Un lundi matin. Le premier salarié qui arrive au bureau allume son ordinateur. Ses fichiers sont là, mais il ne peut pas les ouvrir. Une fenêtre s'affiche : tous vos fichiers ont été chiffrés. Pour récupérer la clé de déchiffrement, vous avez 72 heures pour payer.
C'est un ransomware. Et contrairement à ce qu'on pourrait croire, ce n'est pas un scénario réservé aux grandes entreprises ou aux hôpitaux qu'on voit dans les journaux. C'est quelque chose que des PME françaises vivent chaque semaine.
Comment ça arrive concrètement
Il y a une idée reçue sur les ransomwares : que les entreprises touchées ont forcément fait quelque chose de naïf. Un email trop évident, un comportement imprudent. La réalité est plus nuancée.
Les vecteurs d'entrée les plus courants sont le phishing ciblé — un email qui ressemble exactement à une notification de votre banque ou de Microsoft, avec le bon logo, le bon domaine presque —, les vulnérabilités non corrigées sur des systèmes exposés à internet, et les accès RDP mal sécurisés. Ce dernier point concerne les PME qui ont ouvert des accès bureau à distance pour le télétravail sans les sécuriser correctement.
J'ai discuté avec le dirigeant d'une PME de 40 personnes dans le secteur de la distribution touchée il y a environ un an. L'accès initial s'était fait via un compte RDP avec un mot de passe simple, sans MFA. L'attaquant avait pris le temps — plusieurs jours — de cartographier le réseau avant de déclencher le chiffrement. Au moment où ça s'est passé, il avait déjà exfiltré une copie des données.
Ce qui se passe après l'attaque
La première réaction est souvent de vouloir payer. Rapidement. Pour récupérer les données et reprendre l'activité. C'est compréhensible — et c'est ce sur quoi les attaquants comptent.
Payer ne garantit rien. Selon les statistiques disponibles, une partie des entreprises qui paient ne récupèrent pas leurs données intégralement. Et payer signale à l'attaquant que vous êtes une cible qui paie — ce qui peut déclencher une deuxième attaque quelques mois plus tard, parfois par le même groupe.
Sans sauvegarde externe récente et fonctionnelle, les options sont effectivement limitées. La reconstruction depuis zéro d'un système d'information pour une PME de 30 à 80 personnes prend entre plusieurs jours et plusieurs semaines. Le coût direct et indirect — arrêt d'activité, récupération de données, prestataires de réponse à incident, communication clients — dépasse régulièrement 50 000 à 200 000 euros pour des structures de cette taille.
Les mesures qui auraient évité l'attaque
Dans la quasi-totalité des incidents de ransomware sur des PME, une ou plusieurs mesures basiques manquaient. Ce n'est pas un constat pour accabler — c'est pour montrer que la prévention est accessible.
Le MFA sur tous les accès distants. Si le compte RDP ou VPN requiert un second facteur, le mot de passe seul ne suffit pas. C'est la mesure qui aurait bloqué la majorité des attaques que je connais.
Les mises à jour de sécurité appliquées rapidement. Les ransomwares exploitent fréquemment des vulnérabilités connues, pour lesquelles un correctif existe depuis des semaines ou des mois. Un parc supervisé avec un MDM qui pousse les mises à jour automatiquement élimine ce vecteur.
Les sauvegardes externes, déconnectées du réseau principal, testées régulièrement. Une sauvegarde connectée au réseau principal peut elle aussi être chiffrée lors de l'attaque. La sauvegarde utile est celle qui est isolée — sur un support physique déconnecté ou dans un cloud avec une rétention de versions suffisante.
La segmentation réseau. Si tous les postes de l'entreprise sont sur le même réseau sans isolation, un seul poste compromis peut servir de point de départ pour atteindre le reste. Une segmentation basique — séparer les postes de travail des serveurs, isoler les appareils IoT — limite la propagation.
Ce que Cynera met en place pour réduire l'exposition
On ne promet pas l'immunité — ça n'existe pas. On met en place ce qui réduit réellement la probabilité et l'impact d'une attaque.
Sur les parcs qu'on gère, le MFA est activé sur tous les accès distants et tous les comptes critiques. Les mises à jour sont pilotées centralement via MDM — aucun poste ne traine avec des correctifs de sécurité en attente. Les sauvegardes sont configurées avec une rétention de versions qui permet de remonter avant le point d'infection. Et les accès RDP exposés à internet sont fermés — on passe par VPN avec MFA, pas par RDP direct.
Si vous ne savez pas si ces points sont couverts dans votre parc aujourd'hui, l'audit gratuit qu'on propose en deux jours répond à cette question précisément.