Un matin, un de vos collaborateurs ouvre sa session et trouve un message : tous les fichiers sont chiffrés, une rançon est exigée en cryptomonnaie. C'est le scénario que redoutent toutes les PME — et le nombre d'attaques par ransomware ne cesse d'augmenter, en particulier contre les structures de moins de 250 salariés, perçues comme des cibles faciles.

Les 3 premiers réflexes (dans cet ordre)

1. Débrancher, pas éteindre. Isolez immédiatement la machine infectée du réseau (câble réseau débranché, Wi-Fi coupé) sans l'éteindre. Éteindre peut détruire des preuves utiles à l'analyse et parfois déclencher une phase de chiffrement supplémentaire.

2. Ne payez pas la rançon. Payer ne garantit ni la récupération des données, ni l'absence d'une nouvelle attaque — vous confirmez juste que vous êtes une cible qui paie. L'ANSSI et la gendarmerie déconseillent formellement le paiement.

3. Contactez votre prestataire IT ou un expert en réponse à incident immédiatement. Chaque heure compte pour circonscrire la propagation à d'autres postes ou serveurs du réseau.

Ce qu'il ne faut surtout pas faire

Après la crise : porter plainte et déclarer

Un dépôt de plainte est nécessaire, et si des données personnelles sont concernées, une déclaration à la CNIL peut être obligatoire sous 72h. Ces démarches sont aussi utiles pour votre assurance cyber, si vous en avez une.

La vraie protection se joue avant l'attaque

Une fois l'incident survenu, les options sont limitées. La vraie ligne de défense se construit en amont :

Un audit de sécurité permet d'identifier vos points d'exposition avant qu'un attaquant ne le fasse à votre place.