Prévention du ransomware pour les PME : 6 mesures concrètes

Comment le ransomware entre vraiment

Avant les mesures, deux minutes sur le mode opératoire. Aujourd'hui, dans la majorité des cas relayés par Cybermalveillance.gouv.fr et le CERT-FR, l'attaquant entre par :

• Un email de phishing qui livre un malware ou récolte un identifiant — c'est le vecteur dominant. Voir notre article Phishing : 5 signaux à apprendre à votre équipe.
• Une faille connue non patchée sur un service exposé (VPN ancien, RDP exposé, serveur applicatif).
• Un identifiant volé sur un service tiers et réutilisé sur la messagerie ou le VPN.

Une fois entré, l'attaquant explore en silence pendant plusieurs jours, élève ses privilèges, atteint l'Active Directory, puis déclenche le chiffrement souvent un vendredi soir ou la veille d'un week-end férié. Les six mesures qui suivent visent chaque étape de cette chaîne.

Mesure 1 — Sauvegardes immuables 3-2-1, testées

La règle 3-2-1 veut trois copies de vos données critiques, sur deux supports différents, dont une hors site et déconnectée. Le mot clé en 2026 est immuable : la sauvegarde immuable ne peut être ni modifiée ni supprimée pendant une période fixée — pas même par un administrateur compromis.

Et surtout : une sauvegarde non testée n'est pas une sauvegarde. C'est un espoir. Un test de restauration trimestriel documenté est ce qui fait la différence le jour J. Voir notre offre Infrastructure & Systèmes.

Mesure 2 — MFA partout, sans exception

La MFA bloque la majorité des attaques par mot de passe volé. La feuille de route ANSSI 2026-2027 publiée le 14 avril 2026 fixe d'ailleurs comme objectif l'activation de la MFA pour tous les administrateurs de l'État au 31 décembre 2026. Pour une PME, c'est encore plus simple à activer : messagerie, VPN, comptes admin, services tiers (banque, RH, comptabilité).

L'erreur typique est de l'activer pour les dirigeants seulement. Or, dans la majorité des compromissions PME, l'attaquant entre par un compte standard : un commercial, un comptable, un assistant. La MFA doit être universelle, pas hiérarchique.

Mesure 3 — Un EDR comportemental, pas un antivirus

L'antivirus à signature ne voit pas le ransomware moderne, qui mute à chaque exécution. L'EDR (Endpoint Detection and Response) détecte les comportements anormaux : une appli bureautique qui chiffre soudainement vos fichiers, un poste qui scanne le LAN, PowerShell qui télécharge un script depuis un domaine inconnu.

Pour aller plus loin sur la différence, lire Pourquoi votre antivirus ne suffit plus en 2026.

Mesure 4 — Segmentation réseau

Quand le ransomware atteint le réseau interne, la segmentation fait la différence entre « 3 postes chiffrés » et « toute l'entreprise paralysée ». Concrètement, en PME :

• Un VLAN dédié pour la bureautique, isolé de la VoIP et de l'IoT.
• Un Wi-Fi invité totalement séparé du LAN.
• Le serveur de sauvegarde sur un VLAN distinct, accessible uniquement depuis les sources autorisées.
• Les comptes administrateur sur un poste dédié, jamais utilisé pour la bureautique.

Voir notre offre Réseau Informatique pour la mise en œuvre concrète.

Mesure 5 — Mises à jour rigoureuses

D'après les retours d'expérience publiés par le CERT-FR, la majorité des compromissions exploitent des failles publiées depuis plus de 30 jours. Ce n'est pas un manque d'outils — les correctifs étaient disponibles. C'est un manque de discipline.

Une PME doit fixer une fenêtre de patching mensuelle, prioriser les correctifs critiques sous 30 jours sur tout système exposé, et s'appuyer sur des outils gratuits ou intégrés (Windows Update for Business, WSUS, Intune pour Microsoft 365 Business Premium). Lire aussi Pourquoi vous remettez les mises à jour à plus tard, et pourquoi il faut arrêter.

Mesure 6 — Un plan de réponse écrit, testé

Le moment du chiffrement n'est pas le moment d'improviser. Un plan de réponse à incident d'une page suffit pour une PME. Il doit répondre à :

• Qui appelle qui ? Le dirigeant, le prestataire IT, l'assureur cyber, votre CSIRT régional, Cybermalveillance.gouv.fr.
• Qui isole quoi ? Couper le réseau, déconnecter les sauvegardes hors ligne, ne pas éteindre les machines (mémoire vive utile à l'analyse).
• Qui notifie ? CNIL sous 72 h si données personnelles concernées, clients selon la nature de la fuite.
• Qui parle ? Une seule personne en interne, idéalement le dirigeant, pour éviter les communications contradictoires.

Le plan se teste une fois par an, idéalement sous forme d'exercice de table de 30 minutes. Sans test, le jour J, le plan ne fonctionne pas.

À retenir

Ce que Scryptoura fait pour vous

Notre Diagnostic Découverte évalue chacune de ces six mesures dans votre contexte concret. Vous recevez un rapport en trois couleurs (rouge / orange / vert) avec un plan d'action priorisé. Pour un premier aperçu en 3 minutes via 22 questions, faites notre auto-évaluation express.