La plupart des articles sur les ransomwares commencent de la même manière : une statistique stupéfiante, une brève définition, une liste des victimes ciblées et des recommandations qui partent du principe que vous disposez d'une équipe de sécurité complète et d'un budget illimité.

Ce n’est pas le cas de cet article…

Même si nous fournissons des statistiques pour situer le contexte, cet article contient surtout des conseils pratiques adaptés à votre équipe et aux ressources dont vous disposez réellement. Si vous êtes responsable informatique dans une PME, n'ayez pas peur de passer à l'action : vous savez déjà que la menace est bien réelle et qu'elle évolue sans cesse.

Voici quelques idées simples et rapides à mettre en œuvre avant de nous plonger dans le cadre complet des différentes tâches que votre équipe devra accomplir.

Rappels:

5 actions à entreprendre cette semaine pour réduire considérablement le risque d'attaque de ransomware :

• Activez l'authentification multifacteurs sur tous vos comptes : messagerie électronique, VPN, applications cloud, outils de travail à distance
• Vérifiez les droits d'accès administrateur et supprimez ceux qui ne sont pas nécessaires
• Vérifiez si vous pouvez vraiment restaurer vos données à partir de vos sauvegardes (et pas seulement si celles-ci existent)
• Appliquez des correctifs à vos 10 systèmes les plus critiques
• Organisez une simulation d'hameçonnage avec votre équipe

La suite de cet article décrit le contexte dans lequel s'inscrivent ces mesures, ainsi que la manière de les développer au fil du temps.

Qu'est-ce qu'un ransomware ?

L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) définit les ransomwares comme « une forme de logiciel malveillant conçue pour chiffrer les fichiers d'un appareil, rendant ainsi inutilisables ces fichiers ainsi que les systèmes qui en dépendent ». Des acteurs malveillants exigent alors une rançon en échange du déchiffrement des fichiers ».

Les attaques de ransomware modernes ne se limitent que rarement au chiffrement. La plupart des groupes cybercriminels opèrent désormais selon un modèle de double chantage : ils volent d'abord vos données, puis les chiffrent, en menaçant de les rendre publiques si vous ne payez pas. En d'autres termes, même si vous disposez de sauvegardes, vous restez sous pression.

Le modèle « ransomware-as-a-service » (RaaS) a encore accéléré l'explosion du nombre d'attaques. Les organisations criminelles confient désormais leurs moyens d'action à des groupes affiliés, avec lesquels elles se partagent les bénéfices. Ceci réduit les obstacles techniques au lancement d'attaques et augmente considérablement leur volume. Au cours du seul mois de juin 2025, le groupe de ransomware Qilin a mené 81 attaques , soit une augmentation de 47,3 % par rapport à la période précédente.

Les pirates ciblent activement les petites entreprises précisément parce que celles-ci disposent généralement de moins de ressources en matière de sécurité, de stratégies de sauvegarde moins efficaces et de capacités de réaction aux incidents plus limitées que les grandes entreprises.

Pourquoi les PME sont prises pour cible

« 47 % des petites entreprises dont le chiffre d'affaires est inférieur à 10 millions de dollars ont été victimes d'une attaque de ransomware au cours de l'année dernière. »

— Rapport ConnectWise sur l'état de la cybersécurité des PME, 2025

L'idée reçue selon laquelle les pirates informatiques ne s'attaquent qu'aux cibles prestigieuses est dangereusement dépassée. Les PME sont activement ciblées parce qu'elles ont généralement :

• Des équipes informatiques plus réduites disposant de moins de moyens pour assurer la surveillance, l'application des correctifs et la gestion des incidents
• Des effectifs travaillant à distance ou en mode hybride qui accèdent aux systèmes depuis leurs appareils personnels et leurs réseaux domestiques
• Des environnements cloud qui sont souvent mal configurés et insuffisamment surveillés
• Une gestion des incidents moins bien rodée, ce qui signifie que les attaques causent davantage de dégâts avant d'être maîtrisées

Et les enjeux financiers ont considérablement augmenté. Le montant moyen des rançons a bondi de 500 % pour atteindre 2 millions de dollars en 2024. Se remettre d'une attaque de logiciel malveillant coûte désormais en moyenne 2,73 millions de dollars, sans compter les temps d'arrêt, la perte de clientèle et l'atteinte à la réputation. (ConnectWise, 2025)

Un autre facteur vient bouleverser la donne : l'IA. 83 % des PME estiment que l'IA a accru le niveau de menace en matière de cybersécurité pour leur entreprise. (ConnectWise, 2025) Les pirates informatiques utilisent l'IA pour générer des e-mails d'hameçonnage extrêmement convaincants, automatiser le vol d'identifiants et adapter les charges utiles des logiciels malveillants en temps réel. Le rythme des attaques s'est accéléré à un point tel que la plupart des systèmes de défense traditionnels ne parviennent plus à suivre.

Qu’est-ce que le modèle Zero Trust ?

Zero Trust est devenu un terme de sécurité de plus en plus courant, souvent utilisé de manière vague dans le domaine informatique ; cependant, le principe fondamental du Zero Trust est le suivant : ne faire confiance à personne, tout vérifier. Par défaut, aucun utilisateur, appareil ou connexion n'est autorisé, même s'il se trouve déjà sur votre réseau.

Il s'agit là d'un changement radical par rapport à l'approche traditionnelle de la cybersécurité, qui consistait à ériger un pare-feu sécurisé autour du réseau en partant du principe que tout ce qui se trouvait à l'intérieur était sûr. Le problème avec ce modèle : dès qu'un pirate parvient à s'introduire dans le système (via un e-mail d'hameçonnage, des identifiants piratés ou un outil distant vulnérable), il peut se déplacer librement. Le modèle Zero Trust élimine ce passe-droit.

Ce cadre repose sur trois principes :

Vérification explicite : chaque demande d'accès doit être authentifiée en fonction de l'identité de la personne qui en fait la demande, de l'appareil qu'elle utilise et de sa localisation. Que son comportement semble normal ou non. Cette vérification doit s’effectuer à chaque accès, et non uniquement lors de la connexion.

Application du principe du moindre privilège : chaque personne ne doit avoir accès qu'aux informations strictement nécessaires à l'exercice de ses fonctions, et rien de plus. Si un compte vient à être compromis, les dégâts restent limités à l'environnement auquel le pirate informatique a accès.

Partir du principe qu'une violation a eu lieu : c'est ce changement de mentalité qui importe le plus pour les PME. Demandez-vous sans cesse : « Et s'ils étaient déjà à l'intérieur ? » Cela vous permet de concevoir vos systèmes de manière à limiter leur amplitude de mouvement et les dégâts qu'ils peuvent causer.

Le point essentiel pour les PME : le modèle Zero Trust ne se résume pas à une simple couche de sécurité. Il s'agit d'une approche globale de l'infrastructure que vous mettez en œuvre progressivement à tous les niveaux de votre environnement actuel.

Bonnes pratiques en matière de Zero Trust pour les PME

Ce que les articles sur la sécurité omettent généralement de mentionner, c'est que la plupart des PME ne sont pas en mesure de mettre tout cela en œuvre en même temps. Vous ne disposez pas d'une équipe de sécurité importante, et votre budget doit répondre à d'autres priorités. Chaque nouvel outil implique une personne chargée de le gérer.

Ce n'est pas une excuse pour ne rien faire. C’est au contraire une raison pour agir avec discernement et hiérarchiser les actions selon leur impact. Les pratiques suivantes sont classées par ordre d’impact : commencez par le haut de la liste et poursuivez progressivement.

Un. Activez l’authentification multifacteur (MFA) partout

C'est la mesure la plus efficace que vous puissiez prendre dès aujourd'hui.

Si des identifiants sont volés par hameçonnage, c'est l'authentification multifacteur qui empêche un pirate d'accéder directement au système. Activez-la pour votre messagerie électronique, votre VPN, vos applications cloud, vos outils de bureau à distance et tout ce qui traite des données sensibles.

Privilégiez les applications d'authentification (comme Microsoft Authenticator ou Google Authenticator) plutôt que les codes envoyés par SMS, qui peuvent être interceptés. Il s'agit d'un projet d'une demi-journée qui peut permettre d'éviter une faille catastrophique.

#2 Appliquez le principe du moindre privilège

Commencez par vous poser une question : cette personne a-t-elle réellement besoin de droits d'administrateur ?

Pour la majorité des PME, la réponse est non pour la plupart des comptes. Passez au peigne fin la liste des accès administrateur. Supprimer les privilèges permanents lorsqu'ils ne sont pas nécessaires au quotidien. Dans la mesure du possible, recourez à un accès limité dans le temps ou « juste à temps » pour les autorisations étendues.

Cette mesure à elle seule limite considérablement les possibilités d'un pirate informatique disposant d'un compte piraté. S’il parvient à se connecter en tant qu’utilisateur standard, il ne pourra pas installer de ransomware, modifier d'automatisations ou se déplacer sur votre réseau. Confinement par conception.

03 Segmentez votre réseau

Si un ransomware parvient à s'introduire dans votre système, la microsegmentation détermine l'étendue de sa propagation.

Imaginez votre réseau comme un navire divisé en compartiments. Une brèche dans une partie du navire ne signifie pas nécessairement que tout le navire va couler. Pour les PME, il n'est pas nécessaire de recourir à des solutions aussi complexes que celles destinées aux grandes entreprises ; voici quelques points de départ concrets :

• Séparez les postes de travail des employés des serveurs
• Isolez le Wi-Fi réservé aux visiteurs des systèmes internes
• Veillez à ce que vos systèmes de point de vente ou financiers ne puissent pas communiquer avec les données des ressources humaines ou opérationnelles

Exemple concret : une entreprise manufacturière de 35 personnes a été victime d'une attaque de ransomware via l'ordinateur portable d'un sous-traitant. Étant donné qu'ils avaient segmenté leur réseau l'année précédente, l'attaque a été circonscrite à une seule zone. La reprise a pris quelques heures. Sans cette segmentation, il aurait fallu des semaines, et cela aurait probablement coûté bien plus cher à l'entreprise en termes d'efforts de restauration.

#4 Appliquez toujours vos correctifs de manière régulière

Un logiciel non mis à jour est une porte ouverte. Les pirates connaissent votre cycle de mise à jour mieux que vous ne le pensez.

Les failles exploitées constituent l'une des principales causes d'infections par des ransomwares : elles représentent 32 % des incidents rien que dans le secteur des services financiers. (Sophos, 2025) Le problème pour les PME n'est pas de savoir que l'application des correctifs est importante. C’est de les appliquer régulièrement sur chaque système d’exploitation, application, micrologiciel et service cloud, tout en gérant le reste de vos activités.

Automatisez l'application des correctifs partout où vos outils le permettent. Pour ce qui ne peut pas être automatisé, définissez un calendrier fixe et tenez-vous-y. Les outils qui vous permettent de savoir en temps réel quels terminaux ne sont pas à jour transforment cette tâche fastidieuse et manuelle en un processus maîtrisé.

5 Faites du principe « Ne jamais faire confiance, toujours vérifier » votre devise

La technologie a ses limites. Le facteur humain reste déterminant.

Le FBI a reçu 193 407 plaintes pour hameçonnage et usurpation d'identité en 2024, causant plus de 70 millions de dollars de pertes. Et comme les tentatives d'hameçonnage générées par l'IA représentent désormais 82,6 % de l'ensemble des contenus de ce type, ces e-mails sont de plus en plus difficiles à repérer, même pour des yeux avertis.

Une formation régulière et concise à la sensibilisation à la sécurité, même si elle ne dure que 15 minutes par trimestre, peut contribuer de manière significative à réduire le risque d'une attaque par hameçonnage réussie. Associez cette formation à des tests d'hameçonnage ponctuels afin que les employés acquièrent une capacité de reconnaissance par la pratique, et pas seulement par la théorie.

L'approche Zero Trust consiste à faire comprendre à votre équipe pourquoi ces règles existent, et pas seulement qu'elle est tenue de les respecter.

#6 Surveillez en permanence, n'attendez pas de recevoir une demande de rançon

Les pirates passent souvent plusieurs semaines au sein d'un réseau avant de lancer une attaque de ransomware. Les surveiller permet de les repérer avant qu'ils n'agissent.

Des outils d'analyse comportementale peuvent signaler lorsqu'un compte commence à présenter un comportement inhabituel : accès à des fichiers qu'il n'utilise jamais, connexions à des heures inhabituelles, tentatives de déplacement latéral. C'est cette alerte précoce qui fait la différence entre un incident circonscrit et une violation à grande échelle.

Veillez au minimum à ce que la journalisation soit activée sur tous vos systèmes critiques et à ce que quelqu'un contrôle régulièrement les alertes. Si votre équipe n'a pas les moyens d'assurer une surveillance 24 heures sur 24, c'est un argument de poids en faveur d'un service de détection et de réponse géré.

Sécurisation du cloud et des accès à distance : là où la plupart des attaques trouvent leur origine

Les outils d'accès à distance et les environnements cloud sont désormais les principaux points d'entrée des ransomwares ; ils méritent donc une attention particulière dans votre stratégie Zero Trust.

L'accès à distance constitue une cible de choix précisément parce que les outils utilisés disposent de privilèges élevés sur l'ensemble de vos terminaux. Les pirates exploitent les VPN mal sécurisés, les failles du protocole RDP (Remote Desktop Protocol) et les vulnérabilités des logiciels de gestion informatique pour accéder simultanément à plusieurs systèmes.

Le modèle Zero Trust appliqué à l'accès à distance implique :

• Que chaque session à distance nécessite une nouvelle authentification ; pas seulement lors de la première connexion
• Que l’accès est limité à certains systèmes spécifiques, et non à l’ensemble du réseau
• Que chaque session est journalisée et peut faire l’objet d’un audit
• Que les tâches automatisées sensibles nécessitent une signature vérifiée avant leur exécution. Ainsi, même si un pirate parvient à compromettre le backend, il ne peut pas déclencher de nouvelles automatisations sans disposer des identifiants appropriés.

Les environnements cloud présentent des risques similaires. Les erreurs de configuration, telles que les compartiments de stockage ouverts, les autorisations excessives ou les comptes de service inutilisés, sont régulièrement exploitées. Appliquez à vos ressources cloud les mêmes principes de moindre privilège et de vérification que ceux que vous appliquez à votre environnement sur site.

En résumé, concernant les outils de gestion à distance : la plateforme que vous utilisez pour gérer vos terminaux détient les clés de votre royaume. Assurez-vous que votre infrastructure a été conçue en intégrant d'emblée les principes Zero Trust, et non pas qu'ils aient été ajoutés après coup.

Quand la prévention ne suffit pas : renforcer la résilience face aux ransomwares

Même avec des mesures Zero Trust strictes, les structures résilientes anticipent l'éventualité d'une faille. Voici l'essentiel d'une stratégie de résilience concrète pour les PME :

Identifiez vos points d’exposition

Avant de pouvoir vous préparer à affronter ce qui vous attend, vous devez avoir une vision claire de votre situation actuelle. Une évaluation des vulnérabilités permet d'identifier les failles de vos systèmes avant que les pirates ne les découvrent. Une analyse des risques recense vos actifs les plus critiques et vous aide à déterminer les domaines dans lesquels investir en priorité. Il n'est pas nécessaire que ce soit un projet de grande envergure : de nombreux outils proposent une analyse automatisée avec des résultats classés par ordre de priorité, sur lesquels votre équipe peut se baser pour agir.

Sauvegardez vos données et testez la restauration

Cela semble élémentaire. Mais cette pratique n’est pas toujours correctement appliquée. Des sauvegardes efficaces sont :

• Automatisées et fréquentes : ce n’est pas un processus manuel laissé au hasard
• Stockées à plusieurs endroits, dont au moins une copie hors ligne ou isolée, inaccessible aux ransomwares
• Testées régulièrement : il est essentiel de vérifier que la restauration est réellement possible, et non simplement que la sauvegarde existe

Les groupes spécialisés dans les ransomwares ciblent de plus en plus les systèmes de sauvegarde, précisément parce que le fait de priver les victimes de toute possibilité de récupération les incite davantage à payer. Protégez vos sauvegardes avec la même rigueur que vos systèmes de production.

Disposez d'un plan d'intervention écrit

Lorsqu'une attaque se produit, la confusion et les contretemps amplifient les dégâts. Un plan simple et bien documenté : savoir qui signale l'incident, qui met hors service les systèmes concernés, qui contacte les forces de l'ordre et qui gère la communication peut faire la différence entre un incident maîtrisé et un événement susceptible de mettre fin à l'activité de l'entreprise. Pas besoin d'un plan d'action de 50 pages. Il vous faut un guide d'intervention d'une page que votre équipe est réellement en mesure de lire.

Utilisez des outils DLP pour empêcher la fuite de données

Étant donné que les ransomwares modernes volent les données avant de les chiffrer, les outils de prévention des pertes de données (DLP) apportent une protection supplémentaire en surveillant les mouvements des données sensibles et en bloquant les tentatives d'exfiltration non autorisées. Cela est particulièrement important si vous traitez des données à caractère personnel, des documents financiers ou des données de santé, car toute violation de la sécurité dans ces domaines entraîne des conséquences réglementaires.

Mettre en place votre architecture Zero Trust : un point de départ concret

Zero Trust n’est pas un projet avec une échéance définie. C'est une ligne directrice, et l'objectif est de progresser constamment, pas d'atteindre la perfection.

Voici une démarche concrète pour les PME qui souhaitent adopter le modèle Zero Trust :

• Étape 1 → Faites l'inventaire de vos actifs, de vos comptes et de vos accès (on ne peut pas protéger ce qu'on ne voit pas)
• Étape 2 → Activez l'authentification multifacteurs (MFA) sur tous vos comptes
• Étape 3 → Contrôlez et limitez les accès administrateurs et privilégiés
• Étape 4 → Segmentez votre réseau
• Étape 5 → Mettez en place un système de correctifs automatisés et des analyses régulières des vulnérabilités
• Étape 6 → Configurez une surveillance et des alertes en continu
• Étape 7 → Testez vos sauvegardes et rédigez votre plan d'intervention en cas d'incident
• Étape 8 → Formez vos équipes, et ce, de façon régulière

Les entreprises qui résistent aux attaques de ransomware ne sont pas nécessairement celles qui disposent des budgets les plus importants. Ce sont celles qui ont fait le choix délibéré et systématique de renforcer leurs défenses en plusieurs couches, sans attendre qu'une faille se produise pour prendre la situation au sérieux.

Vous n’êtes pas obligé d’accomplir cette démarche seul, ni de tout mettre en œuvre d’un seul coup. Le plus important, c'est de vous lancer et de vous assurer que les outils que vous utilisez pour gérer votre environnement intègrent des fonctionnalités de sécurité dès leur conception, et non pas qu'elles y soient ajoutées après coup.

Comment LogMeIn Resolve soutient votre stratégie Zero Trust

L'architecture de sécurité Zero Trust de LogMeIn Resolve met en œuvre un protocole de sécurité rigoureux qui repose sur le principe « ne faire confiance à personne, tout vérifier » au sein d'un logiciel ou d'un environnement informatique. Elle va bien au-delà de la cybersécurité traditionnelle, qui autorise un accès illimité au sein de la zone de confiance. Une fois à l'intérieur, un acteur malveillant peut y semer le chaos.

L'approche de LogMeIn en matière de sécurité repose sur le principe qu'il existe de multiples points d'accès à un logiciel ou à une infrastructure informatique. Outre les connexions utilisateur classiques, ces points d'accès peuvent notamment passer par des portes dérobées logicielles, des API (interfaces de programmation d'applications) et bien d'autres encore. Dès lors, toute action ou information sensible doit déclencher une vérification supplémentaire.

Résultat : chaque terminal est protégé, car une nouvelle authentification est requise avant l'exécution de chaque tâche automatisée. Plus précisément, le processus de sécurité de LogMeIn Resolve se déroule comme suit :

• L’applet sur un appareil distant n’accepte que les commandes provenant d’agents autorisés.
• Les agents doivent créer et utiliser une clé de signature unique pour réauthentifier les tâches sensibles.
• Cette clé n’est connue que de l’agent, et pas de LogMeIn, et elle ne peut pas être compromise en ligne.
• Même si un acteur malveillant pénétrait le back-office ou obtenait des identifiants de connexion par hameçonnage, il ne pourrait pas modifier ou créer des automatisations sur les terminaux sans la clé de signature.
• Les terminaux n’obéissent qu’aux commandes signées.

Imaginez qu’une personne tente de cambrioler une banque : elle pénètre dans le coffre-fort, mais se retrouve face à des centaines de coffres de sécurité individuels dont seuls les propriétaires détiennent la clé.

Découvrez l'approche de LogMeIn Resolve en matière de sécurité Zero Trust lors de notre discussion informelle avec notre directeur de la sécurité des systèmes d'information, Attila Torok, et notre vice-président de l'ingénierie, David Bisztrai, pour comprendre comment l'application de ces principes peut aider à protéger votre entreprise contre les ransomwares, les attaques de chaîne d'approvisionnement et d'autres vulnérabilités touchant les entreprises de toutes tailles.