Demander un diagnostic
Accueil/ Actualités/ Rançongiciel : ce qu'il faut faire dans les…

Rançongiciel : ce qu'il faut faire dans les 48 premières heures

Publié le 8 avril 2026

Un matin comme les autres, un salarié allume son poste et découvre un message glaçant : vos fichiers sont chiffrés, payez pour les récupérer. En quelques minutes, la comptabilité, les devis, les fiches clients, parfois même les sauvegardes deviennent illisibles. Le rançongiciel, ou ransomware, est aujourd'hui l'une des menaces les plus redoutées pour les TPE et PME, et Saint-Rémy-de-Provence, les Alpilles ou le bassin d'Avignon n'y échappent pas. Ce qui se joue alors ne dépend pas seulement de votre antivirus, mais de votre sang-froid et de vos gestes dans les toutes premières heures.

Cet article n'est pas un guide technique d'attaque : il ne contient aucune indication permettant de nuire. C'est une chronologie de défense et de remédiation, pensée pour un dirigeant non technicien. Objectif : savoir quoi faire, dans quel ordre, et surtout quoi ne surtout pas faire pendant les 48 premières heures, celles qui décident souvent de la survie ou non de l'entreprise.

Reconnaître l'attaque : les premiers signes d'un rançongiciel

Un rançongiciel ne se manifeste pas toujours par une fenêtre spectaculaire. Souvent, les symptômes sont plus discrets au début : des fichiers qui ne s'ouvrent plus, dont l'extension a changé, des documents renommés de façon incompréhensible, une lenteur soudaine et générale, des logiciels métier qui refusent de démarrer. Puis apparaît la note de rançon, un fichier texte ou une image déposée dans les dossiers, expliquant que vos données sont chiffrées et réclamant un paiement.

Le premier réflexe du dirigeant est de vouloir comprendre, de cliquer partout, de tenter d'ouvrir un fichier après l'autre. C'est humain, mais c'est contre-productif. Chaque minute où les machines infectées restent connectées au réseau, le chiffrement peut se propager à d'autres postes, aux serveurs, au NAS et parfois aux sauvegardes accessibles en ligne. La bonne posture est inverse : arrêter la propagation d'abord, comprendre ensuite.

Il faut aussi distinguer le vrai du faux. Certaines fenêtres alarmistes affichées dans un navigateur ne sont que de l'intimidation et disparaissent en fermant l'onglet. Un véritable rançongiciel, lui, a modifié vos fichiers : c'est le test décisif. En cas de doute, considérez toujours l'incident comme réel et appliquez la procédure de confinement plutôt que de minimiser.

Un autre signal doit alerter : une activité anormale sur le réseau ou sur les serveurs en dehors des heures ouvrées, des connexions inhabituelles, des comptes qui se verrouillent sans raison. Ces symptômes précèdent parfois de plusieurs heures le chiffrement visible. Plus vous repérez tôt l'anomalie, plus la fenêtre pour limiter les dégâts est large. C'est pourquoi une supervision minimale de l'infrastructure, même modeste dans une petite structure, fait une réelle différence le jour venu.

Heure zéro : isoler les machines sans les éteindre

Le geste le plus important, et le plus contre-intuitif, tient en une phrase : débranchez le réseau, mais n'éteignez pas les ordinateurs. Isoler signifie couper toute communication de la machine avec le reste du monde, pour empêcher le chiffrement de s'étendre et pour bloquer un éventuel dialogue avec l'attaquant.

Concrètement, pour chaque poste concerné : retirez le câble réseau, désactivez le Wi-Fi, débranchez les disques externes et les clés USB. Sur le réseau lui-même, isolez ce qui peut l'être : coupez l'accès Internet de l'entreprise, séparez les serveurs et le NAS des postes de travail. L'idée est de créer une quarantaine numérique autour de ce qui est touché.

Pourquoi ne pas éteindre ? Parce que la mémoire vive de l'ordinateur, la RAM, contient souvent des informations précieuses : des traces de l'attaque, parfois des éléments qui aident les spécialistes à comprendre le mode opératoire, et dans certains cas rares des clés qui n'existent nulle part ailleurs. Éteindre brutalement efface tout cela. Un poste laissé allumé mais déconnecté est figé sans risque de propagation, et il préserve les preuves. Cette préservation de la mémoire est un principe que rappellent régulièrement les autorités comme l'ANSSI.

Une exception mérite d'être connue : si vous voyez, en direct, des fichiers en train de se chiffrer les uns après les autres et que vous ne parvenez pas à couper le réseau autrement, mettre la machine en veille prolongée ou l'arrêter peut limiter les dégâts. Mais ce doit rester un dernier recours, pas le réflexe par défaut.

Constituer la cellule de crise et documenter

Un incident de cette ampleur ne se gère pas seul, ni dans le silence. Dès l'isolement réalisé, réunissez une petite cellule de crise : le dirigeant, la personne en charge de l'informatique, votre prestataire de confiance, et si nécessaire un référent juridique. Chacun doit savoir qui décide et qui communique.

En parallèle, ouvrez un journal de bord. Notez l'heure de la découverte, les machines concernées, ce que vous avez vu à l'écran, les actions menées et leur horaire. Photographiez avec un téléphone la note de rançon et les messages d'erreur, sans manipuler davantage les postes. Ce journal servira à trois choses : coordonner l'équipe, alimenter le dépôt de plainte, et documenter la notification à la CNIL si des données personnelles sont concernées.

Prévoyez aussi un mode de communication de secours. Si votre messagerie interne est compromise ou coupée, comment vous parlez-vous ? Un groupe de discussion sur téléphones personnels, une liste de numéros à jour, un point de rendez-vous physique. Ces détails paraissent triviaux jusqu'au jour où l'informatique est à l'arrêt. C'est aussi l'un des enjeux d'un vrai plan de reprise, dont nous parlons dans notre article sur le coût réel d'une panne du vendredi soir.

Ne pas payer la rançon, et pourquoi

La tentation est forte, surtout quand l'activité est paralysée et que chaque jour d'arrêt coûte cher. Pourtant, la recommandation constante des autorités françaises, à commencer par cybermalveillance.gouv.fr et l'ANSSI, est claire : ne payez pas.

Les raisons sont concrètes, pas seulement morales. Payer ne garantit rien : rien ne vous assure de recevoir une clé de déchiffrement fonctionnelle, et des entreprises ayant payé se sont retrouvées sans leurs données malgré tout. Payer désigne aussi votre entreprise comme une cible qui cède : vous pouvez être frappé de nouveau, par les mêmes ou par d'autres, informés que vous payez. Payer finance et encourage l'écosystème criminel, alimentant les attaques suivantes contre d'autres PME. Enfin, selon les circonstances, le versement d'une rançon peut soulever des questions juridiques que votre conseil saura vous expliquer.

Il faut aussi savoir qu'un déchiffrement est parfois possible sans payer. Le portail cybermalveillance.gouv.fr et des projets internationaux reconnus recensent des outils de déchiffrement gratuits pour certaines familles de rançongiciels. Ce n'est pas systématique, mais cela vaut toujours d'être vérifié avant toute autre décision. Votre énergie et votre budget sont bien mieux investis dans la reconstruction que dans une rançon aux résultats incertains.

Déposer plainte et signaler l'incident aux autorités

Un rançongiciel est une infraction pénale. Le dépôt de plainte n'est pas une formalité facultative : il est nécessaire pour votre couverture d'assurance, pour toute démarche ultérieure, et il participe à la lutte collective contre ces réseaux. Rendez-vous au commissariat ou à la gendarmerie, muni de votre journal de bord et des captures de la note de rançon. La plainte peut aussi être préparée en amont selon les dispositifs en vigueur.

En parallèle, plusieurs signalements officiels sont à connaître. Cybermalveillance.gouv.fr est le dispositif national d'assistance aux victimes : il oriente, met en relation avec des prestataires référencés et fournit des contenus fiables. Pour les organisations concernées, l'ANSSI, l'agence nationale de sécurité des systèmes d'information, publie des guides et peut jouer un rôle selon la nature de la structure. Ces ressources sont gratuites et pensées pour aider, y compris les plus petites entreprises.

Ces démarches administratives, faites tôt et proprement, vous éviteront de reconstruire seul dans l'urgence. Elles s'articulent naturellement avec les réflexes de fond que nous détaillons dans notre article sur les cinq réflexes de cybersécurité des TPE et PME.

Données personnelles : la notification à la CNIL sous 72 heures

Si l'attaque a touché des données à caractère personnel, celles de vos clients, de vos salariés, de vos fournisseurs, une obligation spécifique s'ajoute au titre du RGPD. Un rançongiciel constitue une violation de données, ne serait-ce que parce qu'il porte atteinte à leur disponibilité, et parfois à leur confidentialité si les attaquants les ont exfiltrées.

La règle est la suivante : lorsque la violation est susceptible d'engendrer un risque pour les personnes concernées, elle doit être notifiée à la CNIL dans un délai de 72 heures après en avoir pris connaissance. La CNIL met à disposition un téléservice pour cela. Si le risque pour les personnes est élevé, vous devez en outre les informer directement. En cas de doute sur la nécessité de notifier, la CNIL recommande de documenter votre analyse : c'est précisément là que votre journal de bord prend toute sa valeur.

Ce délai de 72 heures explique pourquoi les premières heures comptent autant. Vous ne pouvez pas attendre d'avoir tout reconstruit pour vous poser la question des données personnelles. Repérez tôt les traitements concernés : fichier clients, paie, contrats, base de prospects. Cette anticipation rejoint le travail de mise en conformité que nous décrivons dans notre article dédié au RGPD dans une TPE.

Trouver la porte d'entrée avant de tout restaurer

C'est l'erreur la plus coûteuse et la plus fréquente : se précipiter pour restaurer une sauvegarde sans avoir compris comment l'attaquant est entré. Si vous remettez en service un système propre sur une infrastructure qui présente encore la même faille, ou sur laquelle l'intrus a laissé un accès, vous risquez d'être chiffré une seconde fois, parfois en quelques jours.

Avant de restaurer, il faut donc chercher et fermer la porte d'entrée. Sans entrer dans des détails techniques offensifs, les points de vigilance habituels sont connus : un accès distant mal protégé, un mot de passe faible ou réutilisé, une pièce jointe piégée ouverte par un salarié, un logiciel non mis à jour. L'enquête consiste à identifier lequel de ces vecteurs a été exploité, à révoquer les accès compromis, à changer les mots de passe et à corriger la faiblesse avant tout redémarrage.

Cette investigation demande souvent l'appui d'un professionnel. Un prestataire aguerri saura examiner les traces sans détruire les preuves et bâtir un environnement de reconstruction sain, séparé de l'infrastructure compromise. C'est aussi l'occasion de repenser l'architecture du réseau, sujet que nous traitons sur notre page Réseaux et Infrastructure, car un réseau bien segmenté limite considérablement la propagation d'un rançongiciel.

Reconstruire depuis une sauvegarde saine

La sauvegarde est votre meilleure arme contre un rançongiciel, à une condition : qu'elle soit saine et hors de portée de l'attaque. Une sauvegarde branchée en permanence sur le réseau, accessible avec les mêmes accès que les postes de travail, est souvent chiffrée en même temps que le reste. C'est pourquoi les sauvegardes déconnectées ou immuables sont si précieuses.

Avant de restaurer, assurez-vous de trois choses. D'abord, que la sauvegarde choisie est antérieure à l'infection : restaurer une copie déjà contaminée ne ferait que rejouer le problème. Ensuite, que l'environnement cible est assaini, la porte d'entrée fermée. Enfin, que vous restaurez dans le bon ordre, en repartant des systèmes essentiels avant les postes secondaires.

Tout ceci suppose une stratégie de sauvegarde pensée à l'avance. La méthode de référence est détaillée dans notre article sur la règle de sauvegarde 3-2-1 : trois copies, sur deux supports différents, dont une hors site. Mais posséder des sauvegardes ne suffit pas : encore faut-il qu'elles fonctionnent. Trop d'entreprises découvrent le jour de l'incident que leurs copies sont incomplètes ou illisibles. C'est tout le propos de notre article rappelant qu'une sauvegarde jamais testée n'existe pas vraiment. Une restauration blanche, réalisée à froid une fois par an, vaut toutes les promesses.

À faire et à ne surtout pas faire

Dans le feu de l'action, une liste claire vaut mieux qu'un long discours. Voici la synthèse des bons et des mauvais gestes des premières heures.

À faire À ne surtout pas faire
Débrancher le réseau des machines touchées immédiatement Éteindre brutalement les postes et perdre la mémoire vive
Laisser les ordinateurs allumés mais isolés Payer la rançon en espérant récupérer ses données
Photographier la note de rançon et les messages d'erreur Cliquer partout et ouvrir les fichiers un à un
Tenir un journal de bord horodaté des faits et des actions Restaurer une sauvegarde avant d'avoir fermé la porte d'entrée
Déposer plainte et contacter cybermalveillance.gouv.fr Gérer l'incident seul, dans le silence, sans documenter
Notifier la CNIL sous 72 h si des données personnelles sont touchées Ignorer l'obligation RGPD en pensant que c'est secondaire
Reconstruire depuis une sauvegarde saine et vérifiée Rebrancher les machines compromises sur le réseau assaini

Après la crise : tirer les leçons et se préparer

Une fois l'activité rétablie, le travail n'est pas terminé, il commence. La sortie de crise est le meilleur moment pour renforcer durablement votre protection, parce que la mémoire de l'incident est vive et que la volonté d'agir est là. C'est le moment de dresser un bilan honnête : par où l'attaque est-elle passée, qu'est-ce qui a manqué, qu'est-ce qui a bien fonctionné.

Plusieurs chantiers méritent d'être lancés. Revoir la politique de mots de passe et activer la double authentification là où c'est possible. Segmenter le réseau pour qu'un poste compromis ne puisse plus atteindre l'ensemble du système. Mettre en place des sauvegardes déconnectées et un calendrier de tests de restauration. Maintenir les logiciels à jour de façon systématique. Rédiger une procédure d'incident simple, affichée et connue de tous, pour que les premiers gestes deviennent des réflexes.

Pensez également à la dimension assurantielle et contractuelle. Vérifiez ce que couvre réellement votre contrat en cas de cyberattaque, quels justificatifs sont exigés et dans quels délais les déclarer. Prévenez aussi vos partenaires et clients concernés avec transparence : une communication maîtrisée protège votre réputation bien mieux qu'un silence gênant. La confiance se joue autant dans la manière de gérer l'incident que dans l'incident lui-même.

Le facteur humain reste central. La grande majorité des attaques démarre par un geste humain, un clic sur une pièce jointe, un mot de passe donné de bonne foi. Sensibiliser et entraîner vos équipes est l'investissement le plus rentable de tous. Chez ELS Conseil, nous formons vos équipes à repérer les tentatives d'hameçonnage et à adopter les bons réflexes ; découvrez notre accompagnement sur la page Formation. Un salarié averti est votre premier pare-feu.

Face au rançongiciel, l'anticipation fait la différence

Un rançongiciel n'est pas une fatalité, mais il ne pardonne pas l'improvisation. Les 48 premières heures se jouent avec des gestes simples et un ordre précis : isoler sans éteindre pour préserver la mémoire, refuser de payer, documenter, déposer plainte, alerter cybermalveillance.gouv.fr, notifier la CNIL sous 72 heures si des données personnelles sont en jeu, trouver la porte d'entrée, puis seulement reconstruire depuis une sauvegarde saine. Aucune de ces étapes n'est technique au point d'être hors de portée d'un dirigeant informé.

Le vrai secret, c'est que ces réflexes se préparent à froid, bien avant l'incident. Sauvegardes testées, réseau segmenté, équipes sensibilisées, procédure écrite : voilà ce qui transforme une catastrophe en simple mauvais souvenir. Implantés à Saint-Rémy-de-Provence, nous accompagnons les entreprises des Alpilles, d'Avignon, d'Arles et de Châteaurenard dans cette mise en sécurité, avant comme après une attaque. Pour faire le point sur votre exposition et bâtir un plan de protection adapté, contactez ELS Conseil pour un diagnostic. Mieux vaut préparer la crise aujourd'hui que la subir demain.

Une question sur votre informatique ?

Nos conseils s'appliquent à votre cas. Faisons le point ensemble, sans engagement.

Demander un diagnostic Tous les articles