Ransomware en entreprise : guide de survie
Guide d'urgence 20 janvier 2025 11 min de lecture

Ransomware en entreprise : que faire ? Le guide de survie

Il est 8h30, lundi matin. Vos collaborateurs allument leurs postes et decouvrent un ecran noir avec un message : "Vos fichiers ont ete chiffres. Pour les recuperer, payez 2 bitcoins dans les 72 heures." Ce guide vous donne les cles pour reagir efficacement.

Equipe MTP
Equipe MTP Experts cybersecurite & courtage

En cas d'urgence : Si vous etes actuellement victime d'un ransomware, appelez immediatement votre assureur cyber ou contactez-nous au 01 48 91 09 50 (disponible 24/7).

Les 6 premieres heures : les gestes qui sauvent

Heure 0-1 : Isoler et preserver

Ne pas paniquer, agir methodiquement. La premiere reaction est souvent la panique. Respirez. Vous avez quelques heures devant vous avant que la situation ne s'aggrave vraiment.

Isoler les systemes infectes - C'est LA priorite absolue. Le ransomware peut encore se propager sur le reseau.

  • Debranchez physiquement les cables reseau des postes infectes
  • Desactivez le Wi-Fi sur ces machines
  • N'eteignez PAS les ordinateurs (la memoire RAM contient des indices precieux)
  • Isolez les segments reseau touches

ATTENTION : Ne lancez surtout pas un scan antivirus sur les machines infectees. Vous risquez de detruire des preuves et d'aggraver la situation.

Heure 1-2 : Alerter et mobiliser

Qui prevenir ?

  1. Votre prestataire informatique
  2. Votre assureur cyber - la hotline est dans votre contrat
  3. My Trust Partner si vous etes client - intervention sous 2 heures
  4. La direction generale

Heure 2-4 : Evaluer et decider

Avec l'aide des experts, cartographiez l'etendue des degats :

  • Quels systemes sont touches ?
  • Y a-t-il eu exfiltration de donnees (double extorsion) ?
  • Les sauvegardes sont-elles intactes et accessibles ?
  • Quel est le delai estime de reprise ?

Heure 4-6 : Lancer la reponse

Deposer plainte - Obligatoire si vous souhaitez beneficier de la garantie d'indemnisation du paiement de rancon (loi LOPMI 2023). Delai : 72 heures.

Notifier la CNIL si des donnees personnelles sont potentiellement concernees - Notification sous 72 heures obligatoire.

Testez votre assurabilite cyber

Verifiez que votre entreprise est bien preparee face aux ransomwares.

Auto-diagnostic gratuit

Faut-il payer la rancon ?

La position officielle

L'ANSSI, les autorites et la plupart des experts deconseillent de payer :

  • Vous financez les criminels
  • Vous encouragez de futures attaques
  • Rien ne garantit la recuperation des donnees
  • Vous pouvez etre cible a nouveau

Notre position chez My Trust Partner

Le paiement doit etre le dernier recours, apres avoir epuise toutes les alternatives. Si vous en arrivez la :

  1. Faites-vous accompagner par des experts en negociation cyber
  2. Negociez : la demande initiale est rarement le prix final
  3. Exigez une preuve de capacite a decrypter (fichier test)
  4. Preparez la restauration en parallele
  5. N'oubliez pas le depot de plainte dans les 72h

Les erreurs fatales a eviter

Erreur n1 : Eteindre les machines

La memoire RAM contient parfois des cles de decryptage. En eteignant, vous les perdez definitivement.

Erreur n2 : Lancer un antivirus

L'antivirus va supprimer les fichiers du malware, y compris ceux qui pourraient aider au decryptage.

Erreur n3 : Negocier seul avec les attaquants

Vous n'avez pas l'experience. Ils sont des professionnels.

Erreur n4 : Restaurer sans nettoyer

Restaurer sur un environnement encore infecte, c'est recommencer a zero.

Erreur n5 : Oublier la plainte et la CNIL

La plainte conditionne certaines garanties d'assurance. La notification CNIL est une obligation legale.

Se preparer avant que ca n'arrive

Les mesures preventives essentielles

Sauvegardes robustes - La regle 3-2-1 :

  • 3 copies de vos donnees
  • Sur 2 supports differents
  • Dont 1 hors site et hors ligne

Testez regulierement la restauration. Une sauvegarde non testee n'existe pas.

Le plan de reponse a incident

Preparez-le AVANT la crise :

  1. Liste des contacts d'urgence : assureur, prestataires, autorites
  2. Procedures d'isolation : qui fait quoi pour stopper la propagation
  3. Criteres de classification : qu'est-ce qui declenche la cellule de crise
  4. Roles et responsabilites : qui decide, qui communique, qui coordonne
  5. Templates de communication : prets a adapter

Le conseil MTP : Faites un exercice de crise annuel. Une procedure qui n'a jamais ete testee ne fonctionnera pas le jour J.

Conclusion : mieux vaut prevenir

Un ransomware peut frapper n'importe quelle entreprise, a n'importe quel moment. La difference entre celles qui s'en remettent et celles qui ferment, c'est la preparation.

Les 5 actions prioritaires :

  1. Mettez en place des sauvegardes robustes et testees
  2. Deployez le MFA sur tous les acces sensibles
  3. Formez vos collaborateurs au phishing
  4. Preparez un plan de reponse a incident
  5. Souscrivez une assurance cyber adaptee
Equipe MTP

Equipe My Trust Partner

Experts cybersecurite & courtage

L'equipe MTP reunit des experts en cybersecurite, conformite reglementaire et courtage d'assurance. Notre mission : rendre les PME francaises assurables et resilientes face aux cybermenaces.

Articles similaires