Menaces & attaques 9 min de lecture 8 mars 2026

Ransomware et PME : comment se protéger efficacement en 2026

En 2025, une PME sur cinq a été touchée par une attaque par rançongiciel en Europe. Le montant moyen des rançons payées dépasse 120 000 €, sans compter les jours d'arrêt d'activité. Voici pourquoi les petites structures sont ciblées en priorité — et les mesures concrètes pour s'en prémunir.

Comment fonctionne un ransomware

Un ransomware est un logiciel malveillant qui chiffre l'intégralité des fichiers accessibles depuis un poste infecté — documents, bases de données, sauvegardes réseau — puis affiche une demande de rançon. La clé de déchiffrement n'est fournie qu'après paiement, souvent en cryptomonnaie.

Les attaquants passent en moyenne 11 jours dans le réseau avant de déclencher le chiffrement. Durant cette période, ils cartographient l'infrastructure, compromettent les comptes administrateurs, et s'assurent de détruire les sauvegardes accessibles — pour maximiser la pression sur la victime.

WARN

Payer la rançon ne garantit pas la récupération des données
Selon les statistiques, 30 % des entreprises qui paient ne récupèrent pas l'intégralité de leurs données. Et 80 % des entreprises qui paient sont ciblées à nouveau dans les 12 mois suivants.

Pourquoi les PME sont ciblées

Les grandes entreprises ont des équipes de sécurité dédiées, des budgets cybersécurité conséquents et des systèmes de détection avancés. Les PME, elles, présentent un ratio attractivité/difficulté optimal pour les cybercriminels.

Facteur de vulnérabilité	Situation typique PME	Impact
Pas de service IT dédié	Informatique gérée par un prestataire ou un employé	ÉLEVÉ
Sauvegardes insuffisantes	Backup sur disque local ou NAS non isolé	CRITIQUE
MFA non activé	Accès VPN ou RDP avec mot de passe seul	CRITIQUE
Mises à jour retardées	Systèmes en production non patchés	ÉLEVÉ
Formation insuffisante	Employés non sensibilisés au phishing	ÉLEVÉ

Les vecteurs d'entrée les plus fréquents

1. Phishing par email

Représente environ 40 % des infections ransomware. Un email d'apparence légitime contient une pièce jointe piégée (macro Office, PDF, exécutable) ou un lien vers une fausse page de connexion. Un clic d'un employé suffit.

2. RDP exposé sur Internet

Le Bureau à distance Windows (Remote Desktop Protocol) sur le port 3389 est l'une des portes d'entrée préférées des attaquants. Si votre serveur est accessible en RDP depuis Internet sans VPN ni MFA, des bots tentent des milliers de combinaisons identifiant/mot de passe chaque jour.

WARN

Ne jamais exposer RDP directement sur Internet
Désactivez l'accès RDP direct ou placez-le derrière un VPN avec authentification double facteur. Wezea détecte le port 3389 ouvert comme une vulnérabilité CRITIQUE.

3. Exploitation de vulnérabilités connues

Les logiciels non mis à jour (VPN, firewall, serveurs web, CMS) contiennent des failles publiées dans des bases de données publiques (CVE). Les attaquants automatisent l'exploitation de ces failles dès leur publication.

4. Identifiants volés

Des millions d'identifiants circulent sur le dark web suite à des fuites de données. Si vos employés réutilisent des mots de passe, un attaquant peut se connecter légitimement à vos systèmes avec des credentials achetés pour quelques euros.

La règle 3-2-1 pour les sauvegardes

La règle 3-2-1 est la référence en matière de sauvegardes. Correctement appliquée, elle garantit que vos données survivent à un ransomware même dans le pire des cas.

La règle 3-2-1
3 copies de vos données — 2 supports différents (disque + cloud) — 1 copie hors-site et isolée du réseau (air-gapped).
La copie hors-site est la clé : un ransomware qui chiffre votre réseau ne peut pas atteindre un disque physiquement déconnecté ou un service cloud avec authentification indépendante.

Tester les sauvegardes régulièrement

Une sauvegarde non testée n'est pas une sauvegarde. Planifiez des tests de restauration trimestriels : restaurez un ensemble de fichiers depuis la sauvegarde et vérifiez leur intégrité. Documentez la procédure pour que n'importe quel employé puisse l'exécuter en situation de crise.

Hygiène informatique de base

La plupart des ransomwares exploitent des failles basiques. Ces mesures préventives éliminent les vecteurs d'entrée les plus courants.

Checklist anti-ransomware

✓ Activer MFA sur tous les accès distants (VPN, mail, RDP)
✓ Désactiver RDP ou le placer derrière un VPN
✓ Appliquer les mises à jour sous 72h après publication critique
✓ Segmenter le réseau (les serveurs critiques isolés)
✓ Filtrer les macros Office reçues par email
✓ Sensibiliser les employés au phishing (exercices simulés)
✓ Utiliser un gestionnaire de mots de passe (fin de la réutilisation)
✓ Sauvegardes 3-2-1 testées tous les trimestres
✓ Principe du moindre privilège (chaque compte accède au minimum nécessaire)

Plan de reprise d'activité

Le PRA (Plan de Reprise d'Activité) documente les étapes à suivre en cas d'incident. Il doit être rédigé à froid, imprimé (les systèmes seront peut-être hors ligne), et connu de plusieurs personnes dans l'entreprise.

Les éléments clés d'un PRA minimal : contacts de votre prestataire IT et de votre assurance cyber, procédure d'isolation du réseau infecté, accès aux sauvegardes hors-site, ordre de priorité des systèmes à restaurer, et communication clients/fournisseurs en cas d'indisponibilité prolongée.

Si vous êtes attaqué : que faire

En cas d'infection active, chaque seconde compte pour limiter la propagation. La séquence à suivre est contre-intuitive mais efficace.

WARN

Ne pas éteindre les machines infectées
L'extinction détruit les traces forensiques en mémoire (clés de chiffrement, processus actifs) qui pourraient permettre la récupération. Déconnectez du réseau plutôt qu'éteignez.

Séquence d'urgence en cas de ransomware

1. Isoler immédiatement les machines infectées du réseau (débrancher le câble réseau)
2. Ne pas payer immédiatement — consulter un spécialiste d'abord
3. Contacter votre assurance cyber et votre prestataire IT
4. Déposer plainte (obligatoire pour les assurances, aide les enquêtes)
5. Vérifier si des outils de déchiffrement existent sur NoMoreRansom.org
6. Restaurer depuis la sauvegarde hors-site après nettoyage complet

Évaluez l'exposition de votre domaine

Wezea détecte les ports dangereux ouverts (RDP, SMB), les vulnérabilités connues et les mauvaises configurations qui facilitent les ransomwares.

Scanner mon domaine →

Gratuit · 60 secondes · Rapport détaillé

Threats & attacks 9-min read March 8, 2026

Ransomware and SMBs: how to protect yourself effectively in 2026

In 2025, one in five SMBs was hit by a ransomware attack in Europe. The average ransom paid exceeds 120,000 EUR, not counting days of business downtime. Here's why small businesses are targeted first — and concrete steps to protect yourself.

How ransomware works

Ransomware is malicious software that encrypts all files accessible from an infected machine — documents, databases, network backups — then displays a ransom demand. The decryption key is only provided after payment, usually in cryptocurrency.

Attackers typically stay in the network for an average of 11 days before triggering encryption. During this time, they map the infrastructure, compromise admin accounts, and ensure they destroy accessible backups — to maximize pressure on the victim.

WARN

Paying the ransom doesn't guarantee data recovery
According to statistics, 30% of companies that pay don't recover all their data. And 80% of companies that pay are targeted again within 12 months.

Why SMBs are targeted

Large enterprises have dedicated security teams, substantial cybersecurity budgets, and advanced detection systems. SMBs, on the other hand, present the optimal ratio of attractiveness to difficulty for cybercriminals.

Vulnerability factor	Typical SMB situation	Impact
No dedicated IT team	IT managed by a vendor or single employee	HIGH
Insufficient backups	Backup on local disk or non-isolated NAS	CRITICAL
MFA not enabled	VPN or RDP access with password only	CRITICAL
Delayed updates	Production systems not patched	HIGH
Insufficient training	Employees not aware of phishing	HIGH

The most common entry vectors

1. Email phishing

Accounts for about 40% of ransomware infections. A legitimate-looking email contains a booby-trapped attachment (Office macro, PDF, executable) or link to a fake login page. One employee click is enough.

2. RDP exposed to the Internet

Windows Remote Desktop (Remote Desktop Protocol) on port 3389 is one of attackers' favorite entry points. If your server is RDP-accessible from the Internet without VPN or MFA, bots attempt thousands of username/password combinations daily.

WARN

Never expose RDP directly to the Internet
Disable RDP access or place it behind a VPN with two-factor authentication. Wezea detects open port 3389 as a CRITICAL vulnerability.

3. Exploitation of known vulnerabilities

Unpatched software (VPN, firewall, web servers, CMS) contains flaws published in public databases (CVE). Attackers automate exploiting these flaws as soon as they're published.

4. Stolen credentials

Millions of credentials circulate on the dark web from data breaches. If your employees reuse passwords, an attacker can legitimately connect to your systems with credentials bought for just a few euros.

The 3-2-1 backup rule

The 3-2-1 rule is the gold standard for backups. When properly applied, it guarantees your data survives ransomware even in the worst case.

The 3-2-1 rule
3 copies of your data — 2 different media (disk + cloud) — 1 off-site copy isolated from the network (air-gapped).
The off-site copy is key: ransomware encrypting your network cannot reach a physically disconnected disk or a cloud service with independent authentication.

Test backups regularly

An untested backup is not a backup. Schedule quarterly restore tests: restore a set of files from the backup and verify their integrity. Document the procedure so any employee can execute it in a crisis.

Basic IT hygiene

Most ransomware exploits basic flaws. These preventive measures eliminate the most common entry vectors.

Anti-ransomware checklist

✓ Enable MFA on all remote access (VPN, email, RDP)
✓ Disable RDP or place it behind a VPN
✓ Apply updates within 72 hours of critical release
✓ Segment the network (critical servers isolated)
✓ Block Office macros received by email
✓ Train employees on phishing (simulated exercises)
✓ Use a password manager (end password reuse)
✓ 3-2-1 backups tested quarterly
✓ Principle of least privilege (each account accesses minimum needed)

Business continuity plan

The BCP (Business Continuity Plan) documents steps to follow in case of an incident. It should be written in advance, printed (systems may be offline), and known to multiple people in the company.

Key elements of a minimal BCP: contacts for your IT vendor and cyber insurance, procedure to isolate the infected network, access to off-site backups, priority order for system restoration, and communication with clients/vendors during prolonged unavailability.

If you're attacked: what to do

During active infection, every second counts to limit spread. The sequence to follow is counterintuitive but effective.

WARN

Don't power off infected machines
Powering down destroys forensic traces in memory (encryption keys, active processes) that might enable recovery. Disconnect from the network instead.

Emergency sequence for ransomware

1. Isolate immediately infected machines from the network (disconnect cables)
2. Don't pay immediately — consult a specialist first
3. Contact your cyber insurance and IT vendor
4. File a report (required for insurance, helps investigations)
5. Check for decryption tools at NoMoreRansom.org
6. Restore from off-site backup after complete cleanup

Assess your domain's exposure

Wezea detects dangerous open ports (RDP, SMB), known vulnerabilities, and misconfigurations that enable ransomware.

Scan my domain →

Free · 60 seconds · Detailed report