Un ransomware, c'est un logiciel malveillant qui chiffre vos données et exige une rançon pour la clé de déchiffrement. Depuis 2022, les groupes criminels ajoutent presque systématiquement une double extorsion : exfiltration des données avant chiffrement, avec menace de publication en cas de non-paiement. Les PME sont devenues la cible préférée — moins protégées, primes d'assurance connues, capacité à payer documentée.
Comment ça commence (presque toujours)
Trois portes d'entrée concentrent 80 % des intrusions : phishing avec pièce jointe ou lien piégé, accès distant non sécurisé (VPN sans MFA, RDP exposé), et exploitation d'une faille non patchée sur un serveur exposé. Une fois l'accès initial obtenu, l'attaquant fait du lateral movementpendant 7 à 45 jours : élévation de privilèges, identification des sauvegardes, exfiltration. Le chiffrement n'est que l'acte final.
Les 5 mesures techniques qui changent tout
1. MFA partout. Sur les comptes admin, sur le VPN, sur la messagerie, sur l'ERP et la suite bureautique cloud. Un MFA correctement déployé bloque 99 % des attaques par credential stuffing. 2. Sauvegardes 3-2-1 immuables. Trois copies, sur deux supports différents, dont une hors site et immuable (impossible à modifier ou supprimer pendant la durée de rétention). 3. Patching critique < 30 jours. Surtout sur les exposés Internet : firewall, VPN, serveur web, RDP.
4. EDR sur tous les endpoints. Un antivirus classique ne détecte pas un ransomware moderne. Un EDR (Endpoint Detection & Response) repère les comportements anormaux et les bloque avant chiffrement. 5. Segmentation réseau. Séparer la bureautique de la production, les sauvegardes du reste, les serveurs critiques des postes utilisateurs. Une attaque qui ne se propage pas est une attaque contenue.
Les 3 mesures organisationnelles indispensables
Formation phishing récurrente : campagnes simulées toutes les 6 à 8 semaines, avec suivi individuel des collaborateurs récidivistes. Un programme bien mené fait passer le taux de clic de 22 % à 4 % en un an. Plan de réponse à incident documenté, avec rôles clairs, numéros utiles, et exercice annuel à blanc. Gouvernance des accès : moindre privilège, revue trimestrielle des comptes admin, désactivation des comptes inactifs sous 30 jours.
Faut-il payer la rançon ?
Position officielle de l'ANSSI et du gouvernement : non. Payer alimente la criminalité organisée et n'offre aucune garantie. Dans les faits, certaines entreprises sans sauvegardes exploitables n'ont parfois pas le choix. Si la décision est prise, elle doit être encadrée : négociateur professionnel, vérification que le groupe n'est pas sous sanction (OFAC, UE), traçabilité juridique. Une assurance cyber gère cette négociation pour vous, encadre le paiement, et garantit la conformité légale du transfert de fonds.
Le rôle décisif de l'assurance
Une bonne assurance ransomware couvre cinq postes : frais d'experts forensic et de restauration, perte d'exploitation pendant l'arrêt, frais de notification clients et CNIL, RC cyber en cas de fuite de données, et — selon les contrats et juridictions — la rançon elle-même. Le plus précieux reste l'assistance 24/7 qui mobilise dans l'heure les bons interlocuteurs. Sans cette cellule, un dirigeant de PME perd 48 à 72 heures précieuses à chercher des prestataires.
Combinaison gagnante
Aucune mesure prise isolément ne suffit. La combinaison prévention technique + organisation + assurance divise par 5 à 10 le coût attendu d'un ransomware sur 5 ans. Pour une PME de 2 à 10 M€ de CA, l'investissement annuel total (EDR, sauvegardes, formation, assurance) se situe entre 8 000 et 25 000 €. À comparer aux 95 000 à 250 000 € de coût médian d'un sinistre réussi. Le calcul économique penche très clairement du côté de la défense en profondeur.