Ransomware — définition, fonctionnement et protection pour PME
Un ransomware (rançongiciel) est un logiciel malveillant qui chiffre les fichiers d'un système informatique et exige le paiement d'une rançon pour restituer l'accès aux données. C'est l'une des cybermenaces les plus dévastatrices pour les PME : une attaque peut paralyser l'activité pendant des jours voire des semaines.
Vecteurs d'infection et propagation
Les ransomwares s'introduisent principalement via des e-mails de phishing (pièce jointe malveillante ou lien), des vulnérabilités logicielles non patchées, des accès à distance mal sécurisés (RDP exposé), ou des supports USB infectés. Une fois installé, le ransomware se propage rapidement sur le réseau local, chiffrant tous les fichiers accessibles, y compris les sauvegardes connectées.
Conduite à tenir en cas d'attaque
En cas d'attaque ransomware : isoler immédiatement les machines infectées du réseau (débrancher le câble, couper le wifi), ne pas éteindre les machines (peut détruire des traces utiles), alerter le responsable IT et la direction, contacter un prestataire spécialisé en réponse à incident, ne pas payer la rançon (sans garantie de récupération, et encourage les attaquants). Déposer plainte et notifier l'ANSSI.
Questions fréquentes
Faut-il payer la rançon en cas d'attaque ransomware ?
Les autorités (ANSSI, Police) déconseillent fortement de payer. Le paiement ne garantit pas la récupération des données, finance les groupes criminels et peut exposer l'entreprise à des sanctions (si le groupe est sanctionné par l'OFAC). La meilleure protection reste une sauvegarde hors ligne récente et testée.
Une sauvegarde dans le cloud protège-t-elle des ransomwares ?
Partiellement. Les sauvegardes cloud connectées en permanence peuvent être chiffrées par le ransomware si elles sont accessibles depuis le réseau infecté. Une protection efficace nécessite des sauvegardes versionnées (historique de versions) ou hors ligne (air gap). La règle 3-2-1 est recommandée : 3 copies, 2 supports différents, 1 hors site.
Les PME sont-elles assurables contre les ransomwares ?
Oui via les assurances cyber. Elles couvrent les frais de remédiation, la perte d'exploitation, les frais de notification et parfois la rançon. Mais les assureurs imposent des prérequis techniques (sauvegardes, MFA, patches) et les primes augmentent fortement. Certains assureurs refusent d'assurer les entreprises sans mesures de base.
