Un ransomware chiffre vos fichiers, bloque vos systèmes, et exige une rançon. La question n'est plus de savoir si cela peut vous arriver — c'est si vous êtes prêt quand ça arrive. Les entreprises qui s'en sortent rapidement n'ont pas eu de chance. Elles s'étaient préparées.
Ce que fait concrètement un ransomware
L'attaque commence souvent par un email de phishing, un accès RDP mal sécurisé, ou un logiciel non mis à jour. Une fois à l'intérieur, le ransomware se propage silencieusement sur le réseau pendant plusieurs jours — parfois semaines — avant de déclencher le chiffrement. Quand vous voyez les fichiers verrouillés, l'attaquant est déjà partout.
C'est pourquoi la défense ne se joue pas au moment de l'alerte, mais bien avant.
Pilier 1 : Les sauvegardes — votre filet de sécurité absolu
La règle 3-2-1 est non négociable : 3 copies de vos données, sur 2 supports différents, dont 1 hors site et isolé. Ce dernier point est crucial : si votre sauvegarde est connectée en permanence à votre réseau, elle sera chiffrée en même temps que le reste.
- Sauvegarde locale sur NAS en réseau interne
- Sauvegarde cloud (Azure Backup, Veeam Cloud Connect, Datto)
- Sauvegarde air-gap — déconnectée du réseau, ou immutable (objets en écriture seule)
Et surtout : testez la restauration tous les trimestres. Une sauvegarde non testée est une fausse promesse.
Pilier 2 : La segmentation réseau
Si tous vos systèmes sont dans le même réseau plat, un ransomware qui entre sur un poste de travail peut atteindre vos serveurs, votre NAS, vos backups. La segmentation consiste à isoler les zones : postes utilisateurs, serveurs, sauvegardes, IoT — chacun dans son VLAN avec des règles de filtrage.
Ce n'est pas une mesure réservée aux grandes entreprises. Avec un switch manageable et un firewall configuré, c'est faisable pour une PME de 20 postes.
Pilier 3 : La détection — ne pas attendre les fichiers verrouillés
Un antivirus classique ne détecte pas les ransomwares modernes qui se comportent comme des programmes légitimes. Un EDR (Endpoint Detection and Response) analyse les comportements : un processus qui commence à chiffrer 10 000 fichiers en 2 minutes va déclencher une alerte et être stoppé automatiquement.
Nous déployons ThreatDown (ex-Malwarebytes for Teams) chez nos clients — il stoppe les ransomwares avant qu'ils causent des dégâts significatifs.
Pilier 4 : Le plan de réponse aux incidents
Quand l'alerte se déclenche à 3h du matin, votre équipe doit savoir quoi faire sans improviser. Le plan de réponse couvre :
- Qui appeler en premier (prestataire informatique, direction, avocat, assurance cyber)
- Quels systèmes isoler en priorité
- Comment activer la continuité d'activité (mode dégradé, postes de secours)
- Comment communiquer avec les clients et partenaires
- La procédure de restauration depuis les sauvegardes
Ce plan doit être documenté, accessible hors ligne, et connu de plusieurs personnes — pas uniquement de la personne qui part en vacances.
Pilier 5 : La formation des équipes
La plupart des ransomwares entrent par une action humaine : cliquer sur un lien, ouvrir une pièce jointe, entrer ses identifiants sur une fausse page. Une heure de formation par an sur le phishing et les bonnes pratiques réduit considérablement le risque d'entrée.
Et si ça arrive quand même ?
Ne payez pas la rançon. Payer ne garantit pas de récupérer vos données, finance les attaquants, et vous place sur une liste de "bons payeurs" pour de futures attaques. Isolez les systèmes affectés, activez votre plan de réponse, contactez votre prestataire, et restaurez depuis les sauvegardes.
Avec une bonne préparation, le temps de retour à la normale passe de 2-3 semaines à 4-8 heures. C'est la différence entre une crise majeure et un incident gérable.