43 % des cyberattaques ciblent des PME, et le ransomware reste la menace numero un. Le cout moyen d'un incident pour une PME francaise depasse 150 000 euros (arret d'activite, restauration, pertes de donnees, impact juridique). Les premieres heures apres la detection sont decisives : une reaction desordonnee aggrave les degats, tandis qu'un protocole structure limite l'impact et accelere la reprise.
Ce guide detaille les 9 etapes a suivre si votre PME est touchee par un ransomware. Il complete notre guide complet cybersecurite PME qui couvre la prevention en amont. Pour les aspects techniques de detection, consultez egalement notre guide sur l'audit de securite informatique PME.
Les 9 etapes du protocole de reponse
Etape 1 : isoler immediatement les systemes infectes
Deconnectez les machines touchees du reseau (cable et Wi-Fi). Ne les eteignez pas : cela pourrait detruire des preuves en memoire vive. Isolez aussi les partages reseau et les connexions VPN. L'objectif est de stopper la propagation laterale du ransomware avant qu'il ne chiffre d'autres postes ou serveurs. Dans une PME de 30 postes, un ransomware non contenu peut chiffrer l'ensemble du parc en moins de 45 minutes.
Etape 2 : preserver les preuves numeriques
Photographiez les ecrans affichant la demande de rancon. Notez l'heure exacte de detection, les postes touches, les messages affiches. Ne supprimez aucun fichier. Ces elements seront indispensables pour le depot de plainte, la declaration a l'assurance cyber et l'analyse forensique ulterieure. Si vous avez un prestataire IT, prevenez-le immediatement pour qu'il securise les journaux systeme (logs).
Etape 3 : evaluer l'etendue de l'impact
Identifiez les systemes touches : postes, serveurs, sauvegardes, messagerie, ERP. Verifiez si les sauvegardes sont intactes (les ransomwares ciblent souvent les sauvegardes en premier). Evaluez l'impact sur l'activite : quels services sont bloques, combien de collaborateurs sont concernes, quels clients sont potentiellement affectes. Cette cartographie conditionne toute la suite de la reponse.
Etape 4 : notifier l'ANSSI et la CNIL
Signalez l'incident a l'ANSSI via le formulaire de notification (obligatoire pour les entites concernees par NIS2). Si des donnees personnelles sont compromises, notifiez la CNIL sous 72 heures (obligation RGPD). Deposez plainte aupres des services de police ou de gendarmerie specialises en cybercriminalite. Ces notifications sont des obligations legales, pas des options. Votre prestataire en cybersecurite PME peut vous accompagner dans ces demarches.
Etape 5 : communiquer en interne
Informez les equipes de la situation sans creer de panique. Donnez des consignes claires : ne pas utiliser les postes suspects, ne pas tenter de dechiffrer les fichiers, ne pas payer la rancon. Designez un point de contact unique pour centraliser les remontees. La communication interne rapide evite les initiatives individuelles qui pourraient aggraver la situation.
Etape 6 : restaurer depuis les sauvegardes
Si vos sauvegardes sont intactes et testees, lancez la restauration en commencant par les systemes critiques (ERP, messagerie, serveur de fichiers). Verifiez chaque systeme restaure avant de le reconnecter au reseau. Si vos sauvegardes sont elles aussi chiffrees, il faudra recourir a l'analyse forensique pour identifier le vecteur d'attaque et evaluer les options de recuperation. Un plan de reprise d'activite (PRA) teste regulierement reduit le temps de restauration de plusieurs jours a quelques heures.
Etape 7 : conduire l'analyse forensique
Un expert en reponse a incident identifie le vecteur d'attaque (email de phishing, faille RDP, vulnerabilite non corrigee), la souche de ransomware utilisee, le perimetre exact de la compromission et les donnees potentiellement exfiltrees. Cette analyse est indispensable pour eviter une reinfection et pour alimenter le dossier de plainte et la declaration d'assurance.
Etape 8 : remedier aux vulnerabilites exploitees
Corrigez la faille qui a permis l'attaque : patchez le systeme vulnerable, desactivez le protocole RDP expose, renforcez l'authentification (MFA), mettez a jour les regles de filtrage email. Deployez ou renforcez l'EDR sur tous les postes. Revoyez la politique de sauvegardes pour appliquer la regle 3-2-1 avec au moins une copie hors ligne. L'objectif est de fermer definitivement la porte d'entree.
Etape 9 : capitaliser avec un retour d'experience
Reunissez les parties prenantes (direction, IT, prestataires) pour un retour d'experience structure : chronologie de l'incident, actions qui ont fonctionne, points d'amelioration. Mettez a jour votre plan de reponse a incident, testez-le avec un exercice de simulation dans les 3 mois. Partagez les enseignements avec l'ensemble des collaborateurs pour renforcer la culture securite. Ce retour d'experience transforme un incident en opportunite d'amelioration durable.
Faut-il payer la rancon ?
La reponse est non. L'ANSSI, Cybermalveillance.gouv.fr et les forces de l'ordre deconseillent formellement le paiement. Les raisons sont concretes : payer ne garantit pas la recuperation des donnees (30 % des entreprises qui paient ne recuperent rien), cela finance les reseaux criminels, et cela fait de vous une cible recurrente. Les attaquants savent desormais que vous payez.
La meilleure protection reste la prevention : sauvegardes 3-2-1 testees, EDR sur tous les postes, MFA active, collaborateurs sensibilises au phishing. Consultez notre guide cybersecurite PME pour mettre en place ces fondamentaux.
Checklist de preparation pre-incident
N'attendez pas l'attaque pour vous organiser. Voici les 5 mesures a mettre en place des maintenant :
- Testez vos sauvegardes : verifiez chaque mois que la restauration fonctionne reellement. Une sauvegarde non testee n'est pas une sauvegarde.
- Documentez votre plan de reprise d'activite (PRA) : qui fait quoi, dans quel ordre, avec quels outils. Le PRA doit etre accessible hors ligne.
- Formez vos equipes : 90 % des ransomwares entrent par un email de phishing. La sensibilisation reguliere reduit drastiquement le risque.
- Preparez les contacts d'urgence : prestataire IT, ANSSI, CNIL, avocat, assurance cyber. Ces numeros doivent etre accessibles en dehors du SI.
- Souscrivez une assurance cyber : elle couvre les frais de reponse a incident, la perte d'exploitation et les frais juridiques.
Questions fréquentes
Que faire si mon entreprise est victime d'un ransomware ?
Isolez les postes infectés du réseau sans les éteindre. Ne payez pas la rançon. Contactez cybermalveillance.gouv.fr et déposez plainte. Lancez la restauration depuis une sauvegarde froide vérifiée. Sicollab applique ce protocole en 9 étapes pour les PME.
Faut-il payer la rançon en cas de ransomware ?
Non. Aucune garantie de récupération des données. Vous financez les attaquants et vous exposez à une récidive. La restauration depuis une sauvegarde saine est la seule voie fiable.
Combien coûte un ransomware à une PME ?
Le coût moyen d'un incident dépasse 150 000 euros pour une PME de moins de 250 salariés (IBM Cost of Data Breach 2024). Ce montant inclut la perte d'exploitation, la remédiation et les frais juridiques.
Comment se protéger contre les ransomwares ?
Quatre mesures prioritaires : sauvegardes testées régulièrement avec copie hors-site, EDR sur tous les postes, MFA sur les accès critiques, et sensibilisation des collaborateurs au phishing (vecteur d'entrée de 80 % des ransomwares).
Mon assurance couvre-t-elle un ransomware ?
Seulement si vous avez souscrit une cyberassurance. Elle couvre les frais de remédiation, la perte d'exploitation et les frais juridiques. Sans couverture, votre entreprise supporte seule l'intégralité des coûts.
Votre PME est-elle prete face a un ransomware ?
Diagnostic gratuit de 30 minutes pour evaluer votre niveau de preparation et identifier les actions prioritaires.