Faut-il payer la rançon ?

Non, les autorités françaises (ANSSI, cybermalveillance.gouv.fr) déconseillent fortement de payer. Le paiement ne garantit pas la récupération des données, finance des organisations criminelles et signale que vous êtes prêt à payer à nouveau. La priorité est de contacter un expert et de restaurer depuis vos sauvegardes.

Peut-on récupérer ses fichiers sans payer et sans sauvegarde ?

Parfois, oui. Certains rançongiciels ont des failles connues et des outils de déchiffrement gratuits existent sur le site nomoreransom.org. La récupération n'est cependant jamais garantie. C'est pourquoi les sauvegardes régulières et hors ligne sont la seule protection fiable.

Combien de temps dure la remise en route après une attaque ?

Avec des sauvegardes récentes et l'aide d'un expert, le retour à une activité partielle est possible en 24 à 72 heures. Sans sauvegarde, la remise en route peut prendre plusieurs semaines, voire être impossible pour certaines données.

Que faire en cas de rançongiciel quand on est une petite structure.

Un matin, vous allumez votre ordinateur. Vos fichiers ont tous changé d’extension, un message en anglais s’affiche en plein écran et réclame des bitcoins en échange d’une clé de déchiffrement. Vous venez de subir une attaque par rançongiciel (ransomware en anglais).

C’est un moment de stress intense. Mais il existe des gestes précis à faire, et des erreurs à éviter absolument. Ce guide vous explique quoi faire, étape par étape.

Comment reconnaître une attaque en cours ?

Les signes d’une attaque par rançongiciel sont généralement clairs :

Des fichiers qui ne s’ouvrent plus ou dont l’extension a changé (par exemple, “facture.pdf” devient “facture.pdf.locked”).
Un message affiché à l’écran réclamant une rançon en cryptomonnaie.
Des accès qui disparaissent les uns après les autres sur le réseau partagé.
Un antivirus qui se déclenche en urgence sur plusieurs postes.

Plus rarement, l’attaque se prépare silencieusement pendant plusieurs jours avant de se déclencher. Dans ce cas, vous pouvez remarquer des accès inhabituels ou des ralentissements inexpliqués.

Quels sont les premiers gestes à faire dans l’heure ?

Le calme est votre meilleur allié. Ne cliquez sur rien dans le message de rançon. Ne payez pas. Agissez méthodiquement.

1. Déconnectez immédiatement les machines touchées. Débranchez le câble réseau et désactivez le Wi-Fi. Un rançongiciel se propage sur le réseau : isoler les machines touchées limite les dégâts aux autres postes et serveurs.

2. Éteignez les machines infectées. Éteignez-les proprement si possible, ou forcez l’arrêt. Ne les rallumez pas sans l’avis d’un expert.

3. Déconnectez les disques de sauvegarde branchés. Si un disque externe de sauvegarde est connecté à un PC infecté, débranchez-le immédiatement. Il n’est peut-être pas encore touché.

4. Listez les machines et les données concernées. Notez quels postes semblent infectés, quels fichiers ou dossiers sont touchés. Cette information sera précieuse pour l’expert et pour le dépôt de plainte.

5. Prévenez votre équipe. Informez vos collaborateurs de ne rien toucher et d’éviter d’allumer leurs machines tant que la situation n’est pas clarifiée.

Qui prévenir après une attaque ?

Plusieurs acteurs doivent être contactés rapidement.

Un expert informatique. C’est la priorité immédiate. Il peut évaluer l’étendue de l’attaque, identifier le type de rançongiciel et vous guider pour la restauration.

La plateforme cybermalveillance.gouv.fr. Ce site public répertorie les prestataires spécialisés et propose une assistance en ligne pour identifier l’attaque et trouver de l’aide.

Votre assurance. Si vous avez une assurance cyber ou une garantie dans votre contrat multirisque, prévenez-la rapidement. Elle peut couvrir les frais d’expert et les pertes d’exploitation.

La police ou la gendarmerie. Déposez plainte au commissariat ou à la brigade de gendarmerie la plus proche, ou en ligne sur le portail officiel. Ce dépôt de plainte est nécessaire pour l’assurance et peut contribuer aux enquêtes nationales.

La CNIL si des données personnelles de clients ou employés ont été compromises. La notification est obligatoire dans les 72 heures pour les données soumises au RGPD.

Quel est le rôle des sauvegardes pour s’en remettre ?

Une sauvegarde récente, hors ligne et non compromise est la clé d’une reprise rapide. Si vous avez suivi la règle 3-2-1 (trois copies, deux supports, un hors site), votre expert pourra :

Nettoyer ou réinstaller les machines infectées.
Restaurer les données depuis la sauvegarde saine.
Vous remettre en activité sans payer la rançon.

Si vous n’avez pas de sauvegarde, consultez le site nomoreransom.org : il propose des outils de déchiffrement gratuits pour de nombreux rançongiciels connus. La récupération n’est pas garantie, mais c’est la première chose à vérifier avant d’envisager toute autre option.

Comment réduire le risque à l’avenir ?

Une fois l’incident résolu, voici les mesures prioritaires :

Sauvegardes automatiques et déconnectées. Au moins une copie doit être hors ligne ou dans un cloud séparé de votre réseau principal.
Mises à jour régulières. La majorité des rançongiciels exploitent des failles connues dans Windows, les navigateurs ou les logiciels bureautiques. Les mises à jour les corrigent.
Formation des collaborateurs. La plupart des infections arrivent par un clic sur une pièce jointe malveillante. Apprendre à reconnaître un email suspect est la mesure la plus efficace.
Antivirus à jour sur tous les postes. Un bon antivirus détecte et bloque beaucoup de variantes connues.
Limitation des droits administrateur. Ne donnez les droits administrateur qu’aux personnes qui en ont vraiment besoin.

Une attaque par rançongiciel est une situation dans laquelle un expert fait une vraie différence. Nos spécialistes iokoo peuvent intervenir rapidement pour analyser la situation, coordonner la restauration et vous aider à renforcer votre défense. Consultez notre pool d’experts ou créez un compte pour obtenir de l’aide sans délai.