Blog/Sécuriser/Ransomware : comment se préparer avant que ça arrive
Continuité7 min de lecture

Ransomware : comment se préparer avant que ça arrive

Un ransomware bien préparé se neutralise en 2h. Sans préparation, c'est 2 semaines d'arrêt minimum. Voici la check-list que nous appliquons chez nos clients.

Ransomware : comment se préparer avant que ça arrive
C
Cédric LAURENT
·3 février 2026·Pilier 1 — Sécuriser

Un ransomware chiffre vos fichiers, bloque vos systèmes, et exige une rançon. La question n'est plus de savoir si cela peut vous arriver — c'est si vous êtes prêt quand ça arrive. Les entreprises qui s'en sortent rapidement n'ont pas eu de chance. Elles s'étaient préparées.

Ce que fait concrètement un ransomware

L'attaque commence souvent par un email de phishing, un accès RDP mal sécurisé, ou un logiciel non mis à jour. Une fois à l'intérieur, le ransomware se propage silencieusement sur le réseau pendant plusieurs jours — parfois semaines — avant de déclencher le chiffrement. Quand vous voyez les fichiers verrouillés, l'attaquant est déjà partout.

C'est pourquoi la défense ne se joue pas au moment de l'alerte, mais bien avant.

Pilier 1 : Les sauvegardes — votre filet de sécurité absolu

La règle 3-2-1 est non négociable : 3 copies de vos données, sur 2 supports différents, dont 1 hors site et isolé. Ce dernier point est crucial : si votre sauvegarde est connectée en permanence à votre réseau, elle sera chiffrée en même temps que le reste.

  • Sauvegarde locale sur NAS en réseau interne
  • Sauvegarde cloud (Azure Backup, Veeam Cloud Connect, Datto)
  • Sauvegarde air-gap — déconnectée du réseau, ou immutable (objets en écriture seule)

Et surtout : testez la restauration tous les trimestres. Une sauvegarde non testée est une fausse promesse.

Pilier 2 : La segmentation réseau

Si tous vos systèmes sont dans le même réseau plat, un ransomware qui entre sur un poste de travail peut atteindre vos serveurs, votre NAS, vos backups. La segmentation consiste à isoler les zones : postes utilisateurs, serveurs, sauvegardes, IoT — chacun dans son VLAN avec des règles de filtrage.

Ce n'est pas une mesure réservée aux grandes entreprises. Avec un switch manageable et un firewall configuré, c'est faisable pour une PME de 20 postes.

Pilier 3 : La détection — ne pas attendre les fichiers verrouillés

Un antivirus classique ne détecte pas les ransomwares modernes qui se comportent comme des programmes légitimes. Un EDR (Endpoint Detection and Response) analyse les comportements : un processus qui commence à chiffrer 10 000 fichiers en 2 minutes va déclencher une alerte et être stoppé automatiquement.

Nous déployons ThreatDown (ex-Malwarebytes for Teams) chez nos clients — il stoppe les ransomwares avant qu'ils causent des dégâts significatifs.

Pilier 4 : Le plan de réponse aux incidents

Quand l'alerte se déclenche à 3h du matin, votre équipe doit savoir quoi faire sans improviser. Le plan de réponse couvre :

  • Qui appeler en premier (prestataire informatique, direction, avocat, assurance cyber)
  • Quels systèmes isoler en priorité
  • Comment activer la continuité d'activité (mode dégradé, postes de secours)
  • Comment communiquer avec les clients et partenaires
  • La procédure de restauration depuis les sauvegardes

Ce plan doit être documenté, accessible hors ligne, et connu de plusieurs personnes — pas uniquement de la personne qui part en vacances.

Pilier 5 : La formation des équipes

La plupart des ransomwares entrent par une action humaine : cliquer sur un lien, ouvrir une pièce jointe, entrer ses identifiants sur une fausse page. Une heure de formation par an sur le phishing et les bonnes pratiques réduit considérablement le risque d'entrée.

Et si ça arrive quand même ?

Ne payez pas la rançon. Payer ne garantit pas de récupérer vos données, finance les attaquants, et vous place sur une liste de "bons payeurs" pour de futures attaques. Isolez les systèmes affectés, activez votre plan de réponse, contactez votre prestataire, et restaurez depuis les sauvegardes.

Avec une bonne préparation, le temps de retour à la normale passe de 2-3 semaines à 4-8 heures. C'est la différence entre une crise majeure et un incident gérable.

C

Cédric LAURENT

Fondateur de M:armites. 25 ans d'expérience dans l'infogérance pour les PME. Passionné par l'idée que l'informatique doit être un levier de performance, pas une contrainte.

Votre situation

Un point sur votre informatique ?

On passe en revue votre infrastructure, vos risques, vos outils. En 1h30, vous avez une image claire.

Demander un audit →
← Retour au blog
Catégorie : Sécuriser