Un matin, vous arrivez au bureau. Vous allumez votre ordinateur. Un message s’affiche : tous vos fichiers sont chiffrés. Pour les récupérer, on vous demande de payer plusieurs milliers d’euros en cryptomonnaie. Vous avez 72 heures.
Ce scénario n’est pas un film. C’est la réalité de centaines de TPE et PME françaises chaque année. Et la plupart n’y étaient pas préparées.
Dans cet article, vous allez découvrir ce qu’est réellement un ransomware, comment reconnaître une attaque en cours, et surtout — quoi faire dans les premières minutes si cela vous arrive.
Qu’est-ce qu’un ransomware ?
Un ransomware (ou « rançongiciel » en français) est un programme malveillant qui s’introduit dans votre système informatique, chiffre l’ensemble de vos fichiers, et exige une rançon en échange de la clé permettant de les déverrouiller.
En clair : vos données sont prises en otage.
Ce type d’attaque ne cible plus seulement les grandes entreprises. Selon l’ANSSI, les TPE, PME et ETI représentent désormais la majorité des victimes en France. Pourquoi ? Parce qu’elles sont perçues comme moins bien protégées, et donc plus faciles à attaquer.
Les 4 signes que vous êtes en train d’être attaqué
Reconnaître une attaque tôt peut faire toute la différence. Voici les signaux d’alerte à ne pas ignorer :
1. Vos fichiers ont changé d’extension Vos documents Word, Excel ou PDF portent soudainement des extensions bizarres comme .locked, .encrypted ou une suite de caractères aléatoires. Vous ne pouvez plus les ouvrir.
2. Un message de rançon apparaît à l’écran C’est le signe le plus évident. Une fenêtre s’affiche avec un compte à rebours, une demande de paiement en Bitcoin, et parfois une adresse email pour « négocier ».
3. Votre réseau est anormalement lent Le ransomware se propage souvent en réseau avant de se déclencher. Une lenteur inhabituelle sur tous les postes peut signaler une propagation en cours.
4. Votre antivirus s’est désactivé seul Certains ransomwares commencent par neutraliser vos outils de protection. Si votre antivirus est soudainement inactif sans que vous l’ayez désactivé, c’est un signal grave.
Vous êtes attaqué : les 5 actions immédiates (dans cet ordre)
Chaque minute compte. Voici ce que vous devez faire, dans l’ordre, sans panique.
✅ Action 1 — Déconnectez tout du réseau IMMÉDIATEMENT
C’est la priorité absolue. Débranchez le câble réseau de chaque ordinateur concerné et désactivez le Wi-Fi. L’objectif : stopper la propagation vers les autres machines, les serveurs, et les sauvegardes réseau.
Ne vous souciez pas de « bien éteindre » les logiciels. Priorité : isoler.
✅ Action 2 — Ne payez pas la rançon
C’est le conseil unanime des autorités et des experts en cybersécurité. Payer ne garantit absolument pas que vous récupérerez vos données. Dans près d’un cas sur deux, les victimes qui paient ne reçoivent pas de clé de déchiffrement fonctionnelle — ou reçoivent une clé partielle.
De plus, payer finance les groupes criminels et vous identifie comme une cible « solvable », augmentant le risque d’une nouvelle attaque.
✅ Action 3 — Appelez un expert IT d’urgence
Contactez immédiatement un professionnel en cybersécurité. Il pourra évaluer l’étendue des dégâts, tenter une récupération à partir de vos sauvegardes, et sécuriser l’environnement avant tout redémarrage.
C’est précisément pour ces situations qu’il est utile d’avoir un prestataire IT de confiance identifié avant qu’une crise survienne.
✅ Action 4 — Signalez l’attaque sur cybermalveillance.gouv.fr
La plateforme nationale d’assistance aux victimes de cyberattaques propose un diagnostic gratuit et met en relation avec des prestataires certifiés. Le dépôt de plainte auprès des autorités (police ou gendarmerie) est également fortement recommandé.
Ces démarches sont importantes, même si vous pensez que « c’est trop tard ». Elles permettent de tracer les attaquants et peuvent ouvrir droit à des indemnisations via votre assurance.
✅ Action 5 — Préservez les preuves, ne redémarrez pas
Ne relancez pas les machines infectées. Ne tentez pas de « nettoyer » vous-même. Chaque action non maîtrisée peut effacer des traces précieuses pour l’investigation, ou aggraver les dégâts.
Photographiez les écrans, notez l’heure exacte de découverte, et conservez les journaux d’événements si possible.
La vraie protection : ce qu’il faut faire AVANT l’attaque
La meilleure réponse à un ransomware, c’est de ne jamais avoir à l’appliquer. Voici les trois piliers d’une protection efficace pour une TPE/PME :
🔒 La règle des sauvegardes 3-2-1
Appliquez cette règle sans exception :
- 3 copies de vos données
- sur 2 supports différents (disque dur externe + cloud, par exemple)
- dont 1 hors site (non connectée en permanence à votre réseau)
C’est cette dernière copie qui vous permettra de tout restaurer sans payer, si les autres sont chiffrées.
🔄 Les mises à jour : une priorité non négociable
La majorité des ransomwares exploitent des failles de sécurité connues, pour lesquelles des correctifs existent déjà. Ne pas mettre à jour, c’est laisser une porte ouverte avec la clé sur la serrure.
Activez les mises à jour automatiques sur tous vos systèmes : Windows, logiciels métiers, antivirus, routeurs.
🎯 La formation de vos équipes
Plus de 80 % des ransomwares entrent dans un système via un email de phishing cliqué par un collaborateur. Un clic sur une pièce jointe piégée suffit.
Former vos équipes à reconnaître les emails suspects est l’investissement le plus rentable en cybersécurité. Ce n’est pas une question de compétence technique — c’est une question de réflexes.
Conclusion : ne subissez pas, anticipez
Un ransomware peut mettre une entreprise à l’arrêt pendant plusieurs jours, voire l’obliger à fermer définitivement. Les coûts — perte de données, arrêt d’activité, communication de crise, remise en état — dépassent largement ce qu’aurait coûté une protection préventive.
La question n’est pas « est-ce que ça peut m’arriver ? » — c’est « est-ce que je suis prêt si ça arrive ? »
Si vous souhaitez évaluer la résistance réelle de votre infrastructure face à ce type de menace, je propose un audit de sécurité gratuit pour les TPE/PME des Yvelines, Hauts-de-Seine, Val-d’Oise et Eure.