Un matin, un de vos collaborateurs ouvre sa session et trouve un message : tous les fichiers sont chiffrés, une rançon est exigée en cryptomonnaie. C'est le scénario que redoutent toutes les PME — et le nombre d'attaques par ransomware ne cesse d'augmenter, en particulier contre les structures de moins de 250 salariés, perçues comme des cibles faciles.
Les 3 premiers réflexes (dans cet ordre)
1. Débrancher, pas éteindre. Isolez immédiatement la machine infectée du réseau (câble réseau débranché, Wi-Fi coupé) sans l'éteindre. Éteindre peut détruire des preuves utiles à l'analyse et parfois déclencher une phase de chiffrement supplémentaire.
2. Ne payez pas la rançon. Payer ne garantit ni la récupération des données, ni l'absence d'une nouvelle attaque — vous confirmez juste que vous êtes une cible qui paie. L'ANSSI et la gendarmerie déconseillent formellement le paiement.
3. Contactez votre prestataire IT ou un expert en réponse à incident immédiatement. Chaque heure compte pour circonscrire la propagation à d'autres postes ou serveurs du réseau.
Ce qu'il ne faut surtout pas faire
- Redémarrer la machine en espérant que "ça passe"
- Brancher une clé USB de sauvegarde sur le poste infecté pour "sauver ce qui reste"
- Payer sans en informer un professionnel ou les autorités
- Attendre le lundi pour réagir si l'incident survient un vendredi soir
Après la crise : porter plainte et déclarer
Un dépôt de plainte est nécessaire, et si des données personnelles sont concernées, une déclaration à la CNIL peut être obligatoire sous 72h. Ces démarches sont aussi utiles pour votre assurance cyber, si vous en avez une.
La vraie protection se joue avant l'attaque
Une fois l'incident survenu, les options sont limitées. La vraie ligne de défense se construit en amont :
- Des sauvegardes régulières, testées, et déconnectées du réseau principal (règle du 3-2-1)
- Des mises à jour de sécurité appliquées sans délai
- Une sensibilisation des équipes au phishing, vecteur d'entrée n°1 des ransomwares
- Une segmentation réseau qui empêche la propagation d'un poste à l'ensemble du système
Un audit de sécurité permet d'identifier vos points d'exposition avant qu'un attaquant ne le fasse à votre place.