Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Sécurité

Ransomware en 2026 : comment protéger votre PME sans budget IT

Les ransomwares ont muté. Ils ne se contentent plus de chiffrer — ils volent, menacent et publient. Ce guide vous explique comment fonctionne une attaque moderne et comment construire une défense réaliste pour une structure de moins de 200 personnes.

Équipe Sentinel 20 mai 2026 13 min
Article vedette
Sommaire

En 2025, le ransomware est devenu la menace informatique n°1 pour les TPE-PME françaises, devant le phishing et la fraude au virement. L’ANSSI a recensé 1 147 incidents majeurs liés aux ransomwares en France, dont 68 % ciblaient des structures de moins de 500 salariés. Le montant moyen d’une rançon payée par une PME française : 210 000 € — sans compter les coûts de reconstruction, de perte d’activité et d’atteinte à la réputation.

La mauvaise nouvelle : les attaques sont de plus en plus sophistiquées et rapides. La bonne nouvelle : les défenses de base éliminent 85 % des vecteurs d’entrée, et elles sont accessibles sans compétences techniques avancées ni budget six chiffres.

Ce guide vous donne les clés pour comprendre, vous défendre et savoir quoi faire si vous êtes touché.

Ce qu’est vraiment un ransomware en 2026

Un ransomware n’est plus un simple virus qui chiffre vos fichiers et affiche un message de demande de rançon. Les groupes criminels modernes opèrent comme des entreprises structurées — avec des équipes de développeurs, des négociateurs, un service client, et même des programmes d’affiliation (RaaS, Ransomware-as-a-Service).

La triple extorsion — le nouveau modèle

Les attaques de 2026 suivent systématiquement un schéma en trois temps :

1. Exfiltration silencieuse (jours à semaines) L’attaquant s’infiltre et reste dormant. Il cartographie votre réseau, copie vos fichiers sensibles, identifie vos sauvegardes. Il cherche vos données RH, vos contrats clients, vos données financières. Tout est exfiltré avant le déclenchement du chiffrement.

2. Chiffrement et prise d’otage (minutes) Une fois les données copiées, le ransomware se déploie sur tous les postes accessibles — y compris les partages réseau. Les sauvegardes locales et cloud synchronisées (OneDrive, Dropbox) sont immédiatement ciblées et chiffrées ou supprimées.

3. Triple pression

  • Payer pour récupérer la clé de déchiffrement
  • Payer pour ne pas publier les données volées (site “shame” sur le dark web)
  • Payer pour ne pas notifier vos clients, partenaires ou la CNIL

Le piège : même les victimes qui paient ne récupèrent pas toujours leurs données. Sophos State of Ransomware 2025 : 42 % des PME qui ont payé ont quand même subi une publication partielle de leurs données.

Les groupes actifs en 2026

Les noms changent régulièrement (les autorités démantèlent, les groupes se reforment), mais les familles actives début 2026 incluent :

  • Akira — cible principalement les PME via VPN vulnérables, demande 200k–500k€
  • Play — spécialisé dans la double extorsion, présence forte en Europe
  • LockBit 4.0 — reconfiguré après le démantèlement par Europol en 2024, de retour avec infrastructure distribuée
  • INC Ransom — cible prioritaire : secteur santé et cabinets d’expertise comptable en France

Les 5 vecteurs d’entrée principaux

Comprendre comment les attaquants entrent est la première étape pour se défendre. En 2025-2026, 5 vecteurs représentent 91 % des entrées initiales selon Verizon DBIR 2025 :

1. Phishing par email (38 % des cas)

Un email contenant une pièce jointe malveillante ou un lien vers une page de connexion frauduleuse. Les versions modernes sont hyper-personnalisées (spear phishing) grâce aux données LinkedIn et aux fuites de bases de données.

Défense : Formation des utilisateurs, filtrage email, désactivation des macros Office par GPO, et surveillance des comportements anormaux via EDR.

2. Exploitation de vulnérabilités non patchées (27 % des cas)

Un serveur exposé, un VPN avec une CVE connue, une instance RDP publique. Les attaquants scannent automatiquement Internet à la recherche de versions vulnérables. La CVE-2024-38213 et la CVE-2025-21194 ont été massivement exploitées à cette fin.

Défense : Patch management rigoureux — les mises à jour Windows ne sont pas optionnelles. Microdiag Sentinel identifie les CVE actives sur chaque poste et les classe par criticité.

3. Credentials volés / bruteforce (16 % des cas)

Des identifiants achetés sur le dark web (issus de fuites chez d’autres services) ou obtenus par bruteforce sur des accès RDP ou VPN exposés. La réutilisation de mots de passe entre services personnels et professionnels est un vecteur massif.

Défense : MFA obligatoire sur tous les accès distants. Politique de mots de passe (minimum 16 caractères). Restriction de l’exposition RDP (VPN uniquement, jamais en direct sur Internet).

4. Supply chain — les logiciels de confiance comme vecteurs (6 % des cas)

Un logiciel légitime compromis lors de sa mise à jour. L’attaque SolarWinds (2020) a ouvert la voie. En 2025, plusieurs logiciels de gestion comptable et CRM français ont été vecteurs d’intrusion via leurs mécanismes d’auto-update.

Défense : Surveillance de l’activité réseau des logiciels installés (Microdiag cartographie chaque connexion sortante). Signature des exécutables. Principe du moindre privilège pour les services.

5. Accès physique et clés USB (4 % des cas)

Moins fréquent mais dévastateur dans les structures sans politique de sécurité physique. Un employé mécontent, une clé USB “trouvée” dans un parking, un prestataire avec accès non supervisé.

Défense : Désactivation des ports USB non utilisés par GPO. Journalisation des périphériques connectés. Supervision des sessions de télé-assistance (Microdiag journalise chaque action).

Votre poste est-il exposé en ce moment ?

L’Audit Flash Microdiag scanne CVE actives, mises à jour manquantes, comptes à risque et état des sauvegardes en moins de 3 minutes — localement, sans rien transmettre.

Lancer l’audit gratuitement →

Plan de défense en 5 couches

Une défense efficace contre les ransomwares n’est pas un produit unique — c’est une architecture en couches. Chaque couche compense les angles morts de la précédente.

Couche 1 — Réduire la surface d’attaque

Avant d’investir en sécurité, réduisez ce qui peut être attaqué :

  • Désactivez RDP sur les postes qui n’en ont pas besoin (GPO Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services)
  • Fermez les ports inutiles — un scan de votre réseau avec Microdiag identifie les services exposés
  • Supprimez les logiciels non utilisés — chaque application installée est une surface potentielle (160+ outils de nettoyage disponibles)
  • Révoquez les accès des anciens employés dans les 24h suivant leur départ
  • Restreignez les droits admin — la majorité des utilisateurs n’en ont pas besoin au quotidien

Couche 2 — Patcher systématiquement et rapidement

Règle d’or : chaque Patch Tuesday doit être appliqué dans les 7 jours sur tous les postes.

Les vulnérabilités de type zero-day représentent moins de 5 % des CVE exploitées. Les 95 % restantes avaient un patch disponible. Le temps moyen entre la publication d’un patch et son exploitation massive : 14 jours en 2025 (contre 28 jours en 2022). La fenêtre se réduit chaque année.

Microdiag Sentinel surveille en continu l’état des mises à jour Windows, mais aussi des logiciels tiers (Chrome, Teams, Adobe Reader, 7-Zip…) — les antivirus ne couvrent pas ce périmètre.

Couche 3 — Détecter les comportements anormaux (EDR)

Un antivirus détecte les fichiers malveillants connus. Un EDR détecte les comportements anormaux — indépendamment du fichier.

Exemples de comportements détectés par Sentinelle Pro (agent Wazuh) :

  • Un processus Office qui lance PowerShell
  • Une application qui chiffre plus de 100 fichiers en 30 secondes
  • Une connexion sortante vers une IP de commande et contrôle (C2) connue
  • Un compte admin créé en dehors des heures de bureau
  • Un accès à des fichiers SAM ou LSASS (extraction de credentials)

Sentinelle Pro intègre Wazuh + corrélation SIEM avec des règles préconfigurées pour ces scénarios. Aucun RSSI nécessaire pour démarrer.

Couche 4 — Sauvegardes immuables hors ligne

C’est votre filet de sécurité ultime. Même si les couches 1 à 3 échouent, une sauvegarde immuable récente vous permet de redémarrer sans payer.

Critères d’une sauvegarde anti-ransomware efficace :

  • Hors de portée des credentials Windows — l’attaquant ne doit pas pouvoir la supprimer avec vos accès habituels
  • Immuable — Object Lock S3 garantit qu’aucun admin ne peut modifier ou supprimer avant expiration, même avec les clés cloud
  • Testée régulièrement — une sauvegarde non testée n’est pas une sauvegarde
  • Chiffrée et hébergée en France — exigence RGPD et bonne pratique souveraineté

Microdiag Business active l’Object Lock S3 par défaut sur OVH Roubaix, avec rétention 30 jours. La restauration est garantie en moins de 4 heures par SLA contractuel.

Couche 5 — Plan de réponse aux incidents

La plupart des PME n’ont pas de plan. Quand elles sont attaquées, elles perdent des heures à prendre les mauvaises décisions sous pression. Préparez ces éléments à froid :

  1. Liste des contacts d’urgence : prestataire IT, RSSI externe, assureur cyber, ANSSI (3218)
  2. Procédure d’isolation : déconnecter les postes du réseau (câble Ethernet + Wi-Fi) sans les éteindre (pour préserver la mémoire forensique)
  3. Liste des systèmes critiques par ordre de priorité de restauration
  4. Coordonnées de l’hébergeur des sauvegardes avec procédure de restauration d’urgence
  5. Obligation de notification CNIL : si des données personnelles sont compromises, vous avez 72h pour notifier

Si vous êtes attaqué : les 10 premières minutes

La réaction dans les premières minutes est déterminante. Voici le protocole recommandé par l’ANSSI et repris par notre équipe de support :

1. Ne redémarrez pas les postes infectés. La mémoire vive contient potentiellement la clé de déchiffrement ou des artefacts forensiques précieux.

2. Débranchez immédiatement le câble réseau de chaque poste affecté. Désactivez le Wi-Fi. L’objectif : stopper la propagation latérale.

3. Documentez ce que vous voyez : photos des écrans, note de rançon, messages d’erreur. Ces éléments serviront à l’investigation et à votre assurance.

4. Appelez votre prestataire IT (ou le support Microdiag si vous êtes Business) avant de faire quoi que ce soit d’autre.

5. Ne payez pas immédiatement. Prenez 24h pour évaluer l’étendue des dégâts et vérifier l’état de vos sauvegardes. Le paiement ne garantit pas la récupération des données.

6. Déposez plainte auprès du commissariat ou de la gendarmerie — c’est une condition préalable à certaines prises en charge d’assurance.

7. Notifiez la CNIL si des données personnelles sont potentiellement compromises (72h maximum).

Important : L’ANSSI déconseille formellement de payer la rançon. Le paiement finance les attaquants et ne garantit ni la récupération complète des données ni l’absence de publication.

Sentinelle Pro — détection comportementale pour PME

Agent Wazuh intégré, corrélation SIEM, alertes temps réel sur les comportements suspects. Aucune compétence SOC requise.

Découvrir Sentinelle Pro →
Ou consultez notre guide complet sécurité Windows →

Combien coûte une attaque ransomware pour une PME ?

Les chiffres en clair, basés sur les dossiers traités par notre équipe et les données publiques ANSSI 2025 :

Poste de coûtFourchette PME 10–50 postes
Rançon (si payée)80 000 – 500 000 €
Reconstruction IT30 000 – 150 000 €
Perte d’activité (arrêt moyen : 21 jours)50 000 – 400 000 €
Notification clients + communication de crise5 000 – 30 000 €
Amendes CNIL (si données clients compromises)0 – 20 000 000 € (théorique)
Total estimé sans assurance165 000 – 1 080 000 €

Pour comparaison : Sentinelle Pro + Object Lock S3 + sauvegardes Microdiag Business coûte moins de 150 €/mois pour 10 postes.

Questions fréquentes

Doit-on payer la rançon si on est attaqué ?

L’ANSSI, Europol et le FBI recommandent unanimement de ne pas payer. Raisons principales : le paiement finance les prochaines attaques, ne garantit pas la récupération, et vous expose à de nouvelles demandes (les attaquants savent maintenant que vous payez). Avec des sauvegardes immuables opérationnelles, le paiement devient inutile dans la grande majorité des cas.

Mon antivirus ne m’a pas protégé — est-il inutile ?

Non. L’antivirus est indispensable mais couvre uniquement les menaces connues par signature. Les ransomwares modernes utilisent des techniques fileless ou des scripts PowerShell chiffrés qui contournent la détection par signature. C’est pourquoi l’EDR comportemental est complémentaire, pas concurrent, à l’antivirus.

OneDrive ou Google Drive protègent-ils de la perte de données ?

Partiellement. Ces services offrent un historique de versions, mais les ransomwares modernes chiffrent les fichiers locaux, qui sont ensuite synchronisés vers le cloud — écrasant les versions saines. La protection dépend de la durée de l’historique de versions (30 jours par défaut pour Microsoft 365 Business) et de la rapidité de détection. Une sauvegarde Object Lock hors du périmètre de synchronisation reste indispensable.

Combien de temps pour se remettre d’une attaque ransomware ?

La moyenne observée est de 21 jours d’arrêt complet ou partiel pour une PME sans plan de continuité. Avec des sauvegardes immuables et un plan de réponse préparé, cette durée descend à 48–72 heures. Avec Microdiag Business, le SLA de restauration est de 4 heures pour les données critiques.

L’assurance cyber couvre-t-elle les ransomwares ?

La plupart des assureurs cyber couvrent les ransomwares, mais uniquement si vous pouvez démontrer un niveau de sécurité minimum (antivirus actif, mises à jour à jour, sauvegarde documentée). Le rapport PDF généré par l’Audit Flash Microdiag peut être utilisé directement comme justificatif pour votre assureur.

Sources : ANSSI Panorama de la menace informatique 2025, Sophos State of Ransomware 2025, Verizon DBIR 2025, Europol IOCTA 2025. Article rédigé par l’équipe Microdiag Sentinel — mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Sécurité
EDR vs antivirus : quelle différence et lequel choisir pour votre PME ?

Antivirus, EDR, XDR, SIEM... la terminologie sécurité est un maquis. Ce guide démêle clairement ce que fait chaque outil, pourquoi ils sont complémentaires et comment choisir sans se ruiner.

Lire l'article
Sécurité
Sauvegardes immuables Object Lock S3 : la dernière ligne de défense contre le ransomware

Même un attaquant avec vos credentials admin ne peut pas supprimer une sauvegarde Object Lock. Comment fonctionne l'immuabilité S3, pourquoi c'est différent d'une sauvegarde classique, et comment Microdiag Business l'active par défaut.

Lire l'article
Sécurité
Wazuh SIEM intégré dans Sentinelle Pro : détection d'intrusions pour PME sans SOC

Détection comportementale en temps réel, audit continu, corrélation d'événements — sans équipe SOC dédiée ni compétences en sécurité avancées.

Lire l'article