En 2025, le CERT-FR a traité plus de 4 500 incidents de sécurité touchant des entreprises françaises. La moitié impliquait un ransomware. Le coût moyen pour une PME : 150 000 € entre la rançon (quand elle est payée), la remédiation, la perte d'exploitation et les sanctions RGPD potentielles.

Comment fonctionne un ransomware moderne

Les ransomwares de 2026 ne ressemblent plus aux logiciels rudimentaires de 2017. Ils sont sophistiqués, patients, et opèrent en plusieurs phases.

Phase 1 — Intrusion initiale (J-30 à J-0)

Le point d'entrée le plus courant est un email de phishing ciblé (spearphishing). L'attaquant a souvent étudié l'entreprise via LinkedIn et les réseaux sociaux. L'email est parfaitement crédible.

Phase 2 — Persistance et reconnaissance (J-30 à J-7)

Une fois à l'intérieur, le malware reste silencieux pendant plusieurs semaines. Il cartographie le réseau, identifie les sauvegardes, exfiltre les données sensibles.

Phase 3 — Chiffrement et rançon (Jour J)

En quelques minutes, tous les fichiers accessibles sont chiffrés. Les sauvegardes connectées au réseau sont détruites en premier. La note de rançon apparaît.

Les trois mesures qui font la différence

1. Chiffrer les postes de travail

Même si un ransomware chiffre vos fichiers par-dessus votre chiffrement LUKS2, il reste une protection contre l'exfiltration préalable de données. Un attaquant qui ne peut pas lire vos données localement ne peut pas vous menacer de les publier.

2. Segmenter le réseau

Un réseau plat permet la propagation en quelques minutes. Avec une segmentation VLAN :

  • Le poste compromis est isolé automatiquement
  • Le mouvement latéral est bloqué
  • Les sauvegardes réseau sont inaccessibles depuis les postes utilisateurs
# Règle iptables pour isoler un segment
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.20.0/24 -j DROP

3. Sauvegardes déconnectées et testées

La règle du 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site. La sauvegarde hors ligne (non connectée au réseau) est la seule garantie de pouvoir restaurer sans payer.

Attention : une sauvegarde non testée ne vaut rien. Planifiez un test de restauration tous les trimestres.

Ce que la loi impose

Depuis la loi de programmation militaire (LPM) 2024 et la transposition de NIS2, les PME opérant dans des secteurs sensibles ont des obligations légales en matière de cybersécurité. En cas d'incident, l'absence de mesures de protection documentées peut engager la responsabilité personnelle du dirigeant.

Notre audit de flotte identifie votre niveau d'exposition réel en moins de 48h. Gratuit, sans engagement.