Ransomware en entreprise : comment se protéger

Ransomware entreprise : menace cyber numéro 1 pour les PME en 2026. 10 mesures pour se protéger + plan d’action 2026

Par Mohamed Ali Ksouri — Expert cybersécurité & infrastructure, i-lead SentinelPublié : Avril 2026 | Mis à jour : Avril 2026 | Vérification des chiffres : Avril 2026 • 18 min de lecture

Définition
Qu’est-ce qu’un ransomware ? Le ransomware en entreprise — ou rançongiciel — est aujourd’hui la menace cyber numéro 1 pour les PME et ETI. Ce programme malveillant chiffre les données d’une entreprise et exige une rançon pour les récupérer.

En 2026, les attaques de ransomware en entreprise reposent sur la double extorsion : les données sont copiées puis chiffrées. Pour s’en protéger efficacement, trois priorités s’imposent : sauvegardes immuables 3-2-1-1, MFA sur tous les accès distants et EDR supervisé.

En résumé -Pour les dirigeants
1 entreprise française sur 3 sera ciblée par une tentative de rançongiciel en 2026 — projections CERT-FR. Coût moyen d’une attaque pour une PME ou ETI : 340 000 euros, même sans payer la rançon — source : CESIN 2025.
Durée moyenne d’interruption sans plan de continuité : 21 jours — Mandiant M-Trends 2025.
60 % des cyberextorsions exploitent des vulnérabilités connues dont le correctif existait depuis plus de 30 jours.
3 décisions à prendre cette semaine :
1. Tester vos sauvegardes — restaurez un fichier maintenant.
2. Activer le MFA sur tous vos accès distants — gratuit, 30 minutes.
3. Vérifier que le port RDP 3389 n’est pas ouvert sur internet.

Un vendredi soir, 18h47. Le DSI d’une ETI de 180 personnes dans la distribution reçoit un SMS : « Tous mes fichiers s’appellent .LOCKED. » La rançon exigée : 220 000 euros. Les sauvegardes ? Chiffrées — elles étaient montées en réseau. Résultat : 26 jours d’arrêt total, 410 000 euros de pertes directes. Octobre 2025, Rhône. Cet incident était évitable.

Ce guide pratique anti-rançongiciel est différent de ce que vous avez lu ailleurs. Pas de liste de « 5 bons réflexes » génériques. À la place : les cinq attaques réelles qui ont paralysé des entreprises similaires à la vôtre, comment une cyberextorsion se déroule vraiment, et les dix mesures concrètes issues de nos interventions terrain entre 2023 et 2026.

Sources officielles utilisées dans cet article
• ANSSI — Panorama de la cybermenace 2025→ ssi.gouv.fr
• Cybermalveillance.gouv.fr — Guide rançongiciels → cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares
• CERT-FR → cert.ssi.gouv.fr
• CNIL — Notification de violation → cnil.fr/fr/notifier-une-violation-de-donnees
• Mandiant M-Trends 2025 → cloud.google.com/security
• IBM Cost of a Data Breach 2025 → ibm.com/reports/data-breach
• CESIN Baromètre 2025 → cesin.fr
• Chainalysis Crypto Crime Report 2026 → chainalysis.com

Sommaire

1. Ransomware entreprise : les chiffres clés à connaître en 2026

Le ransomware entreprise représente aujourd’hui le principal risque cyber pour les PME françaises.

1 / 3	entreprises françaises sera ciblée par une tentative de rançongiciel en 2026 (CERT-FR). Ce n’est plus une question de « si » mais de « quand ».
340 000 €	coût moyen d’une cyberextorsion pour une PME ou ETI française, même sans payer la rançon : arrêt d’activité, réponse à incident, remédiation, perte de clients (CESIN / Hiscox 2025).
21 jours	durée moyenne d’interruption partielle ou totale après une attaque sans plan de continuité (Mandiant M-Trends 2025).
+41 %	d’augmentation des attaques par rançongiciel en 2025 par rapport à 2024. Montants des rançons en hausse : moyenne > 500 000 euros (Chainalysis 2026).
40 %	des cyberattaques traitées par l’ANSSI en 2025 ciblaient des PME et ETI françaises.
60 %	des attaques exploitent des vulnérabilités connues avec un correctif disponible depuis plus de 30 jours.

Mise en perspective : un budget de protection anti-ransomware de 150 à 350 euros par employé et par an représente moins de 10 % du coût moyen d’une attaque non couverte. La question n’est pas « peut-on se permettre de se protéger » mais « peut-on se permettre de ne pas le faire ».

2. Définition et types de rançongiciels

Un ransomware — terme anglais pour rançongiciel — est un programme malveillant qui chiffre les fichiers et données d’une entreprise et exige une rançon pour la clé de déchiffrement. En 2026, cette définition seule sous-estime la menace réelle. Il faut distinguer plusieurs familles.

Chaque type de ransomware entreprise présente un niveau de risque différent selon votre activité.

Type	Caractéristiques
Crypto-ransomware	Chiffre les fichiers et exige une clé de déchiffrement. Le plus répandu. LockBit, BlackCat, WannaCry.
Double extorsion	Copie les données AVANT de chiffrer. Si vous refusez de payer, elles sont publiées. Standard depuis 2022.
Ransomware-as-a-Service (RaaS)	Kit malveillant « loué » à des affiliés. Abaisse le seuil technique d’entrée. 95 groupes actifs en 2025 (+40 % vs 2023).
Locker ransomware	Bloque l’accès au système entier sans chiffrer les fichiers. Moins courant en 2026.
Wiper déguisé	Détruit définitivement les données. Souvent utilisé dans les attaques étatiques. Exemple : NotPetya.

3. Pourquoi les attaques par ransomware en entreprise explosent en 2026

Quatre facteurs structurels expliquent l’accélération observée. Les comprendre, c’est savoir où concentrer sa défense.

🏭

Le RaaS industrialise la menace

Des groupes comme LockBit 3.0, BlackCat/ALPHV ou Play développent des kits malveillants complets qu’ils « louent » à des affiliés en échange d’une commission sur les rançons perçues. Le marché de la cyberextorsion fonctionne comme une franchise : département R&D, service client, support technique, négociation. Le niveau technique requis pour lancer une attaque a chuté ; le volume et le professionnalisme, eux, ont explosé.

🤖	L’IA générative rend le phishing indétectable
	En 2026, les emails de phishing sont rédigés par IA : sans fautes d’orthographe, personnalisés à partir de données collectées sur LinkedIn et le site web de votre entreprise, contextualisés. Le taux de clic sur les emails de phishing IA est 60 % plus élevé que sur les emails manuels. Les formations anti-phishing traditionnelles doivent évoluer.

⚡	L’automatisation réduit le délai d’exploitation
	Des outils automatisés scannent internet en permanence à la recherche de systèmes vulnérables. Le délai moyen entre la publication d’une CVE critique et son exploitation active est tombé à 5 jours en 2025 selon Google Mandiant. Une vulnérabilité publiée un lundi est exploitée activement le vendredi.

🎯	Le ciblage PME/ETI françaises est devenu systématique
	Les groupes de cyberextorsion ont optimisé leur retour sur investissement. Les entreprises françaises de 50 à 500 salariés représentent le profil idéal : données de valeur, impossibilité de s’arrêter longtemps, absence de RSSI dédié. En 2025, 40 % des attaques traitées par l’ANSSI visaient des PME et ETI.

4. Top 5 attaques ransomware réelles : les leçons directement applicables

Pour comprendre le risque concret, rien ne vaut les cas réels. Ces cinq attaques ont redéfini la menace et les leçons qu’elles enseignent s’appliquent directement à votre organisation.

WannaCry (2017)

Victimes : 200 000 systèmes dans 150 pays. NHS britannique paralysé, chaînes de production Renault arrêtées en France.
Coût / Rançon : 4 milliards de dollars de pertes estimées. Rançon : 300 dollars Bitcoin.
Leçon : Un patch Windows (MS17-010) existait 2 mois avant l’attaque. Les systèmes non mis à jour ont propagé le ver en quelques heures. Leçon : le patching 72h sur les CVE critiques n’est pas optionnel.

NotPetya (2017)

Victimes : Maersk (10 jours sans informatique), Saint-Gobain, FedEx/TNT, Merck. Plus de 80 grandes entreprises mondiales.
Coût / Rançon : 10 milliards de dollars de pertes. Zéro récupération — c’était un wiper étatique déguisé en ransomware.
Leçon : Même en payant : pas de clé de déchiffrement. Maersk a survécu grâce à une unique sauvegarde trouvée dans leur bureau de Lagos. Leçon : les sauvegardes immuables hors réseau sont vitales.

Colonial Pipeline (2021)

Victimes : Fermeture de 8 850 km de pipeline américain. Pénuries dans 17 États. Queues aux stations-service.
Coût / Rançon : 4,4 millions de dollars de rançon payés au groupe DarkSide.
Leçon : Un seul mot de passe VPN compromis, sans authentification multifacteur, a suffi pour paralyser une infrastructure critique. Leçon : le MFA sur les accès distants n’est pas négociable.

Kaseya / REvil (2021)

Victimes : 1 500 entreprises clientes touchées simultanément via un prestataire IT. 850 supermarchés Coop fermés en Suède.
Coût / Rançon : 70 millions de dollars réclamés. Clé récupérée via le FBI.
Leçon : Attaque supply chain : une seule compromission de prestataire a touché 1 500 clients en cascade. Leçon : auditez les accès de vos fournisseurs IT.

🇫🇷 LockBit 3.0 France (2023-2024)

Victimes : Hôpital de Corbeil-Essonnes, La Poste Mobile, Stef Logistique, plusieurs ETI industrielles françaises.
Coût / Rançon : Rançons entre 50 000 € et plusieurs millions d’euros. Données publiées pour les refus. 📌 Leçon : LockBit ciblait spécifiquement les ETI françaises jugées moins protégées et plus susceptibles de payer rapidement. Les entreprises françaises ne sont pas théoriquement ciblées — elles le sont activement.

Ce que ces cinq attaques ont en commun : failles connues non corrigées, accès distants sans MFA, sauvegardes inadéquates. Aucune n’était inévitable avec les bonnes mesures en place.

5. Comment se déroule une attaque ransomware : les 5 phases

La plupart des dirigeants imaginent une cyberextorsion comme un événement soudain. La réalité : les attaquants restent en moyenne 5 à 21 jours dans votre réseau avant de déclencher le chiffrement (Mandiant M-Trends 2025).

Comprendre les phases d’un ransomware entreprise permet d’anticiper et de bloquer une attaque avant le chiffrement.

Schéma d’une attaque ransomware en entreprise — 5 phases
Phase	Étape	Timing	Défense clé
Phase 1	Intrusion initiale Phishing, VPN compromis, CVE non patchée	Sem -3 à -1	🛡️ Patching 72h + filtrage email
Phase 2	Reconnaissance Cartographie réseau, repérage sauvegardes, comptes à privilèges	Sem -2 à -1	🛡️ EDR + SIEM
Phase 3	Élévation de privilèges Vol credentials admin, désactivation outils de sécurité	Sem -1	🛡️ MFA + gestion des accès
Phase 4	Exfiltration Copie des données sensibles avant chiffrement (double extorsion)	J-1 à J-0	🛡️ DLP + supervision réseau
Phase 5	Chiffrement + rançon Déclenchement nuit ou week-end, message de rançon	J-0	🛡️ Sauvegardes immuables 3-2-1-1
	↑ Exporter en image : alt= »schéma attaque ransomware entreprise étapes intrusion chiffrement exfiltration »

La phase silencieuse est la plus dangereuse. Un EDR supervisé détecte les mouvements latéraux anormaux pendant cette période. Sans supervision active, vous ne verrez rien jusqu’au message de rançon.

6. Les 5 vecteurs d’intrusion principaux

Savoir par où les attaquants entrent, c’est savoir où concentrer votre protection. Voici ce que nous observons systématiquement lors de nos investigations post-incident.

Vecteur	Mécanisme en 2026	Fréquence
Phishing / spear-phishing	Emails générés par IA — sans fautes, personnalisés, contextualisés. Le filtre humain classique ne suffit plus.	~40 %
VPN et RDP exposés	Accès distants ouverts sur internet avec credentials faibles. Le port RDP 3389 sans MFA est une invitation directe.	~25 %
Vulnérabilité non corrigée	CVE critique avec correctif disponible. Délai moyen d’exploitation : 5 jours (Google Mandiant 2025).	~20 %
Credential stuffing	Couples identifiant/mot de passe issus de fuites précédentes testés automatiquement.	~10 %
Supply chain / prestataire	Compromission via un outil tiers ou un prestataire IT (cf. Kaseya 2021). Trafic légitime en apparence.	~5 %

7. Antivirus, EDR ou MDR : quelle protection contre le ransomware ?

C’est la question que posent systématiquement les DSI lors de nos audits. Le tableau ci-dessous permet une comparaison directe.

Solution	Protection rançongiciel	Détection comportementale	Supervision 24/7	Coût relatif
Antivirus traditionnel	⛔ Faible	❌ Non	❌ Non	💲 Faible
EDR sans supervision	✅ Élevée	✅ Oui	⚠️ Non	💲💲 Moyen
EDR + supervision interne	🔥 Très élevée	✅ Oui	⚠️ Partielle	💲💲💲 Élevé
MDR managé 24/7	🔥 Maximale	✅ Oui	✅ Oui	💲💲 Moyen+

Notre recommandation pour les PME et ETI sans équipe sécurité dédiée : le MDR managé 24/7 offre le meilleur rapport protection/coût. Il combine EDR, analyse comportementale et équipe d’experts sans nécessiter de recruter un profil RSSI senior.

8. 10 mesures pour protéger votre entreprise contre un ransomware

Une stratégie efficace contre le ransomware entreprise repose sur des mesures techniques et organisationnelles combinées.

Ce plan est issu de nos interventions terrain chez des organisations de 50 à 500 salariés entre 2023 et 2026. L’ordre compte : les mesures 1 à 3 ont l’impact immédiat le plus élevé.

1 — Sauvegardes immuables : la règle 3-2-1-1

C’est la mesure la plus importante. 3 copies de vos données, sur 2 supports différents, dont 1 hors site et 1 immuable (techniquement inaccessible depuis votre réseau). Si votre sauvegarde est montée comme un lecteur réseau Windows, elle sera chiffrée comme le reste. Azure Immutable Blob Storage, AWS S3 Object Lock ou sauvegarde sur bande hors ligne pour les données critiques. Test de restauration obligatoire tous les trimestres — une sauvegarde non testée est une illusion de sécurité.

2 — MFA partout, sans exception

L’authentification multifacteur bloque 99,9 % des attaques sur comptes selon Microsoft. C’est gratuit sur Microsoft 365 et déployable en 30 minutes. VPN, RDP, webmail, M365, G Suite, comptes admin : aucune exception. Colonial Pipeline a été compromis via un seul mot de passe VPN sans second facteur. Les dirigeants ne sont pas exemptés — leurs comptes sont les cibles prioritaires.

3 — Patching d’urgence : 72h max pour les CVE critiques

WannaCry a exploité une vulnérabilité dont le correctif existait depuis 2 mois. 60 % des rançongiciels exploitent des CVE connues. Délai moyen d’exploitation : 5 jours. Mettez en place une veille hebdomadaire (ANSSI, CERT-FR, NVD) et un processus de patch 72h sur les équipements exposés internet : pare-feux Fortinet, Palo Alto, Cisco, solutions VPN, serveurs web.

4 — EDR avec supervision active

Un antivirus traditionnel est aveugle aux techniques « living off the land » utilisées par les rançongiciels modernes (PowerShell, WMI, PsExec). Un EDR analyse les comportements en temps réel et peut interrompre un processus de chiffrement immédiatement. Mais un EDR sans personne pour lire les alertes est une illusion. Soit une équipe interne surveille en continu, soit vous optez pour un service MDR managé.

5 — Segmentation réseau

Dans 80 % de nos investigations post-incident, le rançongiciel s’est propagé via des partages réseau accessibles depuis n’importe quel poste. Un réseau plat transforme la compromission d’un seul poste en catastrophe totale. Isolez les sauvegardes dans un segment inaccessible depuis les postes utilisateurs. Mettez en place des règles de pare-feu interne explicites entre segments.

6 — Gestion des privilèges

Un attaquant qui compromet un compte limité ne peut pas se déplacer librement dans votre réseau. Supprimez les droits administrateurs locaux sur les postes utilisateurs standards. Utilisez des comptes séparés pour les opérations d’administration. Révoquez les accès des ex-collaborateurs dans les 24 heures suivant leur départ — c’est une obligation légale et une nécessité technique.

7 — Filtrage email avancé

Le phishing reste le premier vecteur d’entrée pour les rançongiciels. En 2026, les emails malveillants sont générés par IA et indétectables à l’œil nu. Une solution de filtrage comportemental avec sandbox email, combinée à une configuration SPF, DKIM, DMARC en mode « reject », réduit drastiquement ce vecteur. Complétez avec des simulations de phishing trimestrielles.

8 — Plan de réponse à incident

La pire façon de gérer une cyberextorsion, c’est d’improviser sous pression. Un plan préparé à l’avance change radicalement la gestion des 72 premières heures. Il doit préciser : qui appelle qui dans les 30 premières minutes (numéros hors email), comment isoler physiquement un poste suspect, les critères de décision pour payer ou non, et les contacts ANSSI, CNIL, assureur. Ce plan doit exister en format papier — si votre SI est chiffré, votre SharePoint l’est aussi.

9 — Sensibilisation continue

90 % des cyberattaques impliquent un comportement humain à un moment ou un autre. Une session de formation annuelle de 2 heures ne suffit plus. Optez pour des modules courts et réguliers (5 minutes par mois), des simulations de phishing trimestrielles avec retour bienveillant, et une sensibilisation aux nouvelles menaces : deepfakes vocaux, fraude au président par email IA, faux prestataires.

10 — Supervision et détection continue

Les neuf premières mesures réduisent la probabilité d’une attaque. La dixième vous permet de détecter une intrusion pendant la phase silencieuse — avant le chiffrement. Centralisez les logs (pare-feu, contrôleur de domaine, serveurs critiques) dans un SIEM. Configurez des alertes sur les comportements anormaux : connexions hors horaires, accès massif à des fichiers partagés, création de nouveaux comptes admin. Surveillez également le Dark Web pour détecter si vos credentials sont en vente.

9. Plan d’action selon votre niveau de maturité actuel

Vous n’avez pas à tout déployer simultanément. Voici comment prioriser selon votre point de départ.

Niveau	Actions prioritaires — dans cet ordre	Délai recommandé
Débutant (0-1 mesure)	① Sauvegardes 3-2-1-1 testées ② MFA sur tous les accès distants ③ Fermeture du RDP exposé internet ④ Formation phishing collaborateurs	Semaines 1-4
Intermédiaire (2-3 mesures)	⑤ EDR sur tous les postes et serveurs ⑥ Segmentation réseau ⑦ Processus de patching formalisé 72h ⑧ Plan de réponse à incident	Mois 1-3
Avancé (5+ mesures)	⑨ MDR supervision 24/7 ⑩ Audit externe par un tiers indépendant ⑪ Simulations phishing régulières ⑫ Test de reprise d’activité complet	Mois 3-6
Mature (8+ mesures)	• RSSI externalisé ou vCISO • Threat intelligence • Conformité NIS2 documentée • Exercices de crise avec la direction	Ongoing

10. Les 5 erreurs qui exposent votre entreprise

Protection ransomware PME : les erreurs à éviter

Ces cinq erreurs reviennent systématiquement dans nos audits. Vérifiez chacune d’elles avant la fin de la semaine.

#	Erreur	Conséquence + correction
1	Sauvegardes non testées	La restauration échoue lors de l’attaque. Cause : backup monté en réseau, rétention insuffisante ou test jamais réalisé. Correction : test de restauration trimestriel obligatoire, désormais.
2	MFA partiel ou absent	« On l’a sur M365 mais pas sur le VPN. » Le VPN sans second facteur est la porte d’entrée n°1 en 2026. Correction : audit de tous les accès distants cette semaine.
3	Patching trop lent	Délai moyen entreprise : 45 jours. Délai moyen exploitation : 5 jours. L’écart est fatal. Correction : processus de veille CVE + patch 72h sur les exposées internet.
4	Réseau plat	Un poste compromis atteint tout le réseau. Cas Colonial Pipeline, cas Kaseya. Correction : segmentation et isolation des sauvegardes en priorité.
5	EDR sans supervision	Un EDR qui génère des alertes que personne ne lit est une illusion de sécurité. Les attaquants le savent et désactivent les agents silencieusement. Correction : MDR managé ou équipe dédiée.

11. Obligations légales après une cyberextorsion

Ce que la loi exige
• CNIL (RGPD Art. 33) : notification dans les 72 heures si des données personnelles ont été chiffrées ou exfiltrées. Sanction : jusqu’à 4 % du chiffre d’affaires mondial. → cnil.fr/fr/notifier-une-violation-de-donnees
• ANSSI / NIS2 : notification dans les 24 heures pour les entités essentielles et importantes (+50 salariés, secteurs couverts : énergie, transport, santé, eau, finance, industrie…). Sanction : jusqu’à 10 M€ ou 2 % du CA.
• Assureur cyber : délai contractuel de 24 à 72 heures après constat. Passé ce délai, votre couverture peut être partielle ou refusée. Vérifiez votre contrat maintenant.
• Dépôt de plainte : auprès du commissariat, de la gendarmerie ou directement sur cybermalveillance.gouv.fr. Indispensable pour la procédure d’assurance.
• Groupe sanctionné OFAC : payer une rançon à un groupe sous sanctions peut engager votre responsabilité pénale. Demandez un avis juridique avant tout paiement.

12. Que faire dans les 30 premières minutes d’une attaque

Les erreurs commises dans la première heure peuvent doubler le coût total de l’incident. Ce plan minute par minute est valable si votre SI est partiellement ou totalement chiffré.

Attaque ransomware entreprise : comment réagir efficacement

Timing	Action
T+0 min	ISOLATION — Débranchez le câble réseau physiquement des postes suspects. Désactivez le WiFi. Ne les éteignez PAS.
T+5 min	COMMUNICATION — Appelez votre prestataire de réponse à incident (numéro hors email). Si vous n’avez pas son numéro de tête, votre plan est insuffisant.
T+15 min	ÉVALUATION — Identifiez les systèmes touchés vs non touchés. Préservez les logs en mémoire. Ne restaurez rien encore.
T+30 min	NOTIFICATION — Prévenez votre DG et votre assureur cyber (délai contractuel). Commencez à documenter chronologie et captures d’écran.
T+24h	LÉGAL — CNIL si données personnelles impliquées. ANSSI si vous êtes entité NIS2. Dépôt de plainte (cybermalveillance.gouv.fr).
T+48h+	REMÉDIATION — Seulement après forensic complet. Ne restaurez jamais sur un système potentiellement encore compromis.

Ne faites surtout pas :

Ne payez pas précipitamment — 30 % ne récupèrent pas leurs données, 80 % sont reattaqués dans l’année (Cybereason 2025).
N’éteignez pas les serveurs impactés — les logs en mémoire sont essentiels pour l’investigation.
Ne restaurez pas sur des systèmes potentiellement encore compromis sans audit forensique préalable.
Ne communiquez pas publiquement avant d’avoir une communication maîtrisée (risque de panique clients/fournisseurs).

Contacts à avoir AVANT l’attaque — format papier, hors réseau
• Prestataire de réponse à incident : numéro d’urgence 24/7
• CERT-FR : +33 1 71 75 84 68 (entités NIS2)
• Cybermalveillance.gouv.fr : plateforme d’assistance aux victimes
• Assureur cyber : numéro direct de déclaration de sinistre
• CNIL : cnil.fr/fr/notifier-une-violation-de-donnees

13. Faut-il payer la rançon ? La réponse claire et documentée

La position officielle de l’ANSSI, du CERT-FR et du gouvernement français est sans ambiguïté : non. Les données le confirment.

70 % des organisations qui paient ne récupèrent pas la totalité de leurs données (Chainalysis 2025).
80 % des payeurs sont victimes d’une nouvelle attaque dans les 12 mois suivants (Cybereason 2025).
Le paiement finance directement les groupes criminels et leurs prochaines attaques.
Payer un groupe sous sanctions OFAC peut engager votre responsabilité pénale sans consultation juridique préalable.
La menace de publication des données exfiltrées subsiste même après paiement de la rançon.

La bonne réponse à cette question, c’est de l’avoir préparée à froid, dans votre plan de réponse à incident, avant qu’elle se pose sous pression maximale. C’est pourquoi la mesure 8 est non négociable.

14. Checklist anti-rançongiciel — Actions gratuites à faire cette semaine

8 actions immédiates — sans budget supplémentaire
✓ Testez vos sauvegardes maintenant : restaurez un fichier. Si vous ne pouvez pas en moins d’une heure, votre backup est défaillant.
✓ Activez le MFA sur Microsoft 365 : Portail M365 > Sécurité > Authentification multifacteur. 30 minutes, gratuit.
✓ Vérifiez qu’aucun port RDP (3389) n’est ouvert directement sur internet via Shodan.io ou votre infogérant. ✓ Désignez un responsable incident et notez ses coordonnées sur papier, hors réseau.
✓ Vérifiez que vos logs VPN sont conservés au minimum 90 jours.
✓ Listez tous les comptes administrateurs actifs. Supprimez ceux sans justification.
✓ Vérifiez que SPF, DKIM et DMARC sont configurés sur votre domaine email (MXToolbox.com, gratuit).
✓ Relisez votre contrat d’assurance cyber et vérifiez que les prérequis techniques sont satisfaits.

15. Questions fréquentes — Protection anti-ransomware

Qu’est-ce qu’un ransomware et comment fonctionne-t-il ?

Un ransomware — ou rançongiciel en français — est un programme malveillant qui chiffre les données d’une entreprise et exige le paiement d’une rançon pour la clé de déchiffrement. En 2026, les attaques fonctionnent quasi systématiquement en double extorsion : les données sont copiées avant d’être chiffrées. Même si vous disposez de sauvegardes parfaites, la menace de publication de vos données confidentielles persiste. Les attaquants restent en moyenne 5 à 21 jours dans votre réseau avant de déclencher le chiffrement, pendant une phase dite « silencieuse ».

Comment protéger son entreprise contre le ransomware ?

La protection anti-ransomware repose sur dix mesures complémentaires dans cet ordre de priorité : (1) sauvegardes immuables 3-2-1-1 testées trimestriellement, (2) MFA sur tous les accès distants, (3) patching d’urgence 72h sur les CVE critiques, (4) EDR avec supervision active, (5) segmentation réseau, (6) gestion des privilèges, (7) filtrage email avancé avec sandbox, (8) plan de réponse à incident documenté sur papier, (9) sensibilisation continue des collaborateurs, (10) supervision et détection 24/7. Les mesures 1 et 2 ont l’impact immédiat le plus élevé.

Pourquoi les cyberattaques par ransomware augmentent autant en 2026 ?

Quatre facteurs structurels expliquent l’accélération : l’industrialisation via le Ransomware-as-a-Service (RaaS) qui abaisse le seuil technique pour lancer une attaque ; l’IA générative qui rend le phishing indétectable ; l’automatisation qui réduit le délai d’exploitation des vulnérabilités à 5 jours ; et le ciblage systématique des PME et ETI françaises jugées moins protégées et plus susceptibles de payer rapidement.

Combien de temps dure une attaque ransomware ?

La phase silencieuse (intrusion, reconnaissance, élévation de privilèges, exfiltration) dure 5 à 21 jours en moyenne. Le chiffrement lui-même ne prend que quelques heures. La durée de récupération varie énormément : 21 jours d’interruption en moyenne sans préparation, 48 à 72 heures pour les systèmes critiques avec des sauvegardes immuables testées et un plan de continuité opérationnel.

Comment détecter un rançongiciel avant qu’il ne chiffre vos données ?

Les signaux à surveiller pendant la phase silencieuse : connexions VPN hors horaires habituels, accès massif à des fichiers réseau depuis un seul compte, création de nouveaux comptes admin non planifiés, désactivation d’outils de sécurité, trafic réseau anormal vers des adresses IP externes inconnues. Un EDR supervisé détecte ces comportements en temps réel. Sans supervision active, ces signaux passent inaperçus pendant des semaines.

L’EDR est-il obligatoire pour se protéger contre le ransomware ?

Légalement, non — mais techniquement, l’antivirus traditionnel est insuffisant face aux rançongiciels modernes qui utilisent des outils légitimes Windows (PowerShell, WMI, PsExec) pour contourner la détection par signature. Les entités soumises à NIS2 doivent mettre en place des « mesures de sécurité appropriées » — un EDR est désormais considéré comme le standard minimum dans ce contexte.

Faut-il payer la rançon en cas d’attaque ransomware ?

Non, selon l’ANSSI, le CERT-FR et le gouvernement français. Les données confirment cette position : 70 % des payeurs ne récupèrent pas la totalité de leurs données, et 80 % subissent une nouvelle attaque dans l’année suivante. Payer peut aussi engager votre responsabilité si le groupe est sous sanctions OFAC. La bonne réponse, c’est de ne jamais se retrouver dans cette situation grâce aux sauvegardes immuables testées.

Qu’est-ce que la double extorsion dans un ransomware ?

La double extorsion est le modèle utilisé par la quasi-totalité des groupes ransomware modernes depuis 2022. Les attaquants copient vos données (fichiers clients, contrats, données RH, informations financières) avant de les chiffrer. Même si vous refusez de payer, ils menacent de publier ces données sur des sites dédiés ou de les revendre à vos concurrents. Cette évolution fait de la détection précoce de l’intrusion une priorité : si vous stoppez l’attaque avant l’exfiltration, la seconde pression n’existe pas.

Combien coûte la protection anti-ransomware pour une ETI de 100 personnes ?

Un plan de protection basique — EDR, sauvegarde immuable, MFA, supervision mensuelle — coûte entre 15 000 et 35 000 euros par an pour une ETI de 100 personnes, soit 150 à 350 euros par employé et par an. À comparer avec un coût moyen d’attaque de 340 000 euros. Les mesures 1 et 2 (sauvegardes immuables et MFA) sont pratiquement gratuites à déployer et constituent le socle minimal.

Mon entreprise est-elle concernée par NIS2 ?

Si votre organisation compte plus de 50 salariés ou plus de 10 millions d’euros de chiffre d’affaires dans un secteur couvert (énergie, transport, santé, eau, infrastructure numérique, services postaux, gestion des déchets, agroalimentaire, industrie, chimie, services numériques, administration publique), elle est probablement soumise à NIS2. La directive impose des obligations de gestion des risques cyber incluant explicitement la protection contre les rançongiciels et la notification d’incidents sous 24 heures.

Que faire dans les 30 premières minutes d’une attaque ransomware ?

① Isolez physiquement les machines suspectes — débranchez le câble réseau, ne les éteignez pas. ② Appelez votre prestataire de réponse à incident dans les 5 premières minutes (numéro hors email). ③ Identifiez les systèmes touchés sans rien modifier. ④ Notifiez votre assureur dans les 24 heures. ⑤ Si entité NIS2 : notification ANSSI dans les 24 heures. ⑥ Si données personnelles : notification CNIL dans les 72 heures. Ne communicaquez pas publiquement avant une communication préparée.

Le cloud protège-t-il automatiquement contre les rançongiciels ?

Non. Microsoft 365, Google Workspace, AWS et Azure sont des cibles actives : les rançongiciels modernes s’attaquent aux partages SharePoint, aux buckets S3 mal configurés et aux machines virtuelles cloud. La même approche s’applique : sauvegardes immuables (Azure Immutable Blob Storage, AWS S3 Object Lock), MFA, gestion stricte des permissions et supervision des activités anormales. Migrer vers le cloud sans revoir sa stratégie de sauvegarde est une erreur fréquente.

Comment choisir entre un EDR, un MDR et un antivirus pour mon entreprise ?

L’antivirus traditionnel offre une protection insuffisante contre les rançongiciels modernes qui évitent la détection par signature. L’EDR sans supervision génère des alertes que personne ne traite — il faut une équipe pour les analyser en continu. Le MDR managé 24/7 est recommandé pour les PME et ETI sans RSSI dédié : il combine EDR, SIEM et équipe d’experts en cybersécurité, pour un coût accessible sans recrutement.

Combien de temps faut-il pour se remettre d’une attaque ransomware ?

Sans préparation : 21 jours d’interruption partielle ou totale en moyenne (Mandiant M-Trends 2025). Avec des sauvegardes immuables testées et un plan de réponse à incident opérationnel : 48 à 72 heures pour les systèmes critiques, et 1 à 2 semaines pour la remise en état complète. La différence est de l’ordre de 10 à 30 fois selon le niveau de préparation. Maersk a reconstruit 45 000 postes en 10 jours grâce à une unique sauvegarde trouvée dans leur bureau de Lagos.

Quelles sont les 5 erreurs qui rendent une entreprise vulnérable au ransomware ?

① Sauvegardes non testées (la restauration échoue lors de l’attaque). ② MFA partiel — actif sur M365 mais absent sur le VPN. ③ Patching trop lent — délai moyen entreprise 45 jours vs délai d’exploitation 5 jours. ④ Réseau plat sans segmentation — un poste compromis atteint tout le SI. ⑤ EDR sans supervision — les alertes s’accumulent sans réponse pendant que les attaquants progressent.

Quels secteurs sont les plus ciblés par les rançongiciels en France ?

Selon l’ANSSI, les secteurs les plus touchés en 2025 sont : la santé (hôpitaux, EHPAD, laboratoires), les collectivités territoriales (mairies, conseils départementaux), les ETI industrielles et logistiques, et les cabinets d’avocats et de conseil. Ces structures cumulent données de valeur, impossibilité d’arrêt prolongé et protection souvent insuffisante. Les PME et ETI du secteur privé représentent 40 % des incidents traités par l’ANSSI en 2025.

À propos de l’auteur
Mohamed Ali Ksouri — Expert Cybersécurité & Infrastructure, i-lead Sentinel Mohamed Ali Ksouri est Directeur Associé d’i-lead Consulting et responsable de la practice cybersécurité i-lead Sentinel. Il intervient depuis 2018 sur des audits de sécurité, des déploiements EDR, des plans de réponse à incident et des projets de protection anti-ransomware pour des PME et ETI françaises. Cet article s’appuie sur des interventions terrain réalisées entre 2023 et 2026, les rapports ANSSI, CERT-FR, Mandiant et IBM, et une veille continue des groupes de cyberextorsion actifs. → LinkedIn : linkedin.com/in/mohamed-ali-ksouri | → i-lead Sentinel : i-leadconsulting.com/sentinel

Méthodologie et mise à jour de cet article
Cette page est mise à jour régulièrement à partir de sources institutionnelles (ANSSI, CERT-FR, CNIL) et de retours d’expérience terrain de l’équipe i-lead Sentinel. Dernière vérification des chiffres et obligations légales : Avril 2026. Les statistiques et exigences réglementaires citées doivent être revérifiées à chaque mise à jour afin de rester conformes à l’évolution des menaces et de la réglementation. Pour toute question ou correction factuelle : sentinel@i-lead.fr

Évaluez votre exposition au ransomware
Audit anti-ransomware en 48h — i-lead Sentinel
→ Test et inventaire de vos sauvegardes (règle 3-2-1-1)
→ Analyse des vecteurs d’entrée (VPN, email, RDP, prestataires)
→ Plan de remédiation priorisé avec coûts estimés
sentinel@i-lead.fr | i-leadconsulting.com/sentinel

Conclusion

La protection anti-ransomware en entreprise est un enjeu stratégique en 2026, pas une question informatique de second rang. Une PME ou ETI française sur trois sera ciblée cette année. Les rançongiciels modernes sont automatisés, ciblés et amplifiés par l’IA générative.

La bonne nouvelle : 60 % des cyberextorsions exploitent des failles connues et des erreurs de configuration évitables. Les dix mesures décrites dans ce guide, appliquées dans le bon ordre, suffisent à réduire drastiquement votre exposition — sans recruter de RSSI ni mobiliser un budget considérable.

Commencez cette semaine par les trois priorités immédiates : tester vos sauvegardes, activer le MFA sur tous vos accès distants, vérifier l’absence de port RDP exposé. Ces trois actions prennent moins de deux heures et bloquent les vecteurs d’entrée les plus courants.

Le ransomware entreprise n’est plus une menace théorique mais une réalité quotidienne pour les PME et ETI.

→ Articles liés : RSSI externalisé pour PME/ETI • IA générative et cyberattaques • Top 20 failles zero-day les plus dangereuses

Qui sommes nous ?

Découvrez nos domaines d’expertise

Tous

Nos domaines d’expertises

Comprendre nos implications