Une attaque par ransomware ne ressemble plus à ce qu’elle était il y a cinq ans. Le scénario classique, chiffrement des fichiers contre une rançon, a évolué vers quelque chose de plus sophistiqué et de plus difficile à gérer même avec de bonnes sauvegardes. Comprendre comment ces attaques fonctionnent aujourd’hui est le point de départ de toute protection sérieuse.

Ce que le ransomware fait vraiment en 2026

Les attaquants ne se contentent plus de chiffrer vos données. Ils les exfiltrent d’abord et menacent de les publier si vous ne payez pas. Même avec des sauvegardes, vous êtes vulnérable. C’est ce que l’on appelle la double extorsion : l’entreprise doit faire face simultanément à l’indisponibilité de ses systèmes et à la menace de publication de données sensibles.

N’importe qui peut aujourd’hui acheter un kit de ransomware sur le dark web pour quelques centaines d’euros. Ce modèle dit “Ransomware-as-a-Service” a fait exploser le nombre d’attaquants potentiels. Il ne faut plus de compétences techniques avancées pour mener une campagne contre une PME.

Autre évolution majeure : les ransomwares modernes recherchent et détruisent les sauvegardes avant de chiffrer les données. Une sauvegarde locale ou connectée en permanence au réseau n’offre donc plus la protection qu’elle était censée apporter.

Les chiffres qui donnent la mesure du problème

Les ransomwares ont causé plus de 20 milliards d’euros de dommages dans le monde en 2025.

5 243 victimes de ransomware ont vu leurs données publiées sur des sites de fuite en 2024, soit une hausse de 15 % par rapport à 2023. Ces publications concernent des contrats, des données clients, des informations financières et des données personnelles soumises au RGPD.

Près d’une PME sur cinq ayant subi une cyberattaque a déposé le bilan ou a dû fermer ses portes. Ce n’est pas uniquement le coût de la rançon qui pose problème. C’est l’arrêt de l’activité, la perte de confiance des clients, le coût de remédiation et les éventuelles sanctions réglementaires.

En France, l’ANSSI a comptabilisé 144 compromissions par rançongiciel signalées en 2024, un niveau toujours très élevé. Et ces chiffres ne représentent que les incidents déclarés.

Comment une attaque se déroule concrètement

Comprendre le déroulé d’une attaque permet d’identifier où intervenir.

L’intrusion initiale se fait dans la grande majorité des cas par hameçonnage. Un collaborateur clique sur un lien frauduleux, entre ses identifiants sur une fausse page, ou ouvre une pièce jointe piégée. Le facteur humain reste impliqué dans environ 60 % des brèches.

La phase de reconnaissance suit immédiatement. L’attaquant, ou le logiciel autonome, cartographie le réseau, identifie les données de valeur, localise les sauvegardes et cherche à élever ses privilèges d’accès. Cette phase peut durer plusieurs semaines sans déclencher d’alerte.

L’exfiltration précède le chiffrement. Les données sensibles sont copiées vers un serveur externe avant que le chiffrement ne commence. C’est ce qui rend la double extorsion possible.

Le chiffrement se déclenche alors, souvent la nuit ou un week-end, pour maximiser le temps d’arrêt avant détection. Les sauvegardes accessibles depuis le réseau sont détruites en même temps.

Les cinq mesures qui font la différence

1. Des sauvegardes déconnectées et testées

La règle 3-2-1 reste la référence : trois copies des données, sur deux supports différents, dont une hors site et déconnectée du réseau. Le point critique est le test de restauration. Une sauvegarde non testée est une sauvegarde dont on ignore si elle fonctionne.

2. La segmentation du réseau

Si tous les postes et serveurs d’une PME communiquent librement entre eux, un ransomware qui prend le contrôle d’un poste peut atteindre l’ensemble du parc en quelques minutes. La segmentation consiste à isoler les serveurs critiques, les postes administrateurs et les outils de production dans des zones réseau distinctes.

3. La gestion stricte des accès

Dans un quart des cas de ransomware, la direction a été remplacée après l’attaque. Cela illustre le niveau d’exposition réel. Limiter les droits d’accès au strict nécessaire, activer l’authentification à deux facteurs sur tous les accès distants et désactiver les comptes inutilisés réduit significativement la surface d’attaque.

4. La supervision en temps réel

Un ransomware qui se propage depuis 48 heures sans être détecté cause des dommages bien supérieurs à celui détecté en quelques heures. La supervision continue du réseau permet de repérer des comportements anormaux, comme un volume inhabituel de fichiers modifiés ou une connexion depuis un pays inhabituel, avant que le chiffrement ne commence.

5. Un plan de reprise d’activité formalisé

Avoir des sauvegardes ne suffit pas si personne ne sait comment les restaurer sous pression. Un plan de reprise d’activité (PRA) documente les procédures, identifie les systèmes prioritaires à restaurer en premier et définit qui prend quelles décisions en cas d’incident. Ce plan doit être testé au moins une fois par an.

Ce que Systup met en place pour ses clients

Systup intègre la protection contre les ransomwares dans son offre d’infogérance : sauvegardes automatisées et déconnectées, supervision du réseau, gestion des droits d’accès, mises à jour de sécurité et accompagnement en cas d’incident.

Un incident ne prévient pas. La préparation, elle, peut se planifier. Un audit de votre infrastructure permet d’évaluer votre exposition réelle et d’identifier les mesures prioritaires à mettre en place.

Contactez Systup au 01 46 84 15 00 ou à support@systup.com pour faire le point sur votre situation.