43 % des cyberattaques ciblent des PME, et le ransomware reste la menace numero un. Le cout moyen d'un incident pour une PME francaise depasse 150 000 euros (arret d'activite, restauration, pertes de donnees, impact juridique). Les premieres heures apres la detection sont decisives : une reaction desordonnee aggrave les degats, tandis qu'un protocole structure limite l'impact et accelere la reprise.
Ce guide detaille les 9 etapes a suivre si votre PME est touchee par un ransomware. Il complete notre guide complet cybersecurite PME qui couvre la prevention en amont. Pour les aspects techniques de detection, consultez egalement notre guide sur l'audit de securite informatique PME.
Les 9 etapes du protocole de reponse
Etape 1 : isoler immediatement les systemes infectes
Deconnectez les machines touchees du reseau (cable et Wi-Fi). Ne les eteignez pas : cela pourrait detruire des preuves en memoire vive. Isolez aussi les partages reseau et les connexions VPN. L'objectif est de stopper la propagation laterale du ransomware avant qu'il ne chiffre d'autres postes ou serveurs. Dans une PME de 30 postes, un ransomware non contenu peut chiffrer l'ensemble du parc en moins de 45 minutes.
Etape 2 : preserver les preuves numeriques
Photographiez les ecrans affichant la demande de rancon. Notez l'heure exacte de detection, les postes touches, les messages affiches. Ne supprimez aucun fichier. Ces elements seront indispensables pour le depot de plainte, la declaration a l'assurance cyber et l'analyse forensique ulterieure. Si vous avez un prestataire IT, prevenez-le immediatement pour qu'il securise les journaux systeme (logs).
Etape 3 : evaluer l'etendue de l'impact
Identifiez les systemes touches : postes, serveurs, sauvegardes, messagerie, ERP. Verifiez si les sauvegardes sont intactes (les ransomwares ciblent souvent les sauvegardes en premier). Evaluez l'impact sur l'activite : quels services sont bloques, combien de collaborateurs sont concernes, quels clients sont potentiellement affectes. Cette cartographie conditionne toute la suite de la reponse.
Etape 4 : notifier l'ANSSI et la CNIL
Signalez l'incident a l'ANSSI via le formulaire de notification (obligatoire pour les entites concernees par NIS2). Si des donnees personnelles sont compromises, notifiez la CNIL sous 72 heures (obligation RGPD). Deposez plainte aupres des services de police ou de gendarmerie specialises en cybercriminalite. Ces notifications sont des obligations legales, pas des options. Votre prestataire en cybersecurite PME peut vous accompagner dans ces demarches.
Etape 5 : communiquer en interne
Informez les equipes de la situation sans creer de panique. Donnez des consignes claires : ne pas utiliser les postes suspects, ne pas tenter de dechiffrer les fichiers, ne pas payer la rancon. Designez un point de contact unique pour centraliser les remontees. La communication interne rapide evite les initiatives individuelles qui pourraient aggraver la situation.
Etape 6 : restaurer depuis les sauvegardes
Si vos sauvegardes sont intactes et testees, lancez la restauration en commencant par les systemes critiques (ERP, messagerie, serveur de fichiers). Verifiez chaque systeme restaure avant de le reconnecter au reseau. Si vos sauvegardes sont elles aussi chiffrees, il faudra recourir a l'analyse forensique pour identifier le vecteur d'attaque et evaluer les options de recuperation. Un plan de reprise d'activite (PRA) teste regulierement reduit le temps de restauration de plusieurs jours a quelques heures.
Etape 7 : conduire l'analyse forensique
Un expert en reponse a incident identifie le vecteur d'attaque (email de phishing, faille RDP, vulnerabilite non corrigee), la souche de ransomware utilisee, le perimetre exact de la compromission et les donnees potentiellement exfiltrees. Cette analyse est indispensable pour eviter une reinfection et pour alimenter le dossier de plainte et la declaration d'assurance.
Etape 8 : remedier aux vulnerabilites exploitees
Corrigez la faille qui a permis l'attaque : patchez le systeme vulnerable, desactivez le protocole RDP expose, renforcez l'authentification (MFA), mettez a jour les regles de filtrage email. Deployez ou renforcez l'EDR sur tous les postes. Revoyez la politique de sauvegardes pour appliquer la regle 3-2-1 avec au moins une copie hors ligne. L'objectif est de fermer definitivement la porte d'entree.
Etape 9 : capitaliser avec un retour d'experience
Reunissez les parties prenantes (direction, IT, prestataires) pour un retour d'experience structure : chronologie de l'incident, actions qui ont fonctionne, points d'amelioration. Mettez a jour votre plan de reponse a incident, testez-le avec un exercice de simulation dans les 3 mois. Partagez les enseignements avec l'ensemble des collaborateurs pour renforcer la culture securite. Ce retour d'experience transforme un incident en opportunite d'amelioration durable.
Faut-il payer la rancon ?
La reponse est non. L'ANSSI, Cybermalveillance.gouv.fr et les forces de l'ordre deconseillent formellement le paiement. Les raisons sont concretes : payer ne garantit pas la recuperation des donnees (30 % des entreprises qui paient ne recuperent rien), cela finance les reseaux criminels, et cela fait de vous une cible recurrente. Les attaquants savent desormais que vous payez.
La meilleure protection reste la prevention : sauvegardes 3-2-1 testees, EDR sur tous les postes, MFA active, collaborateurs sensibilises au phishing. Consultez notre guide cybersecurite PME pour mettre en place ces fondamentaux.
Checklist de preparation pre-incident
N'attendez pas l'attaque pour vous organiser. Voici les 5 mesures a mettre en place des maintenant :
- Testez vos sauvegardes : verifiez chaque mois que la restauration fonctionne reellement. Une sauvegarde non testee n'est pas une sauvegarde.
- Documentez votre plan de reprise d'activite (PRA) : qui fait quoi, dans quel ordre, avec quels outils. Le PRA doit etre accessible hors ligne.
- Formez vos equipes : 90 % des ransomwares entrent par un email de phishing. La sensibilisation reguliere reduit drastiquement le risque.
- Preparez les contacts d'urgence : prestataire IT, ANSSI, CNIL, avocat, assurance cyber. Ces numeros doivent etre accessibles en dehors du SI.
- Souscrivez une assurance cyber : elle couvre les frais de reponse a incident, la perte d'exploitation et les frais juridiques.
Votre PME est-elle prete face a un ransomware ?
Diagnostic gratuit de 30 minutes pour evaluer votre niveau de preparation et identifier les actions prioritaires.