PME indemnisee apres ransomware : retour d'experience
Temoignage 17 fevrier 2026 12 min de lecture

Comment une PME a ete indemnisee apres un ransomware : retour d'experience

En septembre 2025, une PME francaise de 45 salaries specialisee dans le negoce B2B a ete victime d'un ransomware qui a paralyse son activite pendant 12 jours. Grace a son assurance cyber souscrite via My Trust Partner, elle a ete integralement indemnisee et a pu reprendre son activite. Voici le recit detaille de cet incident, anonymise avec l'accord du client.

Equipe MTP
Equipe MTP Experts cybersecurite & courtage

Le contexte : une PME "comme les autres"

Appelons-la "SocieteX". Basee en region parisienne, SocieteX est une PME de negoce B2B qui emploie 45 personnes et realise un chiffre d'affaires annuel de 12 millions d'euros. Son systeme d'information repose sur un serveur Windows on-premise hebergeant l'ERP, un serveur de fichiers, Microsoft 365 pour la messagerie, et un logiciel metier en SaaS.

Avant l'incident, SocieteX avait realise un audit de maturite cyber avec My Trust Partner, qui avait revele un score de 62% : acceptable mais perfectible. Les principales recommandations : renforcer les sauvegardes (en cours de deploiement), former les collaborateurs (planifie), et deployer un EDR sur les postes (fait).

Sur notre conseil, SocieteX avait souscrit une assurance cyber avec un plafond de 1 million d'euros et une franchise de 5 000 euros. La prime annuelle s'elevait a 4 200 euros.

Profil de SocieteX : 45 salaries, 12 M euros de CA, secteur negoce B2B, score de maturite 62%, assurance cyber 1 M euros de plafond.

L'attaque : un vendredi soir a 22h

Comme souvent, l'attaque a eu lieu un vendredi soir, le 12 septembre 2025, a 22h. Les attaquants avaient compromis le compte VPN d'un collaborateur plusieurs semaines auparavant, probablement via un email de phishing. Ils avaient pris le temps de cartographier le reseau, d'identifier les sauvegardes locales, et de preparer le deploiement du ransomware.

La chronologie de l'attaque

  • 22h00 : Debut du chiffrement. Le ransomware LockBit 3.0 se propage sur le reseau interne
  • 22h15 : L'EDR detecte un comportement anormal et envoie une alerte. Mais c'est vendredi soir, personne ne surveille
  • 22h45 : Le serveur ERP, le serveur de fichiers et 30 postes de travail sont chiffres
  • 23h00 : Les sauvegardes locales (NAS) sont egalement chiffrees. Seules les sauvegardes cloud externalisees (deployees 3 semaines plus tot sur recommandation MTP) sont intactes
  • 23h30 : Une note de rancon apparait : 150 000 euros en Bitcoin, delai de 72 heures

La decouverte le lundi matin

Le lundi matin a 8h, le responsable informatique decouvre la situation en arrivant au bureau. Aucun poste ne demarre normalement, l'ERP est inaccessible, les fichiers partages sont illisibles. Le message de rancon s'affiche sur chaque ecran. La panique s'installe.

Ne restez pas sans protection

Un incident comme celui-ci peut arriver a n'importe quelle entreprise. Evaluez votre niveau de risque des maintenant.

Auto-diagnostic

La reaction : l'assurance entre en jeu

Heure H : l'appel a la hotline

A 8h30, le dirigeant de SocieteX appelle la hotline d'urgence de son assureur, numero qu'il avait enregistre dans son telephone sur recommandation de MTP. L'appel est pris en charge en moins de 5 minutes. Un expert en gestion de crise qualifie la situation et declenche le protocole d'intervention.

Les premieres heures

En parallele, MTP est prevenu et active son equipe de reponse a incident. Voici ce qui se passe dans les premieres heures :

  • 9h00 : Isolation du reseau pour stopper la propagation (meme si le chiffrement est termine, il faut empecher l'exfiltration de donnees)
  • 10h00 : Un expert forensic commence l'analyse pour comprendre le vecteur d'attaque et l'etendue des degats
  • 11h00 : Depot de plainte au commissariat (obligation legale pour activer la garantie cyber-extorsion, conformement a la loi LOPMI)
  • 12h00 : Notification CNIL initiee (des donnees clients etaient potentiellement concernees)
  • 14h00 : Premiere reunion de crise avec le dirigeant, le DSI, l'assureur, MTP et le juriste

La decision de ne pas payer la rancon

Apres analyse, il s'avere que les sauvegardes cloud externalisees sont intactes et contiennent des donnees datant du vendredi 12 septembre a 18h, soit 4 heures avant l'attaque. La decision est prise collectivement : ne pas payer la rancon et restaurer a partir des sauvegardes. Cette decision est validee par l'assureur et par MTP.

Lecon cle : Les sauvegardes cloud externalisees, deployees seulement 3 semaines avant l'attaque sur recommandation de l'audit MTP, ont sauve l'entreprise. Sans elles, la seule option aurait ete de payer la rancon ou de tout reconstruire de zero.

L'indemnisation : ce que l'assurance a couvert

Voici le detail des couts pris en charge par l'assurance cyber de SocieteX :

Poste de depense Montant Couvert par l'assurance
Expert forensic (analyse, preuves) 18 000 EUR Oui
Restauration serveurs et postes 35 000 EUR Oui
Pertes d'exploitation (12 jours) 145 000 EUR Oui
Notification CNIL et personnes 8 500 EUR Oui
Assistance juridique 12 000 EUR Oui
Communication de crise 6 500 EUR Oui
Renforcement securite post-incident 25 000 EUR Partiellement (15 000 EUR)
TOTAL 250 000 EUR 240 000 EUR indemnises

Apres deduction de la franchise de 5 000 euros, SocieteX a recu 235 000 euros d'indemnisation pour un sinistre dont le cout total a depasse 250 000 euros. Le reste a charge effectif : environ 15 000 euros, soit une fraction de ce que l'entreprise aurait du supporter sans assurance.

Le delai d'indemnisation

L'assureur a verse un premier acompte de 50 000 euros sous 10 jours pour financer les operations d'urgence. Le solde a ete regle en deux fois : 100 000 euros a J+45 et 85 000 euros a J+90, apres cloture du dossier de sinistre. Un delai raisonnable qui a permis a SocieteX de maintenir sa tresorerie.

Le bilan financier : l'assurance a sauve l'entreprise

Mettons les chiffres en perspective :

  • Prime annuelle payee : 4 200 EUR
  • Indemnisation recue : 235 000 EUR
  • Ratio indemnisation/prime : 56 pour 1
  • Cout sans assurance : 250 000 EUR a supporter seul

Sans assurance, SocieteX aurait du puiser 250 000 euros dans sa tresorerie, soit plus de 2% de son chiffre d'affaires annuel. Pour une PME avec des marges typiques de 5 a 8%, c'est un coup potentiellement fatal. 60% des PME qui subissent un sinistre cyber majeur sans assurance deposent le bilan dans les 18 mois.

Le mot du dirigeant : "Quand j'ai vu le montant de la rancon, j'ai eu un vertige. Puis je me suis souvenu que j'etais assure. L'equipe MTP et l'assureur ont pris les choses en main. Sans cette assurance, je ne sais pas si l'entreprise aurait survecu."

Les 7 lecons a retenir de cette experience

1. L'assurance cyber n'est pas un luxe, c'est une necessite

Pour 4 200 euros par an, SocieteX s'est protegee contre un sinistre de 250 000 euros. Le rapport cout/benefice est sans equivoque.

2. L'audit prealable est determinant

C'est grace a l'audit MTP que SocieteX a deploye ses sauvegardes cloud 3 semaines avant l'attaque. Sans cet audit, les sauvegardes auraient ete uniquement locales et auraient ete detruites par le ransomware.

3. Les sauvegardes externalisees sont non negociables

C'est la mesure qui a fait la difference entre une restauration en 12 jours et une catastrophe irreversible. Les sauvegardes doivent etre hors du reseau de production, regulieres et testees.

4. La formation des collaborateurs aurait pu empecher l'attaque

Le point d'entree etait un email de phishing. Si le collaborateur avait ete forme a reconnaitre ce type d'attaque, l'incident n'aurait probablement jamais eu lieu. SocieteX a depuis inscrit l'ensemble de ses equipes aux formations cybersecurite MTP, disponibles sur MTP Academy.

5. Deposer plainte sous 72h est obligatoire

Depuis la loi LOPMI de 2023, le depot de plainte dans les 72 heures est une condition sine qua non pour beneficier de la garantie cyber-extorsion. SocieteX l'a fait le jour meme, sur les conseils de MTP.

6. Le SOC 24/7 aurait pu limiter les degats

L'EDR a detecte l'attaque a 22h15, mais personne ne surveillait. Avec un SOC 24/7, l'alerte aurait ete traitee en temps reel et le chiffrement aurait pu etre contenu des les premieres minutes. SocieteX a depuis souscrit au SOC manage de MTP.

7. Un courtier expert fait la difference en cas de sinistre

MTP a coordonne l'ensemble de la reponse : technique, juridique et assurantielle. Un seul interlocuteur qui connait le dossier, les garanties et les obligations. Le dirigeant de SocieteX a pu se concentrer sur son activite pendant que MTP gerait la crise.

Conclusion : et si c'etait votre entreprise ?

L'histoire de SocieteX n'est pas un cas isole. En France, une PME est victime d'une cyberattaque toutes les 40 secondes. La question n'est plus de savoir SI vous serez attaque, mais QUAND. La seule variable sur laquelle vous avez le controle, c'est votre niveau de preparation.

3 actions a prendre immediatement :

  1. Faites notre auto-diagnostic pour connaitre votre score d'assurabilite
  2. Verifiez vos sauvegardes : sont-elles externalisees, recentes et testees ?
  3. Contactez un courtier specialiste pour evaluer votre couverture actuelle ou obtenir votre premier devis

Chaque jour sans assurance cyber est un jour ou votre entreprise joue a la roulette russe avec sa perennite. Ne faites pas cette erreur.

Equipe MTP

Equipe My Trust Partner

Experts cybersecurite & courtage

L'equipe MTP reunit des experts en cybersecurite, conformite reglementaire et courtage d'assurance. Notre mission : rendre les PME francaises assurables et resilientes face aux cybermenaces.

Articles similaires

A lire egalement

Prix Assurance Cyber 2026 : Tarifs et Comparatif Guide Complet de l'Assurance Cyber pour PME Ransomware en Entreprise : Que Faire ? Cout d'une Cyberattaque pour une Entreprise

Tous nos articles assurance cyber →

Expert Cybersecurite MTP Formations Cybersecurite