Ransomware 2026 : comment une ETI française se protège concrètement

Par Mohamed Ali Ksouri, Expert Infrastructure & Cybersécurité — i-lead Sentinel • Mars 2026 • 13 min • ANSSICERT-FRCybermalveillance.gouv.fr

7 mesures pour protéger son ETI contre les ransomwares en 2026
Ce que vous allez apprendre
Pourquoi les ETI françaises sont devenues la cible privilégiée des ransomwares en 2026 • Les 7 étapes du plan de protection concret que nos équipes déploient chez nos clients • Les vrais coûts d’une attaque et comment les éviter • Ce que vous pouvez faire cette semaine sans budget supplémentaire.

C’était un lundi matin d’octobre. Thomas, DSI d’une ETI lyonnaise de 200 personnes dans la distribution industrielle, arrive au bureau à 8h et voit s’afficher sur son écran un message qu’il n’oubliera jamais : tous les fichiers sont chiffrés. Une rançon de 180 000 euros est réclamée sous 72 heures. Les sauvegardes ? Chiffrées aussi — elles étaient montées en réseau.

Trois semaines d’arrêt total. 340 000 euros de pertes directes. Un prestataire incident response mobilisé d’urgence. Et une question qui revient dans chaque conversation que nous avons ensuite avec des DSI : comment est-ce possible, et surtout, comment est-ce qu’on s’en protège vraiment ?

Cet article existe pour répondre à cette question. Pas avec des généralités — avec ce que nos équipes i-lead Sentinel déploient concrètement chez nos clients ETI depuis 2023.

Les chiffres que vos dirigeants doivent connaître

+17 500cyberattaques recensées en France en 2025, dont les ransomwares représentent la majorité des incidents critiques. Source : Ministère de l’Intérieur / ANSSI 2026
340 000 €coût moyen d’une attaque ransomware pour une ETI française (arrêt d’activité, réponse à incident, remédiation, perte clients). Source : CESIN / Hiscox Cyber Readiness Report 2025
21 joursdurée moyenne d’interruption totale ou partielle d’activité après un ransomware pour une ETI sans plan de continuité structuré. Source : Mandiant M-Trends 2025
1 ETI / 3sera ciblée par une tentative de ransomware en 2026 selon les projections CERT-FR. Ce n’est plus une question de si, mais de quand.

Pourquoi les ETI sont la cible préférée en 2026

Les grandes entreprises ont des SOC 24/7 et des budgets cyber conséquents. Les TPE n’ont rien à voler. Les ETI, elles, ont des données de valeur (clients, contrats, R&D), des systèmes souvent hétérogènes avec des angles morts, et des équipes IT limitées à 2-5 personnes sans spécialiste sécurité. Pour un groupe ransomware, c’est le profil idéal : assez grosse pour payer, pas assez solide pour se défendre.

Anatomie d’une attaque ransomware moderne

Comprendre comment fonctionne une attaque, c’est déjà comprendre où placer ses défenses. Voici la chronologie réelle que nos équipes reconstituent lors des investigations post-incident.

Semaine -3 à -1 : la phase silencieuse

Contrairement à ce que beaucoup imaginent, le ransomware ne frappe pas immédiatement après l’intrusion. Les attaquants modernes passent en moyenne 5 à 21 jours à explorer votre réseau en silence. Ils cartographient les partages réseau, identifient les sauvegardes, élèvent leurs privilèges, et désactivent les outils de sécurité — avant de déclencher le chiffrement. À ce stade, un EDR bien configuré peut les détecter. Sans supervision active, vous ne verrez rien.

J-0 : le déclenchement coordonné

Le chiffrement démarre généralement la nuit ou le week-end — quand vos équipes ne sont pas là. En quelques heures, tous les fichiers accessibles depuis les sessions compromises sont chiffrés. Les partages réseau montés sont prioritairement visés. Les sauvegardes connectées au réseau sont détruites en premier.

J+0 à J+3 : la fenêtre de décision sous pression

Les 72 premières heures sont les plus critiques — et les plus dangereuses psychologiquement. La pression de la rançon, l’urgence de reprendre l’activité, et l’absence de visibilité sur ce qui a été exfiltré créent des conditions dans lesquelles les mauvaises décisions se prennent vite. Avoir un plan préparé à l’avance change radicalement la capacité à traverser cette phase.

Les 7 mesures concrètes que nos équipes déploient chez les ETI françaises

Voici ce que nous mettons réellement en place chez nos clients. Pas une liste de bonnes pratiques génériques — un plan séquencé avec les priorités dans le bon ordre.

Mesure 1 — La règle 3-2-1-1 pour les sauvegardes : non négociable

La règle 3-2-1-1 signifie : 3 copies de vos données, sur 2 supports différents, dont 1 hors site, et 1 immuable (air-gapped ou immuable cloud). Si votre backup est monté en réseau, il sera chiffré. La règle d’or : votre sauvegarde de dernier recours ne doit pas être accessible depuis un poste compromis. Ce que nous déployons : Azure Immutable Blob Storage ou sauvegarde sur bande hors ligne pour les sauvegardes critiques. Veeam avec politique de rétention immuable pour les VMs. Test de restauration tous les trimestres — une sauvegarde non testée n’est pas une sauvegarde.

Mesure 2 — La segmentation réseau : empêcher la propagation latérale

Dans 80% des incidents que nous traitons, le ransomware s’est propagé via des partages réseau accessibles depuis n’importe quel poste. Un réseau plat, sans segmentation, transforme une compromission d’un seul poste en catastrophe totale. La segmentation réseau divise votre SI en zones isolées : même si un poste est compromis, l’attaquant ne peut pas atteindre les serveurs de production ou les sauvegardes.

Mesure 3 — Le MFA partout, sans exception

Les ransomwares entrent le plus souvent par phishing ou par brute force sur des accès distants. RDP, VPN, accès admin, webmail, Microsoft 365 — tous doivent avoir une authentification multifacteur. C’est la mesure qui offre le meilleur rapport coût/protection. Nous voyons encore en 2026 des ETI avec des accès RDP exposés sur internet sans MFA. C’est une porte ouverte.

Mesure 4 — L’EDR avec supervision active : pas un antivirus

Un antivirus traditionnel est inefficace contre les ransomwares modernes qui utilisent des techniques de living-off-the-land (exploitation d’outils légitimes Windows). Un EDR — Endpoint Detection and Response — analyse les comportements en temps réel et peut bloquer un processus de chiffrement en quelques secondes. Mais un EDR sans personne pour lire les alertes ne vaut rien. Nous proposons à nos clients ETI un service de supervision managé qui analyse les alertes 24/7.

Mesure 5 — La gestion des privilèges : le principe du moindre accès

Un utilisateur comptable n’a pas besoin d’accéder aux serveurs de production. Un développeur n’a pas besoin des droits admin sur tous les postes. Nous cartographions les droits d’accès et appliquons le principe de moindre privilège : chaque compte n’a accès qu’à ce dont il a strictement besoin. Un attaquant qui compromise un compte limité ne peut pas se déplacer librement dans votre réseau.

Mesure 6 — Le patching d’urgence : 72 heures maximum pour les CVE critiques

60% des ransomwares exploitent des vulnérabilités connues qui ont un correctif disponible depuis plus de 30 jours. Nous mettons en place un processus de veille CVE avec un délai de patch de 72 heures maximum pour les vulnérabilités critiques exposées internet — aligné sur les recommandations ANSSI.

Mesure 7 — Le plan de réponse à incident : préparé avant la crise

La pire façon de gérer un ransomware, c’est de l’improviser sous pression. Nous co-construisons avec nos clients ETI un Plan de Réponse à Incident (PRI) qui documente : qui appelle qui dans les 30 premières minutes, quelle communication vers les clients et fournisseurs, comment activer le plan de continuité, qui décide de payer ou non la rançon, et comment travailler avec les autorités (ANSSI, CERT-FR). Ce document doit exister avant l’attaque — pas après.

MaturitéActions prioritairesDélai recommandé
Débutant (0 mesure)Sauvegardes 3-2-1 + MFA sur tous les accès distantsSemaines 1-4
Intermédiaire (2-3 mesures)Segmentation réseau + EDR sur tous les endpointsMois 1-3
Avancé (5+ mesures)SOC managé + PRI formalisé + tests de restauration trimestrielsMois 3-6

Ce que vous pouvez faire cette semaine, gratuitement

  1. Vérifiez que vos dernières sauvegardes sont bien hors réseau. Faites un test de restauration d’un fichier. Si vous ne pouvez pas restaurer en moins d’une heure, votre backup ne fonctionne pas.
  2. Activez le MFA sur Microsoft 365 : gratuit, 30 minutes, bloque 99% des tentatives de prise de contrôle de compte. Portail M365 > Sécurité > Authentification multifacteur.
  3. Bloquez l’accès RDP exposé sur internet : vérifiez qu’aucun port 3389 n’est ouvert directement. Si c’est le cas, coupez-le et passez par un VPN avec MFA.
  4. Désignez un référent incident : notez maintenant dans un document partagé : qui appelle qui si un ransomware frappe demain matin. Numéro prestataire IR, DG, juriste, assureur cyber.
Articles complémentaires i-lead Sentinel
IA générative et cybersécurité : les 6 nouvelles attaques que vos équipes ne voient pas
RSSI externalisé pour ETI et PME : quand ça vaut le coup ?
NIS2 : êtes-vous concerné et quelles sont vos obligations ?

FAQ — Protection ransomware pour les ETI

Faut-il payer la rançon ?

La réponse officielle de l’ANSSI et du gouvernement français est claire : non. Payer ne garantit pas la récupération des données (70% des entreprises qui paient ne récupèrent pas tout), cela finance les groupes criminels, et cela fait de vous une cible récurrente. L’idéal est d’avoir des sauvegardes suffisamment bonnes pour que la question ne se pose pas.

Combien coûte une protection ransomware pour une ETI de 100 personnes ?

Un plan de protection basique (EDR + backup immuable + MFA + supervision mensuelle) coûte entre 15 000 et 35 000 euros par an — soit environ 150 à 350 euros par employé et par an. À comparer avec le coût moyen d’une attaque non couverte : 340 000 euros. Le ROI est évident.

Mon assurance cyber me couvre-t-elle en cas de ransomware ?

Depuis 2023, la plupart des assureurs cyber imposent des prérequis techniques stricts pour couvrir les ransomwares : MFA actif, sauvegardes immuables testées, EDR déployé, et gestion des patches documentée. Sans ces mesures, la couverture peut être refusée ou la franchise multipliée. Vérifiez votre contrat et assurez-vous de pouvoir prouver vos mesures lors d’un sinistre.

Quelle est la différence entre un antivirus et un EDR ?

Un antivirus traditionnel compare les fichiers à une base de signatures connues. Il est efficace contre les malwares connus, inefficace contre les techniques modernes qui utilisent des outils légitimes Windows (PowerShell, WMI, etc.). Un EDR analyse les comportements en temps réel : il peut détecter un processus qui commence à chiffrer des fichiers et l’arrêter immédiatement — même si le malware est inconnu. En 2026, un EDR est le minimum requis pour les ETI.

Que faire dans les 30 premières minutes d’une attaque ransomware ?

1) Isolez immédiatement les postes suspects du réseau (débranchez le câble réseau, désactivez le WiFi). 2) N’éteignez pas les serveurs impactés — les forensics post-incident en ont besoin allumés. 3) Préservez les logs (ne réinitialisez rien). 4) Appelez votre prestataire de réponse à incident — chaque heure compte. 5) Notifiez l’ANSSI (obligatoire si vous êtes entité NIS2) et votre assureur dans les 24 heures.

Combien de temps faut-il pour récupérer après un ransomware ?

Sans plan de continuité ni sauvegardes immuables : 3 à 6 semaines d’interruption partielle ou totale. Avec des sauvegardes testées et un PRI préparé : 48 à 72 heures pour les systèmes critiques, 1 à 2 semaines pour la remise en état complète. La préparation fait une différence de 10 à 30x sur le délai de reprise.

Le cloud rend-il vulnérable aux ransomwares ?

Non, mais il ne protège pas automatiquement. Microsoft 365, AWS, Azure sont des cibles : les ransomwares modernes s’attaquent aux partages SharePoint, aux buckets S3 mal configurés, et aux VMs cloud. La protection passe par les mêmes principes qu’on-premise : sauvegardes immuables, MFA, gestion des permissions, et supervision des activités suspectes.

NIS2 m’oblige-t-elle à me protéger contre les ransomwares ?

Si vous êtes une entité essentielle ou importante au sens NIS2 (+50 employés ou +10M€ CA dans les secteurs annexe 1 et 2), oui : la directive impose des mesures de gestion des risques incluant explicitement la protection contre les ransomwares, la continuité d’activité, et la notification d’incidents sous 24 heures. Voir notre guide : NIS2 : êtes-vous concerné ?

Évaluez votre exposition aux ransomwares avec i-lead Sentinel
Nos équipes proposent un audit de sécurité ransomware de 2 jours pour les ETI françaises : inventaire des sauvegardes, analyse des vecteurs d’entrée, évaluation de la maturité EDR, et livraison d’un plan de remédiation priorisé. Résultat : vous savez exactement où vous en êtes et quoi faire en priorité.
Contact : sentinel@i-lead.fr

Sources et références

ANSSI — Panorama de la cybermenace 2025

CERT-FR — Panorama des cybermenaces 2025

Cybermalveillance.gouv.fr

Mandiant M-Trends 2025

• CESIN Baromètre 2025 • Hiscox Cyber Readiness Report 2025 • Données internes i-lead Sentinel 2023-2026

Qui sommes nous ?

Découvrez nos domaines d’expertise

Tous
Nos domaines d’expertises