L'ANSSI a recensé 128 compromissions par rançongiciel en France en 2025, et 48 % des victimes sont des PME, TPE ou ETI. Le ransomware en entreprise ne touche plus seulement les grands groupes médiatisés. Il frappe désormais les structures intermédiaires, moins outillées, souvent sans cellule de crise.
La question n'est plus de savoir si une organisation sera ciblée. Elle est de savoir combien de temps elle mettra à redémarrer.
Un ransomware est un logiciel malveillant qui chiffre les fichiers d’une organisation et conditionne leur déchiffrement au paiement d’une rançon. L’attaque suit toujours la même séquence : intrusion silencieuse, propagation latérale dans le réseau, exfiltration des données sensibles, puis chiffrement déclenché en fin de chaîne. Les attaquants laissent une note avec un délai et un montant, souvent en cryptomonnaie.
La pratique de la double extorsion s’est généralisée. Les groupes chiffrent les données et menacent de les publier sur un site de fuite. Restaurer ses sauvegardes ne suffit plus : la fuite, elle, est déjà actée.
Le phishing reste la porte d’entrée majoritaire. Une pièce jointe Office piégée, un lien dans un faux mail RH, un OTP demandé par un faux support IT. À cela s’ajoutent les vulnérabilités logicielles non corrigées : selon l’ANSSI, environ 29 % des failles exploitées en 2025 l’ont été le jour même de leur publication, voire avant. Les accès RDP exposés sans MFA et les comptes administrateurs aux mots de passe faibles complètent le tableau. Les souches dominantes en 2025 — Qilin (21 % des cas), Akira (9 %) et LockBit 3.0 (5 %) — fonctionnent toutes sur ce schéma.
Parce qu’elles paient. Les attaquants raisonnent en rendement. Une ETI dispose de données monétisables, de clients à prévenir, d’une chaîne logistique à l’arrêt, mais rarement d’un SOC interne ni d’un plan de réponse formalisé. Le ratio effort/rançon devient intéressant. Le Baromètre Konica Minolta de la sérénité numérique 2025 indique que 42 % des PME françaises n’ont aucune stratégie de cybersécurité formalisée. Les cybercriminels le savent.
La prévention d’un ransomware en entreprise tient sur trois leviers : l’humain, la mise à jour, l’accès. Aucun n’est exotique. Aucun n’est suffisant pris isolément. Le défaut le plus courant tient à leur juxtaposition non coordonnée — un antivirus à jour, des collaborateurs non formés, des comptes admin partagés.
Un clic mal placé reste la cause initiale la plus fréquente. La formation doit sortir du module e-learning annuel pour intégrer des simulations de phishing récurrentes, mensuelles ou bimestrielles, avec retour individualisé. Mesurer le taux de clic, identifier les services exposés (compta, RH, direction), répéter. L’exercice marche, à condition de ne pas humilier les collaborateurs qui tombent dans le piège. Sinon ils ne signalent plus.
Les ransomwares de 2025 ont massivement exploité des failles connues et corrigées. Le retard de patching est une cause d’incident plus que les attaques zero-day. Il faut donc cartographier les actifs, suivre les CVE critiques, automatiser les correctifs quand c’est possible, et accepter une fenêtre de maintenance régulière. Sur les équipements exposés sur Internet (VPN, pare-feu, serveurs de messagerie), le délai cible se compte en jours, pas en semaines.
L’authentification multifactorielle (MFA) sur tous les accès distants et les comptes à privilèges divise par dix le risque d’intrusion par credential stuffing. À compléter par une gestion stricte des droits d’administration locale, une politique de mots de passe robuste (gestionnaire d’entreprise, pas de partage), et une protection EDR sur les postes. Reste un point souvent négligé : les multifonctions et imprimantes connectées sont des points d’entrée. Konica Minolta intègre désormais un antivirus directement sur ses systèmes d’impression bizhub pour scanner les flux entrants.
Parce qu’elles constituent la seule garantie de redémarrer sans payer. Un ransomware en entreprise vise précisément à priver la victime de ses données — et donc de ses options. Une sauvegarde correctement isolée transforme une crise existentielle en incident maîtrisable. Encore faut-il qu’elle soit testée. Beaucoup d’organisations découvrent au pire moment que leurs sauvegardes étaient en ligne, chiffrées avec le reste, ou inexploitables.
La règle 3-2-1 reste la référence : trois copies des données, sur deux supports différents, dont une hors site et déconnectée. Les attaquants modernes cherchent activement les serveurs de sauvegarde dès l’intrusion. Sans isolation physique ou logique (air gap, immuabilité), la sauvegarde tombe avec la production. Tester la restauration au moins deux fois par an, sur un périmètre représentatif, et chronométrer. Le RTO théorique de la documentation et le RTO réel d’un exercice ne coïncident jamais au premier essai.
Le plan de reprise d’activité (PRA) décrit la remise en route des systèmes critiques. Le plan de continuité d’activité (PCA) décrit comment l’entreprise continue de fonctionner pendant l’incident — manuellement, en mode dégradé, sur des sites de repli. Les deux documents existent souvent sur le papier sans avoir jamais été éprouvés. Un exercice de crise annuel, sur table ou en conditions réelles, suffit à révéler les angles morts : numéros de téléphone obsolètes, prestataires injoignables le week-end, sauvegardes Microsoft 365 absentes.
Les premières heures décident de l’ampleur des dégâts. La réaction à un ransomware en entreprise doit être préparée avant l’incident — pas improvisée au moment où le chiffrement démarre. Cela passe par une cellule de crise désignée, des contacts à jour, et une chaîne de décision claire sur le périmètre à isoler.
Couper immédiatement le réseau est le premier geste à effectuer.. Débrancher physiquement si nécessaire, désactiver le Wi-Fi, suspendre les VPN. Tant que la propagation n’est pas stoppée, chaque minute ajoute des serveurs à la liste des victimes. Préserver les preuves : ne pas éteindre les machines brutalement (la RAM contient des éléments d’enquête), ne pas écraser les logs, isoler les sauvegardes du périmètre infecté. Notifier la CNIL sous 72 heures si des données personnelles sont concernées, et déposer plainte.
L’investigation post-incident (forensic) demande des compétences spécifiques rarement présentes en interne. Un prestataire qualifié identifie le point d’entrée, le périmètre compromis, les comptes utilisés, les éventuelles backdoors laissées par les attaquants. Restaurer sans investiguer revient souvent à se faire réinfecter dans les semaines qui suivent. L’ANSSI met à disposition une liste de prestataires PRIS (réponse à incident) qualifiés — un repère utile pour les PME qui n’ont pas de partenaire identifié.
Parce que la cybersécurité d’une PME ne se réduit plus à un antivirus et un pare-feu. Elle articule des compétences en audit, en supervision, en formation, en sauvegarde managée, en réponse à incident. Peu de structures intermédiaires peuvent ou veulent internaliser l’ensemble. Le sujet bascule alors sur le choix du partenaire et la cohérence de l’offre — pas sur l’addition d’outils ponctuels.
Konica Minolta porte une approche cyber-résiliente globale qui combine audit, protection des postes (BitDefender), sauvegarde managée cloud (Acronis), PRA pour les infrastructures virtualisées (Veeam) et sensibilisation. L’entreprise est labellisée ExpertCyber. Pour les organisations qui veulent structurer leur démarche, le livre blanc sur les sept étapes clés de la cyber-résilience propose un cadre de mise en œuvre.
Reste une question que beaucoup de dirigeants repoussent : à quand remonte le dernier test de restauration ? Si la réponse demande à être cherchée, l’exercice mérite d’être programmé cette semaine.
Cela dépend presque entièrement de l’état des sauvegardes au moment du chiffrement. Quand elles sont isolées, immuables et testées, un retour en production partiel se compte en jours. Quand elles ont été chiffrées avec le reste du SI, le délai grimpe à plusieurs semaines — voire deux à trois mois si une investigation forensic complète est nécessaire avant de relancer. Le baromètre 2025 de l’ANSSI évoque des arrêts d’activité moyens de 21 jours sur le segment PME-ETI. Reste qu’une moyenne masque mal les écarts : une entreprise sans plan de reprise éprouvé met mécaniquement plus de temps qu’une autre qui a chronométré ses restaurations deux fois dans l’année.
Les autorités françaises, l’ANSSI comme le ministère de l’Intérieur, déconseillent le paiement. Trois raisons concrètes. D’abord, payer ne garantit ni le déchiffrement complet, ni la suppression effective des données exfiltrées — les groupes pratiquant la double extorsion réutilisent souvent les fichiers volés. Ensuite, le paiement finance directement la prochaine campagne et désigne l’organisation comme cible solvable. Enfin, la loi LOPMI conditionne désormais une éventuelle indemnisation par l’assurance cyber au dépôt de plainte dans les 72 heures, ce qui change l’équation budgétaire. En pratique, certaines entreprises paient malgré tout quand la sauvegarde a échoué et que la survie de la structure est en jeu. Mieux vaut éviter d’en arriver là.
Une police cyber sérieuse couvre quatre postes distincts : les frais d’investigation et de réponse à incident, les pertes d’exploitation pendant l’arrêt, les notifications réglementaires (CNIL, clients), et la responsabilité civile en cas de fuite de données personnelles. Les rançons elles-mêmes restent un sujet discuté — certains assureurs les couvrent sous conditions, d’autres les excluent depuis 2023. Avant de signer, deux vérifications utiles : les exclusions liées à l’absence de MFA ou de patching à jour (de plus en plus fréquentes), et le plafond réel d’indemnisation rapporté au chiffre d’affaires. Les assureurs auditent désormais le niveau de maturité cyber avant de tarifer, ce qui place la prévention en amont de la souscription, et non l’inverse.