Comment prévenir les attaques par rançongiciel et s’en récupérer dans les petites entreprises

Beaucoup de propriétaires de petites entreprises pensent encore que les attaques par rançongiciel ne concernent que les hôpitaux, les marques mondiales ou les infrastructures publiques. En réalité, le risque de rançongiciel pour les petites entreprises est l’un des exemples les plus frappants de la manière dont les attaquants ciblent systématiquement les organisations disposant de données précieuses, d’un temps limité et de défenses plus faibles.

Les conclusions récentes de l’Observatoire des fuites de données de Proton montrent que les PME sont fréquemment victimes de violations. Elles sont également représentées de manière disproportionnée dans les incidents les plus préjudiciables, notamment les fuites de données impliquant des données à haut risque et l’exposition massive de dossiers.

Le rançongiciel est un problème de continuité des activités, de sécurité des identifiants et de protection des données. L’enquête du gouvernement britannique sur les fuites de données liées à la cybersécurité a révélé que 1 % des entreprises britanniques ont identifié des incidents de rançongiciel au cours des 12 derniers mois, contre moins de 0,5 % en 2024. À l’échelle nationale, cela équivaut à environ 19 000 entreprises.

Malgré la montée des rançongiciels, le hameçonnage reste le type de cyberattaque le plus courant. Les attaquants accèdent le plus souvent aux réseaux d’entreprise par le biais des personnes, des identifiants et des flux de travail habituels plutôt que par des cyberattaques à grande échelle. Ils peuvent essentiellement utiliser une attaque par hameçonnage pour lancer ensuite une attaque par rançongiciel plus importante s’ils flairent un gain plus élevé.

Pour une petite entreprise, les dommages causés par un rançongiciel peuvent entraîner des perturbations importantes de la continuité des activités. Les membres de l’équipe perdent l’accès aux fichiers et ne peuvent plus poursuivre leur travail, les opérations ralentissent ou s’arrêtent, et les clients ne bénéficient plus de services adéquats. Si des données personnelles sont compromises, des obligations de signalement suivront. Une stratégie pratique en matière de rançongiciel pour les PME doit couvrir les deux aspects d’une attaque : la prévention et la récupération.

Comment fonctionne un rançongiciel ?

Le rançongiciel est un type de logiciel malveillant qui vous empêche d’accéder à vos appareils ou à vos données, généralement en chiffrant les fichiers, puis exige un paiement en échange du déchiffrement. Dans de nombreux cas, les attaquants ne se contentent plus de verrouiller les fichiers. Ils volent également des données et menacent de les divulguer en cas de fuite si la rançon n’est pas payée, ce qui transforme l’incident en une crise de disponibilité et en une potentielle fuite de données.

Les victimes reçoivent souvent l’instruction de communiquer par message électronique anonyme ou par des pages web et de payer en cryptomonnaie. Pour les petites entreprises, cette distinction est importante car la cryptomonnaie est anonyme, décentralisée et non réglementée par les institutions financières traditionnelles : il est presque impossible de tracer les paiements.

Un événement lié à un rançongiciel ne se limite pas toujours à la perte d’accès aux fichiers. Cela peut aussi signifier que les informations clients, les données des employés, les dossiers financiers, les contrats ou les identifiants de connexion ont déjà été exfiltrés. Un rançongiciel peut entraîner une perte de l’accès rapide aux données personnelles et, lorsque les sauvegardes ne sont pas appropriées ou disponibles, même une perte permanente.

La chaîne d’attaque est généralement plus banale que vous ne l’imaginez. Les incidents faciles à ignorer qui peuvent mener à une attaque par rançongiciel incluent :

• L’ouverture de liens de hameçonnage.
• L’exposition de mots de passe réutilisés lors d’une fuite de données.
• Un service d’accès à distance laissé exposé.
• Des vulnérabilités connues non corrigées.

Une fois qu’un attaquant accède à un réseau d’entreprise, il se déplace latéralement, augmente ses privilèges, désactive les chemins de récupération lorsque c’est possible et déploie le chiffrement ou l’extorsion là où cela fera le plus mal. Aucun outil ou solution unique ne peut empêcher les attaques par rançongiciel. Au lieu de cela, les organisations doivent se concentrer sur la réduction du nombre de chemins d’accès faciles vers leur réseau.

Pourquoi les petites entreprises sont ciblées de manière disproportionnée

Les petites entreprises sont des cibles de rançongiciels attrayantes pour une raison simple : elles détiennent des données précieuses qui ne sont pas aussi bien protégées qu’elles devraient l’être. Les dernières conclusions de l’observatoire de Proton montrent que les PME représentent 63 % des fuites de données suivies depuis janvier 2025 et plus de 352 millions de dossiers ayant fait l’objet d’une fuite.

Elles représentent également 61 % des fuites de données impliquant des données à haut risque, les petites entreprises représentant à elles seules 48 % de ces incidents critiques. Parmi les fuites de données exposant plus de 100 000 dossiers, les PME en représentent 60 % et les petites entreprises 42 %.

Les petites entreprises ne sont pas négligentes. En fait, le Rapport 2026 sur la cybersécurité des PME de Proton prouve que les petites entreprises essaient d’améliorer leur cybersécurité. Le problème est que leurs défenses cèdent dans des conditions réelles. Une application incohérente, l’erreur humaine, les habitudes d’accès partagé et une capacité de sécurité interne limitée sont autant de facteurs qui font des petites entreprises des cibles tentantes.

Dans l’enquête de Proton menée auprès de 3 000 dirigeants d’entreprises de moins de 250 employés, 39 % ont déclaré que les incidents provenaient d’une erreur humaine, et 48 % ont affirmé ne pas avoir mis en place de gestionnaire de mots de passe.

Les grandes entreprises peuvent disposer d’équipes de réponse dédiées, d’environnements segmentés, de plans de sauvegarde testés et d’un support externe déjà en place en cas d’incident. Les plus petites disposent souvent d’une seule fonction informatique restreinte, d’un support externalisé ou d’aucun expert en sécurité dédié. Lorsque l’attaque survient, l’entreprise est obligée de prendre des décisions à enjeux élevés alors qu’elle subit une pression opérationnelle. Cette pression est exactement ce sur quoi comptent les opérateurs de rançongiciels.

Les points d’entrée les plus courants pour les rançongiciels dans les PME

Après avoir examiné les études réalisées au Royaume-Uni, nous savons que le hameçonnage reste le principal vecteur de cybercriminalité pour les entreprises. Mais pourquoi ? C’est parce que le hameçonnage est souvent la première étape vers le vol d’identifiants, la compromission de compte, la diffusion de logiciels malveillants ou l’abus d’accès à distance.

Des identifiants faibles ou réutilisés constituent un autre problème majeur. Les petites entreprises ont souvent des identifiants partagés, des mots de passe réutilisés sur plusieurs services ou d’anciens comptes qui restent actifs après qu’une personne a changé de rôle ou quitté l’entreprise. Une fois que les attaquants obtiennent un identifiant valide, ils n’ont pas besoin de pirater les comptes. Il leur suffit de se connecter.

À partir de là, un compte d’admin mal protégé, une console cloud exposée ou un point d’accès à distance sans authentification à deux facteurs (A2F) peut devenir la passerelle vers un incident de rançongiciel plus vaste. En réalité, les organisations doivent déployer l’A2F, l’accès au moindre privilège et des révisions régulières des autorisations pour limiter la réutilisation d’identifiants volés et la propagation des logiciels malveillants.

Les logiciels non corrigés constituent une autre porte d’entrée récurrente. Le NCSC souligne que les rançongiciels sont de plus en plus déployés via des services exposés tels que le RDP ou des appareils d’accès à distance non corrigés, et recommande de corriger les vulnérabilités des systèmes d’accès à distance et de ceux orientés vers Internet dès qu’elles sont disponibles. Pour les PME, c’est là qu’un incident manqué devient discrètement une surface d’attaque.

Comment se protéger contre les rançongiciels : une approche multicouche

Il n’existe aucun contrôle unique capable d’empêcher les rançongiciels. L’approche la plus efficace est multicouche et pratique.

Commencer par la gestion des identités

Les données des comptes des membres de l’équipe ont besoin d’une protection approfondie pour repousser les attaques par rançongiciel. Rendez l’authentification à deux facteurs obligatoire dans la mesure du possible pour les comptes critiques, en particulier la messagerie, les outils d’administration, l’espace de stockage cloud, les plateformes financières, les points d’accéder à distance et tout système stockant des données personnelles de clients ou d’autres informations personnelles identifiables (PII).

Améliorer l’hygiène des mots de passe

Les attaquants ne s’introduisent pas toujours par effraction dans les comptes. Souvent, ils se connectent avec des identifiants volés ou réutilisés. Chaque compte professionnel doit avoir un mot de passe unique et robuste, et l’accéder partagé devrait être remplacé par un partage d’identifiants géré et sécurisé via un gestionnaire de mots de passe professionnel plutôt que par des feuilles de calcul, des chats ou des messages.

Le propre rapport de Proton sur les PME souligne que même les entreprises disposant d’outils en place retombent souvent dans des habitudes de partage de mots de passe non sécurisées. C’est précisément là qu’un gestionnaire de mots de passe professionnel sécurisé comme Proton Pass for Business peut réduire les risques : il aide les équipes à créer des identifiants robustes et uniques, à les stocker en toute sécurité et à partager l’accéder de manière contrôlée et sécurisée.

La gestion des correctifs doit être rigoureuse

Les mises à jour de sécurité pour les systèmes d’exploitation, les applications, les VPN, les outils d’accéder à distance et les appareils périmétriques doivent être traitées comme des éléments opérationnels essentiels, et non comme une maintenance facultative. Installez les mises à jour de sécurité dès que possible et activez les mises à jour automatiques lorsque cela est réalisable.

Une protection robuste du web et de la messagerie

Le filtrage des messages, le contrôle des pièces jointes, le blocage des sites malveillants connus et les protections de navigation sécurisée réduisent tous la probabilité qu’un rançongiciel soit livré. L’hameçonnage étant très courant, ces contrôles sont essentiels.

Remédier aux erreurs humaines

Même lorsque vous avez mis en œuvre des mesures de sécurité et une politique de mots de passe, une formation de sensibilisation à la sécurité reste nécessaire. La formation aide le personnel à repérer les messages suspects et les tentatives d’ingénierie sociale, mais des erreurs seront toujours commises.

Des outils ou fonctionnalités plus robustes et des contrôles d’accéder devraient tenir compte de cela. Le NCSC recommande explicitement une formation de sensibilisation, mais les recherches de Proton soulignent également que la formation seule ne permet pas de détecter tous les écarts. Une bonne conception de la sécurité réduit les dommages lorsque quelqu’un clique en rendant une erreur moins susceptible de devenir un incident de grande ampleur, que ce soit par l’A2F, l’accéder au moindre privilège, des protections de messagerie plus fortes, un accéder segmenté ou des sauvegardes testées qui facilitent la récupération.

Protéger la récupération avant d’en avoir besoin

Les sauvegardes doivent être régulières, isolées et testées. L’ICO recommande d’adopter l’approche 3-2-1 : trois copies, sur deux appareils différents, avec une copie stockée hors site. Le NCSC ajoute une attention opérationnelle importante : un rançongiciel peut s’être infiltré dans votre environnement avant sa découverte, les sauvegardes doivent donc être scannées avant toute restauration, et les systèmes de sauvegarde eux-mêmes doivent être protégés.

Le lien avec les identifiants : pourquoi les mots de passe comptent toujours dans la défense contre les rançongiciels

Il est facile de considérer les rançongiciels comme de simples logiciels malveillants et d’oublier que les mots de passe jouent un rôle dans la réussite d’une attaque. Pourtant, de nombreux incidents de rançongiciels commencent par le vol, la réutilisation ou l’abus d’identifiants.

Cela peut signifier qu’un membre du personnel réutilise un mot de passe provenant d’un autre service, qu’un compte d’un ancien prestataire reste actif, qu’un identifiant admin est partagé entre plusieurs personnes, ou qu’un point d’accès à distance exposé n’est protégé que par un mot de passe. Chacun de ces raccourcis élargit la surface d’attaque.

C’est l’une des raisons pour lesquelles une gestion rigoureuse des identifiants doit faire partie de tout plan de récupération après rançongiciel et de tout cadre de prévention. Des mots de passe uniques par service réduisent le rayon d’impact d’un vol d’identifiants. Le MFA rend ce mot de passe volé moins utile à lui seul, tandis qu’un espace de stockage centralisé des identifiants élimine le besoin de solutions de contournement non sécurisées.

Un partage sécurisé signifie que les employés obtiennent l’accéder dont ils ont besoin via des méthodes contrôlées et traçables plutôt que par un partage informel de mots de passe. Un examen régulier des personnes ayant un accéder à quoi soutient également le principe du moindre privilège, que le NCSC recommande pour limiter les déplacements latéraux et la propagation.

Nous avons beaucoup écrit sur les menaces de rançongiciels auxquelles les PME sont confrontées. À maintes reprises, nous constatons la même chose : les attaquants recherchent de plus en plus les entreprises les plus faciles à pénétrer, et pas seulement les plus grands noms.

Que faire si votre petite entreprise est touchée

1. Contenir l’incident

Si votre entreprise est touchée, votre priorité absolue est le confinement. Déconnectez les appareils infectés du réseau, désactivez les comptes compromis si vous pouvez les identifier, isolez les chemins d’accès à distance, conservez les preuves et évitez d’effacer les systèmes trop rapidement si vous pourriez avoir besoin d’un support médico-légal ultérieurement.

2. Signalez l’incident

Le NCSC conseille aux organisations britanniques de signaler les incidents et fournit des conseils dédiés aux rançongiciels pour l’intervention et la récupération. Le guide de Proton sur l’intervention en cas d’incident est également une référence utile pour structurer le processus décisionnel plus large autour du confinement, de l’enquête, de la communication et de la récupération.

3. Ne payez pas la rançon

Le NCSC et les forces de l’ordre britanniques n’encouragent pas, n’approuvent pas et ne tolèrent pas le paiement des demandes de rançon. Ils soulignent qu’il n’y a aucune garantie que vous puissiez accéder à nouveau à vos systèmes, que ceux-ci peuvent rester infectés, que vous financerez des groupes criminels et que vous pourriez être plus susceptible d’être à nouveau pris pour cible.

L’ICO est tout aussi claire sur le fait que le paiement d’une rançon ne réduit pas le risque pour les personnes et ne protège pas les informations. Même si une clé de déchiffrement est proposée, il n’y a aucune garantie qu’elle fonctionnera ou que les données volées ne feront pas l’objet d’une fuite.

4. Commencez la récupération

La récupération doit se concentrer sur une restauration lente et sécurisée. Cela signifie reconstruire à partir de sauvegardes saines, valider que le chemin d’accès de l’attaque a été fermé, renouveler les identifiants affectés, rétablir l’accès avec précaution et documenter ce qui s’est passé. Si les sauvegardes sont connectées à des systèmes en direct ou n’ont pas été testées, c’est souvent là que les entreprises découvrent un deuxième échec après le premier. Un bon plan de récupération après rançongiciel commence réellement bien avant qu’un incident ne se produise.

Obligations de signalement au Royaume-Uni : quand l’ICO peut-elle avoir besoin d’être impliquée

Si un incident de rançongiciel affecte des données à caractère personnel, il peut s’agir d’une fuite de données en vertu du RGPD britannique. L’ICO explique que la perte d’accès aux données personnelles peut constituer en soi une violation lorsqu’elle crée un risque pour les individus, et que vous devez notifier l’ICO sans retard indu et, si possible, dans les 72 heures si la violation est susceptible d’entraîner un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées peuvent également devoir être informées sans retard indu.

Certaines organisations supposent encore que si elles restaurent les systèmes rapidement ou s’il n’y a pas de fuite publique évidente, le signalement est inutile. Ce n’est pas une hypothèse sûre. Le guide sur les rançongiciels de l’ICO traite explicitement des scénarios de notification de fuites de données et précise que l’évaluation porte sur le risque pour les individus, et pas seulement sur la question de savoir si les fichiers volés sont déjà apparus en ligne.

Le rançongiciel est désormais un problème pour les PME

Les petites entreprises sont de plus en plus fréquemment frappées par des attaques de rançongiciels, et l’impact peut être sévère car les attaquants exploitent leurs faiblesses. Les dernières données de Proton sur les fuites de données rendent cela visible : la menace est mesurable, croissante et perturbe les opérations.

La bonne nouvelle est que les mesures fondamentales peuvent faire une grande partie du travail pour n’importe quelle PME. Des mesures telles que l’utilisation d’un gestionnaire de mots de passe professionnel pour déployer l’A2F et créer des identifiants uniques, les correctifs, le filtrage des messages, la sensibilisation du personnel, la révision des permissions, les sauvegardes testées et la planification de l’intervention en cas d’incident peuvent ne pas sembler spectaculaires individuellement, mais ensemble, elles font une différence significative. Elles réduisent les risques qu’un seul mot de passe volé, un seul message d’hameçonnage ou un seul service distant exposé ne dégénère en une interruption d’activité à l’échelle de l’entreprise.