â CyberBoss

Ransomware : le guide complet pour PME

C'est quoi, concrètement, un ransomware ?

Un ransomware est un logiciel malveillant qui chiffre tous vos fichiers et vous demande une rançon (généralement en Bitcoin) pour les débloquer.

Un matin, vous arrivez au bureau. Les écrans affichent un message rouge : "Vos fichiers sont chiffrés. Payez 5000⬠dans 72h ou tout sera détruit."

Et là, vous avez un choix terrible à faire.

Les 3 façons dont un ransomware entre chez vous

• Email de phishing (80% des cas) — "Facture impayée", "Colis en attente", "Votre compte a été piraté". Un clic, et c'est fini.
• Bureau à distance (RDP) — Vous avez laissé le port 3389 ouvert ? Les attaquants le scannent en permanence.
• Téléchargement piégé — Un logiciel cracké, un plugin gratuit, une pièce jointe Word avec macros.

Protection : 7 mesures qui marchent vraiment

1. Sauvegardes hors ligne

Le ransomware chiffre tout ce qu'il voit : disques durs, NAS, cloud synchronisé. Seule une sauvegarde déconnectée survit. Règle d'or : 3 copies, 2 supports, 1 hors site.

2. Désactivez les macros Office

90% des ransomwares passent par un document Word avec macros. Bloguez-les par défaut. Activez uniquement pour des documents signés numériquement.

3. Segmentez le réseau

Le poste de la compta n'a pas besoin d'accéder au serveur de prod. Si un poste est infecté, la segmentation empêche la propagation.

4. Filtrez les emails

Un bon antispam bloque les pièces jointes exécutables (.exe, .js, .vbs) et les archives protégées par mot de passe. C'est le premier rempart.

5. VPN et pare-feu

Jamais de RDP exposé directement sur Internet. Toujours derrière un VPN. Si vous devez ouvrir un port, limitez-le par IP.

6. Principe du moindre privilège

Vos employés n'ont pas besoin des droits administrateur. Créez des comptes standards. Le ransomware ne peut chiffrer que ce que l'utilisateur peut modifier.

7. Antivirus nouvelle génération

L'antivirus traditionnel (signature) ne suffit plus. Optez pour un EDR (Endpoint Detection & Response) qui détecte les comportements suspects, pas seulement les signatures connues.

Comment détecter une attaque en cours

• Fichiers qui changent d'extension — .docx devient .docx.locked, .pdf devient .pdf.encrypted
• Lenteur anormale — Le chiffrement consomme du CPU
• Fichiers README.txt partout — La note de rançon se duplique dans chaque dossier
• Accès réseau suspects — Connexions sortantes vers des IP inconnues

Je suis attaqué : que faire MAINTENANT ?

1. Débranchez le réseau immédiatement. Tirez le câble, coupez le WiFi.
2. Ãteignez les machines infectées — mais gardez-en une allumée pour l'analyse forensique.
3. Isolez les sauvegardes — ne connectez PAS votre disque de backup.
4. Appelez la police — déposez plainte. Le site cybermalveillance.gouv.fr vous guide.
5. Contactez un expert — ne tentez pas de "réparer" vous-même.
6. Identifiez la souche — des outils comme No More Ransom peuvent parfois déchiffrer gratuitement.

Le vrai coût d'un ransomware

La rançon, c'est le petit bout. Le vrai coût :

• Arrêt de production : 3 à 10 jours en moyenne
• Perte de données clients : RGPD, amende jusqu'à 4% du CA
• Réputation : vos clients vous font confiance, vous l'avez perdue
• Reconstruction : racheter le matériel, réinstaller, configurer

Investir 2000⬠dans la prévention, c'est éviter 20 000⬠de dégâts.

Pour aller plus loin :

• Sauvegarde automatique pour PME — Comparatif 2026 — la sauvegarde est votre seule protection contre les ransomwares
• Checklist cybersecurite annuelle PME — 12 actions pour ne jamais subir de ransomware
• Authentification a deux facteurs pour entreprise — bloquez 99% des acces non autorises

â Retour à l'accueil