Ransomware : le guide de survie pour TPE — Prévention, réaction, récupération

1Sauvegarde 3-2-1 (LA priorité absolue)

Un ransomware ne peut pas vous faire chanter si vous avez une sauvegarde propre. La règle :

• 3 copies de vos données (production + 2 sauvegardes)
• 2 supports différents (disque local + cloud ou NAS)
• 1 copie hors site (physiquement déconnectée ou cloud immuable)
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

Solutions TPE : Backblaze (6 $/mois/postes illimités), Synology NAS + Hyper Backup, ou le stockage objet S3 avec verrouillage WORM.

Testez vos restaurations une fois par mois. Une sauvegarde jamais testée n'est pas une sauvegarde.

2Séparation des droits (Principe du moindre privilège)

Votre comptable n'a pas besoin d'accéder au serveur web. Votre stagiaire n'a pas besoin des droits admin sur son poste. Chaque compte doit avoir le minimum de droits nécessaires.

• Créez un compte « admin » séparé pour les installations
• Utilisez un compte standard pour le travail quotidien
• Désactivez les macros Office par défaut
• Bloquez l'exécution de scripts PowerShell non signés
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

3Protection des emails (Le vecteur n°1)

91 % des ransomwares arrivent par email. Vous devez filtrer en amont :

• Activez le filtre anti-phishing de votre messagerie (Microsoft 365 Defender, Google Workspace)
• Bloquez les pièces jointes exécutables : .exe, .js, .vbs, .scr, .ps1
• Ajoutez une bannière « [EXTERNE] » sur tous les emails hors domaine
• Formez vos employés : « Si c'est urgent et que vous ne l'avez pas demandé, c'est un piège »
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

4Mise à jour automatique de TOUT

Un ransomware exploite presque toujours une faille connue — et corrigée. Activez les mises à jour automatiques sur :

• Windows / macOS
• Tous les logiciels (navigateur, lecteur PDF, suite bureautique)
• WordPress + plugins (si vous en avez)
• Routeur / firewall (le firmware de votre box)
• VPN et outils d'accès distant
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

5EDR (Endpoint Detection & Response)

L'antivirus classique ne détecte pas les ransomwares modernes. Un EDR surveille les comportements suspects en temps réel et peut faire un rollback automatique des fichiers chiffrés.

Voir notre comparatif EDR vs Antivirus pour TPE →

1DÉBRANCHEZ immédiatement

Débranchez le câble réseau ou désactivez le Wi-Fi instantanément. Le ransomware essaie de se propager au réseau, aux NAS, aux partages cloud. Chaque seconde compte. N'éteignez PAS le poste — les experts auront besoin de la mémoire vive encore intacte pour l'analyse.

2Isolez TOUS les postes

Si un poste est touché, considérez que tout le réseau est compromis. Déconnectez tous les postes du réseau, y compris les machines non infectées visuellement. Déconnectez les NAS. Mettez le Wi-Fi invité en pause.

3Alertez et documentez

• Prenez une photo de l'écran avec la demande de rançon (pour la police et l'assurance cyber)
• Notez l'heure exacte de découverte
• Liste des postes touchés
• NE PAYEZ PAS avant d'avoir consulté un expert
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

4Contactez les autorités

Déposez plainte auprès de :

• Police / Gendarmerie la plus proche
• Cybermalveillance.gouv.fr — plateforme officielle d'assistance
• CNIL si des données personnelles ont été compromises (obligation légale sous 72h)
• Votre assurance cyber si vous en avez une
• Guide complet ransomware pour PME
• Pare-feu materiel vs logiciel pour TPE

5Restaurez depuis vos sauvegardes

Si vous avez suivi la règle 3-2-1 de la Phase 1, c'est ici que tout se joue. Ne restaurez PAS sur les machines infectées. Formatez-les d'abord, réinstallez l'OS, puis restaurez les données. Vérifiez que la sauvegarde elle-même n'a pas été contaminée (une sauvegarde cloud synchronisée en temps réel peut contenir les fichiers chiffrés).