaque se propage.
Il vaut mieux perdre quelques minutes à cadrer correctement la situation que perdre plusieurs heures à aggraver l’incident sans le vouloir.
Étape 6 | La demande de rançon
La demande de rançon arrive souvent avec un message très cadré : montant à payer, délai, menace de suppression ou de publication des données.
Ce message est conçu pour mettre l’entreprise sous pression.
Mais payer ne garantit pas de récupérer les fichiers. Cela ne garantit pas non plus que les données copiées ne seront pas utilisées ou revendues. Et cela peut encourager les groupes criminels à poursuivre leurs attaques.
Le bon réflexe : ne pas décider seul, ni dans l’urgence.
Une demande de rançon doit être traitée comme une crise d’entreprise, pas comme un simple problème informatique.
Il faut impliquer les bonnes personnes :
- direction ;
- prestataire IT ou équipe IT ;
- assurance cyber si elle existe ;
- conseil juridique si nécessaire ;
- autorité compétente selon le contexte ;
- DPO ou responsable RGPD si des données personnelles sont concernées.
La priorité reste la même : comprendre l’étendue de l’attaque, sécuriser l’environnement, organiser la reprise.
Étape 7 | La reprise d’activité
Après une attaque, le sujet n’est pas seulement de récupérer des fichiers.
Il faut aussi comprendre comment l’attaque est entrée, quels systèmes ont été touchés, quels comptes doivent être réinitialisés, quelles données ont pu être consultées ou copiées, et quelles protections doivent être renforcées.
Redémarrer trop vite, sans analyse, peut exposer l’entreprise à une nouvelle compromission.
Le bon réflexe : reconstruire proprement.
La reprise doit se faire par priorité :
- sécuriser les accès ;
- identifier les systèmes sains ;
- restaurer les services essentiels ;
- vérifier les sauvegardes ;
- remettre les postes progressivement ;
- surveiller les comportements suspects ;
- tirer les leçons de l’incident.
Ce travail peut paraître lourd, mais il évite de reconstruire sur un environnement encore compromis.
Une reprise efficace ne consiste pas seulement à remettre les outils en route. Elle consiste à redémarrer sur des bases plus saines.
Ce qu’une PME peut mettre en place avant l’attaque
Une PME ne peut pas tout contrôler. Mais elle peut se préparer intelligemment.
Les mesures les plus utiles sont souvent les plus structurantes :
- authentification multifactorielle ;
- mises à jour régulières ;
- sauvegardes testées ;
- antivirus, EDR ou protection avancée des postes ;
- surveillance des accès ;
- limitation des droits administrateurs ;
- sensibilisation des utilisateurs ;
- plan de réaction en cas d’incident ;
- inventaire clair des outils, comptes et données critiques.
L’objectif n’est pas d’atteindre une sécurité parfaite. L’objectif est de rendre l’attaque plus difficile, plus visible, et moins destructrice.
C’est dans cette logique qu’un accompagnement en cybersécurité, en infogérance ou en audit IT peut aider une PME : identifier les points faibles, prioriser les actions et structurer les bons réflexes avant l’urgence.
La vraie question : êtes-vous capable de réagir ?
Face au ransomware, la question n’est pas seulement : « Sommes-nous protégés ? »
La vraie question est aussi :
- Savons-nous qui appeler ?
- Savons-nous quoi couper ?
- Savons-nous quelles données restaurer en priorité ?
- Savons-nous combien de temps l’activité peut tenir sans certains outils ?
- Savons-nous si nos sauvegardes fonctionnent vraiment ?
- Savons-nous quels accès sont les plus sensibles ?
Une entreprise préparée ne subit pas l’incident de la même manière qu’une entreprise qui découvre tout au moment de la crise.
À retenir pour une PME
Une attaque ransomware se prépare souvent avant d’être visible. Le blocage des fichiers n’est généralement que la dernière étape.
Pour limiter les risques, une PME doit surtout vérifier cinq points :
- Les accès sensibles sont-ils protégés par une authentification multifactorielle ?
- Les sauvegardes sont-elles récentes, isolées et testées ?
- Les droits utilisateurs sont-ils limités au strict nécessaire ?
- Les postes et serveurs sont-ils correctement mis à jour ?
- L’entreprise sait-elle qui contacter et quoi faire en cas d’alerte ?
Ces questions simples permettent déjà de passer d’une cybersécurité subie à une cybersécurité pilotée.
FAQ | Questions fréquentes après une attaque ransomware
Une PME est-elle vraiment une cible pour les ransomwares ?
Oui. Les PME ne sont pas toujours ciblées individuellement au départ, mais elles peuvent être touchées parce qu’un accès est mal protégé, qu’un mot de passe a été compromis, qu’un poste n’est pas à jour ou qu’un email frauduleux a fonctionné.
Les cybercriminels cherchent souvent des opportunités. Une PME avec des données importantes, des sauvegardes insuffisamment protégées ou une forte dépendance à ses outils informatiques peut devenir une cible intéressante.
Faut-il payer la rançon pour récupérer ses données ?
Le paiement est fortement déconseillé. Il ne garantit pas la récupération des fichiers, ne garantit pas que les données volées ne seront pas réutilisées, et finance directement les groupes criminels.
Avant toute décision, il faut analyser la situation avec son prestataire IT, son assurance cyber éventuelle et les autorités compétentes si nécessaire. La priorité est d’isoler l’attaque, d’évaluer les dégâts et de préparer une reprise propre.
Comment savoir si nos sauvegardes sont réellement utiles ?
Une sauvegarde utile n’est pas seulement une copie de fichiers. Elle doit être récente, protégée, isolée autant que possible, et surtout testée.
La vraie question n’est pas « avons-nous une sauvegarde ? », mais plutôt : « Sommes-nous capables de restaurer nos données et nos outils essentiels dans un délai acceptable ? »
Un test de restauration régulier permet d’éviter les mauvaises surprises le jour où l’entreprise en a vraiment besoin.
Que faut-il faire dans les premières minutes si l’on suspecte un ransomware ?
Il faut éviter les gestes improvisés. La priorité est de limiter la propagation.
Les premiers réflexes sont généralement : déconnecter les machines suspectes du réseau, prévenir immédiatement le responsable ou prestataire IT, ne pas brancher de disque externe, ne pas redémarrer les machines au hasard, et documenter ce qui est visible à l’écran.
L’objectif n’est pas de tout réparer immédiatement. L’objectif est d’éviter d’aggraver la situation.
Un antivirus suffit-il à protéger une PME contre un ransomware ?
Non. Un antivirus est utile, mais il ne suffit pas à lui seul.
Une protection efficace repose sur plusieurs couches : mises à jour, sauvegardes testées, authentification multifactorielle, limitation des droits administrateurs, supervision des accès, sensibilisation des utilisateurs et plan de réaction en cas d’incident.
Le ransomware est rarement un problème isolé. C’est souvent le symptôme d’un ensemble de faiblesses exploitées au fil du temps.
Comment savoir si des données ont été volées ?
Ce n’est pas toujours visible immédiatement. Une analyse technique est souvent nécessaire pour identifier les accès utilisés, les fichiers consultés, les volumes transférés ou les comptes compromis.
Si des données personnelles sont concernées, il peut aussi y avoir des obligations RGPD. Il est donc important de documenter l’incident, d’évaluer précisément ce qui a été touché et de se faire accompagner si nécessaire.
Qui faut-il prévenir en cas d’attaque ransomware ?
Il faut d’abord prévenir les personnes capables de contenir l’incident : responsable IT, prestataire informatique, direction et assurance cyber si l’entreprise en dispose.
Selon la situation, il peut aussi être nécessaire de contacter les autorités compétentes, un conseil juridique, le DPO ou la personne en charge de la protection des données.
L’important est de ne pas gérer l’incident seul, dans l’urgence, avec des informations incomplètes.
Combien de temps faut-il pour redémarrer après une attaque ransomware ?
Cela dépend de plusieurs facteurs : état des sauvegardes, nombre de machines touchées, criticité des applications, présence ou non d’un plan de reprise, et capacité à identifier l’origine de l’attaque.
Une entreprise bien préparée peut redémarrer plus vite, car elle sait quels services restaurer en priorité et dans quel ordre. Sans préparation, la reprise peut être beaucoup plus longue et désorganisée.
Comment réduire le risque sans tout complexifier ?
Il faut commencer par les fondamentaux : activer l’authentification multifactorielle, maintenir les systèmes à jour, vérifier les sauvegardes, limiter les droits administrateurs, surveiller les accès sensibles et former les équipes aux signaux d’alerte.
Ces mesures ne rendent pas l’entreprise invulnérable, mais elles réduisent fortement les risques et facilitent la réaction en cas d’incident.
Quel est le rôle d’un prestataire IT dans la prévention ransomware ?
Un prestataire IT ne doit pas seulement intervenir quand « ça ne fonctionne plus ». Il peut aider l’entreprise à structurer sa prévention : sécurisation des accès, sauvegardes, supervision, gestion des postes, mises à jour, procédures d’urgence et plan de continuité.
L’objectif est de passer d’une logique de réaction à une logique de préparation.
Pour aller plus loin
Pour mieux comprendre le risque ransomware et les réflexes à adopter, vous pouvez consulter :
- le guide ransomware de Cybermalveillance.gouv.fr ;
- le guide Safeonweb@work destiné aux PME ;
- la page du CCB pour signaler un cyberincident en Belgique ;
- la page de l’Autorité de Protection des Données sur la notification d’une violation de données ;
- le guide StopRansomware de la CISA.
Ces ressources ne remplacent pas un accompagnement adapté à votre environnement, mais elles donnent une base solide pour comprendre les bons réflexes.
Vous souhaitez faire le point sur votre niveau de préparation ?
Uniwan accompagne les PME dans la sécurisation de leur environnement IT : accès, sauvegardes, postes de travail, supervision, continuité d’activité et réaction en cas d’incident.
L’objectif n’est pas de complexifier votre informatique, mais de mettre en place des protections claires, adaptées à votre réalité et à vos priorités.