Cabinet / Ressources / Ransomware PME que faire
Dossier 04 · Incident

Ransomware : que faire si votre PME est attaquée.

Les 60 premières minutes décident de tout. Ce qui se joue n'est ni technique ni financier — c'est procédural. Les PME qui s'en sortent ne sont pas celles qui ont le plus de matériel, mais celles qui ont préparé un protocole et savent qui appeler à 2 h du matin.

Gabriel Rossi 23 mai 2026 11 min de lecture Urgence
!
Si vous lisez cet article en urgence — maintenant.

Ne redémarrez aucune machine. Ne payez aucune rançon. Débranchez les câbles réseau (oui, physiquement) des machines visiblement chiffrées et appelez immédiatement : +41 78 823 78 18 · NCSC : report.ncsc.admin.ch. Notre ligne est ouverte 24/7 en cas d'incident actif. La suite peut attendre l'appel.

Un ransomware n'est pas un événement technique, c'est un événement de gouvernance. Quand le chiffrement démarre, la question n'est plus « quel antivirus aurait fallu installer » — c'est qui décide quoi, dans quel ordre, et qui communique avec qui. Ce dossier est conçu pour être lu à froid, imprimé, et glissé dans un dossier « urgences ». Si vous le lisez à chaud, suivez d'abord l'encadré ci-dessus.

01 — MécaniqueComment fonctionne un ransomware en 2026.

La chaîne d'attaque type est étonnamment stable : elle suit à peu près le même scénario depuis 2018. Comprendre la séquence permet de comprendre où agir, et quand.

  1. Intrusion initiale — Phishing ciblé (60 %), VPN non patché (25 %), identifiant volé sur un autre service (15 %).
  2. Persistance silencieuse — L'attaquant reste discret entre 4 et 21 jours. Il cartographie votre réseau, identifie les serveurs critiques, repère les sauvegardes.
  3. Exfiltration — Avant tout chiffrement, les données sensibles sont copiées vers un serveur externe. C'est le levier de la double extorsion : payer pour récupérer ET pour qu'elles ne soient pas publiées.
  4. Désactivation des sauvegardes — Suppression ou chiffrement des backups locaux et cloud. C'est l'étape qui transforme une intrusion en catastrophe.
  5. Chiffrement — Déclenché un vendredi soir, le 24 décembre, ou un jour férié. Jamais un mardi à 10 h.
  6. Note de rançon — Demande en cryptomonnaie, montant calibré sur votre chiffre d'affaires public.
i
Le ransomware n'est pas l'incident — il en est la dernière phase visible

Quand vous voyez le message de rançon, l'attaque dure depuis deux semaines. C'est pourquoi un EDR, des sauvegardes hors-ligne et une détection sur les comportements anormaux en amont sont infiniment plus précieux qu'un antivirus à jour.

02 — H+0Les 60 premières minutes.

Ces 60 minutes ressemblent à la prise en charge d'un blessé grave aux urgences : il y a une séquence stricte, et improviser tue. Voici le protocole :

  1. H+0 à H+5

    Stopper la propagation

    Débranchez physiquement les câbles réseau des machines visiblement chiffrées. Coupez le Wi-Fi. N'éteignez rien. Une machine éteinte perd les preuves en mémoire vive — irrécupérables ensuite.

  2. H+5 à H+15

    Isoler les sauvegardes

    Vos sauvegardes sont la cible n° 1 de l'attaquant. Déconnectez-les immédiatement : NAS, disques externes, accès cloud. Tant qu'elles sont intactes, votre situation est gérable. Si elles tombent, vous entrez dans le scénario noir.

  3. H+15 à H+30

    Convoquer la cellule de crise

    Trois personnes minimum : direction (qui décide), IT (qui exécute), communication (qui parle aux employés, clients, presse si nécessaire). Pas de réunion par email — par téléphone ou physiquement.

  4. H+30 à H+45

    Appeler un cabinet de réponse

    À ce stade, vos équipes internes ne suffisent plus. Un cabinet en réponse à incident (notre cabinet le fait, plusieurs autres en Suisse romande aussi) prend le pilotage technique. Vous gardez la décision business, ils gardent le terrain technique.

  5. H+45 à H+60

    Notifier le NCSC

    Signalement au Centre national pour la cybersécurité via report.ncsc.admin.ch. C'est gratuit, confidentiel, et utile : le NCSC peut vous indiquer si la souche de ransomware a un déchiffreur public.

La première heure n'est pas technique. C'est une question de chaîne de décision. Les PME qui ont écrit cette chaîne avant s'en sortent. Les autres improvisent — et perdent. Retour d'expérience · 18 missions de réponse à incident

03 — H+24Les premières 24 heures.

Caractériser l'incident

Quelles machines sont touchées ? Quelles données ont été chiffrées ? Quelles données ont été exfiltrées avant chiffrement ? La réponse à cette dernière question est cruciale : elle détermine si vous avez une obligation de notification au PFPDT au titre de la nLPD, et aux personnes concernées.

Communication interne

Tous les employés doivent être informés dans les 24 heures : situation, consignes (ne pas se reconnecter au réseau, signaler tout email suspect), durée probable d'indisponibilité. Le silence interne génère des rumeurs et des fuites externes — pires que la communication elle-même.

Notifications obligatoires

  • NCSC — Recommandé systématiquement, fortement utile.
  • PFPDT — Obligatoire si des données personnelles ont été touchées avec risque élevé pour les personnes.
  • Police cantonale — Dépôt de plainte pénale (art. 143bis CP, accès indu ; art. 144bis CP, détérioration de données). Conserve vos droits à indemnisation et assurance.
  • Assurance cyber — Si vous en avez une, déclarez le sinistre dans les 24 h. Tout retard peut compromettre la prise en charge.
  • Régulateur sectoriel — FINMA pour le bancaire, OFSP pour la santé selon le périmètre.

04 — DécisionFaut-il payer la rançon ?

La question revient toujours, parfois dans la première heure. Voici la réponse honnête, sans posture morale et sans posture commerciale :

~40 % de chance de récupérer toutes les données même après paiement Sophos State of Ransomware
× 2 probabilité d'être réattaqué après un paiement Études secteur 2023-2024
CHF 50'000+ coût moyen d'une réponse à incident PME, paiement ou pas Observation Leman

La position du NCSC et de la majorité des cabinets sérieux en Suisse romande est de ne pas payer, sauf cas extrême où la survie de l'entreprise est en jeu et où aucune sauvegarde n'est exploitable. Trois raisons :

  1. Pas de garantie — Vous payez à des criminels. Dans 60 % des cas, soit le déchiffreur ne fonctionne pas, soit il ne récupère qu'une partie des données.
  2. Vous financez la prochaine attaque — La vôtre, ou celle de la PME voisine. Les groupes ransomware réinvestissent dans leurs outils, c'est un modèle d'affaires.
  3. Vous devenez une cible récurrente — Les listes de « payeurs » circulent. Une PME qui a payé une fois reçoit en moyenne deux tentatives supplémentaires l'année suivante.
!
Et si on doit payer ?

Dans les cas extrêmes (sauvegardes détruites, survie de l'entreprise en jeu), le paiement doit passer par un négociateur professionnel. Le montant initial est presque toujours négociable à 30-50 %. Ne jamais payer directement sans accompagnement : vous perdriez votre seul levier.

05 — RepriseRedémarrer sans tout perdre.

La phase de redémarrage est paradoxalement la plus risquée. C'est ici que de nombreuses PME se réinfectent — en restaurant des sauvegardes elles-mêmes compromises, ou en remettant en service des machines encore porteuses du malware.

La règle des trois environnements

On ne redémarre jamais « sur l'ancien réseau ». Le redémarrage passe toujours par trois environnements distincts :

  • Environnement contaminé — Conservé en l'état pour preuves et investigation. Aucune activité, aucune connexion.
  • Environnement de tri — Réseau isolé où l'on inspecte les sauvegardes, identifie la date d'infection initiale, sélectionne les fichiers sains.
  • Environnement de reconstruction — Nouveau domaine Active Directory, nouveaux mots de passe, nouvelles machines. On y restaure uniquement les données validées comme saines.

Délai réaliste

Pour une PME de 30 à 50 employés avec des sauvegardes intactes : 3 à 7 jours d'indisponibilité partielle, 10 à 21 jours pour un retour complet à l'opérationnel. Sans sauvegardes utilisables, multipliez par trois — et accepter qu'une partie des données ne sera jamais restaurée.

06 — AprèsEmpêcher la prochaine.

Une PME qui a vécu un ransomware sait deux choses que les autres ignorent : c'est arrivé, et c'est récupérable. Cette expérience doit produire trois changements structurants :

  1. Sauvegardes immuables hors ligne — La règle 3-2-1-1-0 : 3 copies, 2 supports, 1 hors-site, 1 hors-ligne (déconnectée physiquement), 0 erreur lors du dernier test de restauration. Sans ça, le scénario peut se rejouer.
  2. EDR + journalisation centralisée — Pour qu'un attaquant ne puisse plus rester deux semaines invisible. Coût : CHF 15 à 30 par poste par an. Dérisoire face à un incident.
  3. Exercice de crise annuel — Une simulation d'une heure, sur table, pour vérifier que la chaîne de décision tient sous stress. C'est l'équivalent de l'exercice incendie : gratuit, et décisif.

Pour une vue d'ensemble du dispositif préventif, voir notre dossier sur l'audit cybersécurité et le guide du pentest PME.

À retenir

Sept points pour traverser une crise

  1. 01Les 60 premières minutes sont procédurales, pas techniques. Isoler, ne rien éteindre, ne rien payer, appeler.
  2. 02Les sauvegardes sont la cible n° 1. Déconnectez-les physiquement dès la détection.
  3. 03Notification au NCSC systématique. Au PFPDT si des données personnelles sont touchées avec risque élevé.
  4. 04Payer la rançon : non par défaut. 60 % des paiements ne restaurent pas tout, vous financez la prochaine attaque, vous devenez cible récurrente.
  5. 05Le redémarrage passe par trois environnements distincts. Jamais sur l'ancien réseau.
  6. 06Délai réaliste pour une PME : 3 à 7 jours d'indisponibilité partielle, 10 à 21 jours pour un retour complet.
  7. 07Une fois remis sur pied : sauvegardes immuables, EDR, exercice de crise annuel. Sans ces trois changements, le scénario se rejouera.
En cours d'incident · 24/7

Une attaque maintenant ? Appelez d'abord.

Notre ligne d'urgence est ouverte aux PME de Suisse romande, même si vous n'êtes pas client. Nous pouvons vous accompagner sur les premières heures, faire le lien avec le NCSC et préparer la suite. Aucun engagement, juste la bonne décision sous stress.

Ligne d'urgence · +41 78 823 78 18 Préparer en amont
Gabriel Rossi
Gabriel Rossi Fondateur · Leman Cyber Security

Cinq ans en SOC Tier 2/3, dont plusieurs missions de réponse à incident sur des ransomwares en Suisse romande. Ce protocole est issu de cette expérience terrain.

Sources et références

  1. NCSC.ch — Recommandations en cas de cyberincident
  2. OFCS — Rapport semestriel 2024
  3. Sophos State of Ransomware 2024
  4. nLPD art. 24 — Notification des violations de la sécurité des données
  5. Code pénal suisse, art. 143bis et 144bis
  6. ENISA — Threat Landscape for Ransomware Attacks
À lire ensuite

Trois dossiers pour aller plus loin.

Dossier 01 · Pentest

Pentest pour PME en Suisse

Trouver les failles que les attaquants exploitent — avant qu'ils ne le fassent.

Lire Dossier 02 · Audit

Audit cybersécurité à Lausanne

Le bilan de santé technique préalable à toute préparation à l'incident.

Lire Dossier 03 · Conformité

Conformité nLPD pour PME vaudoises

Notification au PFPDT en cas d'incident — obligations et délais.

Lire