Imaginez arriver au bureau un mardi matin. Vous allumez votre ordinateur. Un message s’affiche à la place de votre bureau habituel :
“Vos fichiers ont été chiffrés. Vous avez 72 heures pour payer 45 000€ en bitcoin. Passé ce délai, vos données seront publiées.”
Votre messagerie ne répond plus. Votre logiciel de facturation est inaccessible. Votre ERP est mort. Vos sauvegardes — celles sur le serveur local — sont chiffrées aussi.
Ce scénario n’est pas une fiction. Il se produit en France, chaque semaine, dans des entreprises exactement comme la vôtre.
En 2025, les PME, TPE et ETI restent la catégorie la plus touchée par les ransomwares en France, représentant 48 % des victimes selon le Panorama de la cybermenace 2025 de l’ANSSI — l’agence nationale de sécurité des systèmes d’information. BEAROPS
La question n’est pas de savoir si votre entreprise sera un jour ciblée. C’est de savoir quand — et si vous serez prêt.
Ce qu’est vraiment un ransomware (en 2 minutes)
Un ransomware — ou rançongiciel en français — est un logiciel malveillant qui s’infiltre dans votre réseau informatique, chiffre l’ensemble de vos fichiers, et exige une rançon en échange de la clé permettant de les déchiffrer.
Mais en 2026, le ransomware classique a évolué. Les attaquants ne se contentent plus de chiffrer les données d’une victime et de réclamer une rançon. Des groupes comme Cl0p exploitent des failles dans des logiciels très répandus pour aspirer en masse les données de centaines d’entreprises, qu’ils revendent ou utilisent à des fins de chantage. My Trust Partner
C’est ce qu’on appelle la double extorsion : vous payez pour déchiffrer vos fichiers — et vous payez encore pour éviter que vos données clients, vos contrats et vos données comptables soient publiés sur internet.
Certains groupes ont même introduit la triple extorsion : après vous avoir extorqué, ils contactent directement vos clients pour leur annoncer que leurs données sont compromises — augmentant la pression sur vous pour payer.
Pourquoi les PME sont-elles les cibles numéro 1 ?
C’est la question que me pose le plus souvent les dirigeants. La réponse est économique, pas personnelle.
La logique du ratio effort/gain
Pour un cybercriminel, attaquer une grande banque ou un ministère demande des mois de préparation, des équipes techniques pointues, et un risque d’exposition élevé. Les grandes organisations investissent massivement en cybersécurité, ont des équipes dédiées et des systèmes de détection sophistiqués.
Attaquer 500 PME avec le même outil automatisé ? C’est infiniment plus rentable. Les rançongiciels modernes sont automatisés, ciblés et amplifiés par l’IA générative. Un groupe criminel peut lancer des milliers d’attaques simultanément depuis l’autre bout du monde, sans se lever de sa chaise. Eurenet
La PME : une cible parfaite pour 5 raisons
1. Peu ou pas d’équipe de sécurité dédiée. La PME ne dispose généralement pas d’équipe de cybersécurité, ni même de prestataire externe dédié, et ne sait souvent pas ce que son entreprise rend accessible sur Internet. Un VPN non mis à jour depuis 18 mois, un accès RDP ouvert oublié par votre prestataire précédent — ce sont des portes d’entrée que les scanners automatisés identifient en quelques secondes. Eurenet
2. Des données de valeur sans protection proportionnelle. Vos fichiers clients, vos devis, vos données RH, vos accès bancaires — tout ça a de la valeur sur le marché noir. Et pourtant, la protection en place est souvent celle d’une organisation 10 fois plus petite que ce qu’elle devrait être.
3. Une capacité de paiement réelle mais limitée. Les cybercriminels calibrent leurs rançons en fonction de la taille de la cible. Une PME de 50 salariés recevra une demande entre 20 000 et 80 000€ — un montant suffisamment douloureux pour créer une pression intense, suffisamment réaliste pour être envisageable.
4. Une dépendance totale aux systèmes informatiques. Arrêtez votre ERP, votre messagerie et votre logiciel de facturation — et regardez combien de temps votre PME peut continuer à fonctionner normalement. Pour la plupart des entreprises de services ou de négoce, la réponse se compte en heures.
5. La chaîne d’approvisionnement : l’effet ricochet. L’ANSSI décrit des cas concrets où un attaquant a compromis un prestataire, exfiltré des données clients, puis exploité les interconnexions pour se latéraliser vers d’autres organisations. Un rançongiciel chez un prestataire a perturbé l’accès de l’ensemble de ses clients à l’application fournie — avec un impact sectoriel massif. Si vous êtes prestataire d’un grand groupe, vous pouvez être la porte d’entrée vers une cible bien plus lucrative. My Trust Partner
La vérité sur la rançon : ce que personne ne vous dit
Première réaction de la plupart des dirigeants quand ils découvrent l’infection : “Est-ce qu’on paie ?”
Voici ce que les données disent.
L’ANSSI déconseille formellement de payer. 64 % des victimes ne paient pas et récupèrent via leurs sauvegardes selon Verizon 2025. Payer finance les criminels sans garantie de récupération des données. Aventris
Et même quand une entreprise paie ? La rançon n’est souvent que le début de la facture. Le coût total de récupération s’élève à 1,53 million de dollars en moyenne hors rançon selon Sophos 2025. L’arrêt d’activité, la restauration et l’atteinte réputationnelle multiplient souvent ce montant par 3 à 5. Une PME sur cinq dépose le bilan. Aventris
La vraie décision à prendre n’est pas “est-ce qu’on paie la rançon ?” — c’est “est-ce qu’on se protège avant que ça arrive ?”
Comment une attaque ransomware se déroule vraiment
Comprendre le déroulement d’une attaque, c’est comprendre où et comment vous pouvez l’arrêter.
Jour J-30 à J-7 : l’infiltration silencieuse
La plupart des attaques ne commencent pas le jour où vous voyez le message de rançon. Elles commencent des semaines avant. L’attaquant s’est déjà introduit dans votre réseau — via un email de phishing cliqué par un collaborateur, via une vulnérabilité sur votre VPN ou votre pare-feu, ou via des identifiants achetés sur le dark web après une fuite de données chez un prestataire.
Il est là, silencieux, en train de cartographier votre réseau, d’identifier vos sauvegardes, et d’élever ses privilèges.
Jour J-1 : la préparation
La nuit précédant le déclenchement, l’attaquant désactive discrètement vos outils de sécurité, identifie vos sauvegardes pour les chiffrer en même temps que le reste, et prépare l’exfiltration des données les plus sensibles.
Jour J : le chiffrement
Le ransomware se déploie. En quelques heures — parfois quelques minutes — l’ensemble de vos fichiers accessibles depuis le réseau est chiffré. Le message de rançon apparaît. Vos équipes découvrent le problème en arrivant le matin.
Les 72 premières heures : la crise
C’est là que tout se joue. Sans plan de réponse préparé à l’avance, ces 72 heures sont chaotiques : Qui appelle-t-on en premier ? Comment communique-t-on avec les équipes si la messagerie est hors service ? Qui prend la décision de payer ou non ? Ce plan doit exister en format papier — si votre système d’information est chiffré, votre SharePoint l’est aussi. Eurenet
Les 5 vecteurs d’entrée les plus utilisés en 2026
Savoir par où les attaquants entrent, c’est savoir où concentrer votre protection.
1. Le phishing par email — vecteur numéro 1 Un email qui semble légitime, une pièce jointe, un lien. Un collaborateur clique. L’infection est démarrée. Le phishing reste le premier vecteur d’entrée pour les rançongiciels en 2026. Les emails malveillants sont désormais générés par IA et indétectables à l’œil nu. Eurenet
2. Les équipements de bordure non patchés — vecteur en forte hausse L’ANSSI observe des campagnes massives ciblant les pare-feu et passerelles VPN, avec neuf vulnérabilités parmi les plus exploitées touchant des équipements de sécurité en bordure de réseau, souvent attaqués quelques jours après publication des correctifs. Si votre VPN ou votre pare-feu n’a pas été mis à jour depuis 6 mois, il est probablement déjà dans les bases de données des attaquants. Vytalx
3. Les identifiants volés ou réutilisés Votre collaborateur utilise le même mot de passe sur son compte LinkedIn, son email professionnel et votre ERP. LinkedIn est victime d’une fuite de données. Les attaquants testent automatiquement ces identifiants sur des milliers de cibles. Les identifiants compromis figurent au sommet des vecteurs d’entrée initiaux selon le rapport DBIR 2025 de Verizon. Vytalx
4. Les accès distants mal sécurisés (RDP) Les VPN non patchés constituent le vecteur d’entrée numéro 1 pour les PME et ETI françaises en 2025 selon les données de terrain. Un accès RDP ouvert sur internet sans MFA, c’est une porte d’entrée qu’un scanner automatisé trouve en quelques secondes. Aventris
5. La chaîne de sous-traitance Votre prestataire informatique, votre éditeur de logiciel, votre cabinet comptable — ils ont tous accès à votre réseau ou à vos données. Si eux sont compromis, vous l’êtes par extension. Les environnements cloud ne sont pas épargnés : en juillet 2025, le chiffrement de ressources cloud d’une entité d’importance a provoqué une indisponibilité de services pour des clients professionnels et grand public en France. My Trust Partner
Les 10 mesures concrètes pour protéger votre PME
Voici la réalité encourageante : 60 % des cyberextorsions exploitent des failles connues et des erreurs de configuration évitables. Ce n’est pas un problème de budget — c’est un problème de priorité et d’organisation. Eurenet
Mesure 1 — Activez le MFA partout, immédiatement
L’authentification à double facteur est la mesure qui a le meilleur retour sur investissement en cybersécurité. Email, VPN, accès cloud, outils de gestion : activez-le partout. Si vous utilisez Microsoft 365 ou Google Workspace, cette fonctionnalité est déjà incluse dans votre abonnement — il suffit de l’activer. Un attaquant qui possède vos identifiants mais pas votre téléphone ne peut pas entrer. Eurenet
Mesure 2 — Mettez en place des sauvegardes 3-2-1 testées
La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors ligne ou dans le cloud inaccessible depuis votre réseau principal. Et surtout : testez la restauration. Une sauvegarde que vous n’avez jamais restaurée est une sauvegarde dont vous ne savez pas si elle fonctionne. Avec des sauvegardes immuables testées et un plan de réponse à incident opérationnel, la remise en état après ransomware prend 48 à 72 heures pour les systèmes critiques, contre 21 jours sans préparation — une différence de l’ordre de 10 à 30 fois. Eurenet
Mesure 3 — Patchez systématiquement vos équipements de bordure
VPN, pare-feu, accès distants : instaurez une règle interne simple — tout patch de sécurité sur ces équipements est appliqué sous 72 heures après publication. C’est là que la majorité des intrusions récentes commencent, et c’est là que vous pouvez fermer la porte le plus efficacement.
Mesure 4 — Segmentez votre réseau
Si un poste est infecté, il ne doit pas pouvoir accéder à tous vos autres systèmes. La segmentation réseau — séparer la comptabilité, la production, les accès RH — limite la propagation latérale d’un ransomware. Ce n’est pas une mesure réservée aux grandes entreprises : un simple réseau VLAN sur votre routeur suffit pour commencer.
Mesure 5 — Formez vos équipes au phishing, chaque trimestre
Un collaborateur sensibilisé est votre meilleure défense contre le premier vecteur d’entrée. Une solution de simulation de phishing combinée à une configuration SPF, DKIM, DMARC en mode “reject” réduit drastiquement ce vecteur. Des formations de 30 minutes tous les trimestres suffisent — le but n’est pas de faire des experts, c’est de créer le bon réflexe : “je vérifie avant de cliquer.” Eurenet
Mesure 6 — Installez un EDR plutôt qu’un simple antivirus
L’antivirus traditionnel détecte les virus connus par leur signature. Les rançongiciels modernes évitent la détection par signature. Un EDR (Endpoint Detection and Response) sans supervision génère des alertes que personne ne traite — il faut une équipe pour les analyser en continu. Le MDR managé 24/7 est recommandé pour les PME et ETI sans RSSI dédié. Eurenet
Mesure 7 — Réduisez la surface d’exposition sur internet
Faites un inventaire de ce que vous exposez sur internet : ports ouverts, services RDP accessibles, applications web non patchées. Des outils gratuits comme Shodan vous permettent de voir votre entreprise avec les yeux d’un attaquant. Fermez tout ce qui n’est pas strictement nécessaire.
Mesure 8 — Gérez les droits d’accès avec le principe du moindre privilège
Votre comptable a-t-il besoin d’accéder aux fichiers de production ? Votre commercial a-t-il besoin des droits administrateur sur son poste ? Chaque utilisateur ne doit avoir accès qu’aux ressources strictement nécessaires à son travail. Cela limite drastiquement les dégâts si son compte est compromis.
Mesure 9 — Préparez votre plan de réponse à incident avant l’attaque
La pire façon de gérer une cyberextorsion, c’est d’improviser sous pression. Un plan préparé à l’avance change radicalement la gestion des 72 premières heures. Il doit préciser : qui appelle qui dans les 30 premières minutes, comment isoler physiquement un poste suspect, les critères de décision pour payer ou non, et les contacts ANSSI, CNIL, assureur. Ce plan doit être imprimé et accessible sans réseau. Eurenet
Mesure 10 — Évaluez votre niveau réel de protection
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Un diagnostic de cybersécurité vous donne une image claire de vos vulnérabilités avant qu’un attaquant ne les trouve. Notre outil sur cyberdiagnostic.fr analyse votre niveau sur les 5 piliers essentiels en 10 minutes pour 9,99€ — le point de départ le plus efficace avant tout investissement sécurité.
Si vous êtes déjà victime : les 5 premières actions
Si vous lisez cet article parce que vous venez de découvrir une infection, voici quoi faire dans l’ordre.
Action 1 — Isolez immédiatement. Déconnectez du réseau les machines suspectes (câble ethernet, Wi-Fi). Ne les éteignez pas — l’état mémoire peut être utile pour l’analyse forensique. Déconnectez les partages réseau et les sauvegardes accessibles.
Action 2 — Appelez un expert en réponse à incident. Pas votre prestataire informatique habituel (sauf s’il est spécialisé en réponse à incident) — mais un expert forensique. L’ANSSI tient une liste des prestataires qualifiés PRIS sur cyber.gouv.fr.
Action 3 — Notifiez l’ANSSI et la CNIL. Si des données personnelles sont potentiellement compromises, vous avez 72 heures pour notifier la CNIL. Pour les entités NIS2, l’alerte ANSSI doit partir sous 24h. Ce n’est pas optionnel.
Action 4 — Contactez votre assureur. Si vous avez une assurance cyber, appelez-les immédiatement. Ils ont des procédures et parfois des partenaires de réponse à incident. Si vous n’avez pas encore d’assurance cyber — c’est la mesure à prendre en priorité dès la résolution de l’incident.
Action 5 — Ne payez pas sans conseil juridique et technique. L’ANSSI déconseille formellement le paiement de la rançon — il finance les criminels sans garantir la récupération des données. Avant toute décision, consultez un expert et votre avocat. Et sachez que si vous payez via un intermédiaire situé dans un pays sous sanctions (certains groupes criminels opèrent depuis des pays sanctionnés), vous risquez vous-même des poursuites. Aventris
Les chiffres clés à retenir
Pour partager cet article ou convaincre votre direction d’agir :
48 % — part des victimes de ransomware qui sont des PME, TPE et ETI en France (ANSSI, Panorama de la cybermenace 2025). BEAROPS
128 — nombre de compromissions par rançongiciel traitées par l’ANSSI en 2025. Un chiffre officiel et sous-évalué : seule une fraction des incidents est signalée. My Trust Partner
21 jours — durée moyenne d’interruption après un ransomware sans préparation, contre 48 à 72 heures avec des sauvegardes testées et un plan de réponse opérationnel. Eurenet
1 PME sur 5 dépose le bilan dans les 18 mois suivant une attaque ransomware. Aventris
60 % des cyberextorsions exploitent des failles connues et des erreurs de configuration évitables — ce qui signifie que la majorité des attaques réussies auraient pu être stoppées avec des mesures basiques. Eurenet
FAQ — Vos questions sur le ransomware en PME
Doit-on payer la rançon ? L’ANSSI le déconseille formellement. 64 % des victimes récupèrent leurs données sans payer, grâce à leurs sauvegardes. Payer ne garantit pas la récupération des données, finance les groupes criminels et fait de vous une cible récurrente (les groupes savent que vous payez). Aventris
Notre antivirus ne nous protège-t-il pas ? Pas suffisamment contre les ransomwares modernes. L’antivirus traditionnel offre une protection insuffisante contre les rançongiciels modernes qui évitent la détection par signature. Un EDR managé est le standard recommandé en 2026. Eurenet
Notre prestataire informatique gère déjà ça, non ? Pas nécessairement. Posez-lui directement ces questions : Est-ce que vous avez activé le MFA sur tous nos accès ? Est-ce que nos sauvegardes sont testées et isolées du réseau ? Est-ce qu’on a un plan de réponse à incident ? Si les réponses sont floues, c’est le signe que quelque chose doit changer.
Quelle est la différence entre un ransomware et un virus classique ? Un virus classique endommage ou vole des données. Un ransomware les chiffre et vous en prive — tout en exigeant un paiement. Les groupes criminels combinent désormais chiffrement et exfiltration de données, permettant une double extorsion : rançon pour déchiffrer, et rançon pour ne pas publier. My Trust Partner
Est-ce que notre assurance RC Pro couvre les ransomwares ? Non. Les assurances RC Pro standard ne couvrent pas les cyberattaques. Il faut une assurance cyber dédiée — et les assureurs conditionnent leur couverture à la mise en place de mesures de sécurité basiques (MFA, sauvegardes isolées). Seule une fraction des PME françaises dispose d’une couverture cyber adaptée. Vytalx
Article rédigé par l’équipe CyberDiagnostic.fr — Experts en cybersécurité pour dirigeants de PME. Nous traduisons les menaces réelles en actions concrètes, sans jargon et sans budget de grand groupe.
→ Évaluez votre niveau de protection anti-ransomware sur cyberdiagnostic.fr — 9,99€ — Résultat en 10 minutes