Un matin, vos fichiers sont chiffrés et une rançon s’affiche. Le ransomware n’épargne plus les PME suisses : au contraire, elles deviennent des cibles de choix, car moins bien défendues que les grands groupes. Une attaque de ransomware peut paralyser votre activité en quelques heures. La bonne nouvelle : une poignée de mesures concrètes suffisent à réduire drastiquement le risque.
Sommaire
- Comment fonctionne une attaque de ransomware
- Pourquoi les PME suisses sont des cibles
- Mesure 1 : des sauvegardes 3-2-1 hors ligne
- Mesure 2 : le MFA partout
- Mesure 3 : la gestion des correctifs
- Mesure 4 : EDR et segmentation réseau
- Mesure 5 : la sensibilisation des collaborateurs
- Que faire en cas d’attaque
- Conclusion
- FAQ

Comment fonctionne une attaque de ransomware
Un ransomware, ou rançongiciel, est un logiciel malveillant qui chiffre vos données. Ensuite, les criminels réclament une rançon pour vous rendre l’accès. De plus, la plupart des groupes actuels volent aussi vos données avant de les chiffrer. Ainsi, ils menacent de les publier si vous ne payez pas. On parle alors de double extorsion.
Une attaque de ransomware ne surgit jamais par hasard. En effet, elle suit presque toujours le même scénario. D’abord, l’attaquant trouve une porte d’entrée. Puis il progresse discrètement dans le réseau. Enfin, il déclenche le chiffrement au pire moment, souvent la nuit ou le week-end.
Trois vecteurs d’entrée dominent aujourd’hui :
- Le phishing. Un e-mail piégé pousse un collaborateur à cliquer ou à ouvrir une pièce jointe. C’est le vecteur le plus fréquent.
- Les accès RDP exposés. Un service de bureau à distance ouvert sur internet, sans MFA, devient une cible facile pour les attaques par force brute.
- Les failles non corrigées. Un VPN, un pare-feu ou un serveur non mis à jour offre une brèche connue et exploitable.
Par conséquent, comprendre ces vecteurs oriente directement votre défense. Chaque mesure ci-dessous ferme l’une de ces portes. Le tableau suivant résume ce lien entre vecteur d’entrée et parade concrète.
| Vecteur d’entrée | Comment il est exploité | Parade principale |
|---|---|---|
| Phishing | E-mail piégé, pièce jointe ou lien malveillant | Sensibilisation et filtrage des messages |
| Accès RDP exposé | Force brute sur un bureau à distance ouvert | MFA et fermeture des services inutiles |
| Failles non corrigées | Exploitation d’une vulnérabilité connue | Gestion rigoureuse des correctifs |
| Compte volé | Identifiants réutilisés ou fuités | MFA et rotation des mots de passe |
En somme, aucune porte ne se ferme toute seule. Chaque ligne de ce tableau correspond à une action précise que vous pouvez engager dès cette semaine.
Pourquoi les PME suisses sont des cibles
Beaucoup de dirigeants pensent être trop petits pour intéresser les cybercriminels. C’est une erreur dangereuse. En réalité, les PME concentrent plusieurs faiblesses attractives. Elles disposent de données sensibles, mais rarement d’une équipe de sécurité dédiée.
Selon l’Office fédéral de la cybersécurité (OFCS), les rançongiciels restent une menace sérieuse en Suisse. Au cours du second semestre 2025, 57 cas de rançongiciels ont été annoncés à l’OFCS. Ce chiffre ne reflète que les incidents signalés. La réalité est donc probablement plus large, car de nombreuses entreprises ne déclarent pas leurs attaques.
Par ailleurs, les attaquants automatisent leurs campagnes. Ils scannent internet en continu à la recherche de systèmes vulnérables. Une PME romande vaut donc autant qu’une autre cible à leurs yeux. Toutefois, une PME bien préparée devient nettement moins rentable à attaquer. Voilà pourquoi la prévention change tout.
Un autre facteur aggrave la situation. En effet, beaucoup de PME romandes sous-traitent leur informatique à un prestataire externe. Cette dépendance crée un angle mort. Vous supposez que tout est géré, alors que les sauvegardes ou le MFA ne sont peut-être pas en place. Par conséquent, posez des questions précises à votre prestataire. Demandez où sont vos sauvegardes, si elles sont testées, et qui répond en cas d’incident un dimanche soir. Ces réponses valent de l’or le jour où une attaque frappe.

Mesure 1 : des sauvegardes 3-2-1 hors ligne
La sauvegarde est votre dernière ligne de défense. En effet, si vos données restent récupérables, la rançon perd tout son pouvoir. Cependant, une sauvegarde connectée en permanence au réseau sera chiffrée elle aussi. Elle ne vous protège donc pas.
La règle du 3-2-1 est la référence mondiale, recommandée notamment par la CISA américaine. Elle tient en trois principes simples :
- 3 copies de vos données au total.
- 2 supports différents, par exemple un disque et le cloud.
- 1 copie hors site, idéalement hors ligne ou immuable.
Le mot clé ici, c’est hors ligne. Une copie déconnectée du réseau, ou une sauvegarde immuable qui ne peut être ni modifiée ni supprimée, résiste au ransomware. De plus, testez régulièrement vos restaurations. Une sauvegarde jamais testée est une fausse sécurité. Par conséquent, planifiez un test de restauration au moins chaque trimestre.
Pensez également à la durée d’une restauration complète. Récupérer plusieurs téraoctets peut prendre des jours, pas des minutes. Ainsi, définissez un délai de reprise réaliste et communiquez-le à la direction. Cette planification transforme une crise chaotique en procédure maîtrisée. De plus, documentez les étapes pour que n’importe quel collaborateur puisse les suivre sous pression.
Mesure 2 : le MFA partout
L’authentification multifacteur, ou MFA, ajoute une preuve d’identité en plus du mot de passe. Ainsi, même si un mot de passe est volé, l’attaquant reste bloqué. C’est l’une des mesures les plus efficaces contre les intrusions.
La CISA recommande un MFA résistant au phishing pour un maximum de services. En pratique, activez-le en priorité sur :
- La messagerie professionnelle et Microsoft 365.
- Les accès VPN et bureau à distance.
- Les comptes administrateurs et les consoles de sauvegarde.
Toutefois, tous les MFA ne se valent pas. Un code SMS vaut mieux que rien, mais une application d’authentification ou une clé physique offre une bien meilleure protection. Par ailleurs, ne laissez jamais un compte privilégié sans MFA. C’est précisément ce que les attaquants cherchent en premier.
Attention aussi à un piège récent : la fatigue MFA. Les attaquants inondent un utilisateur de demandes d’approbation répétées, jusqu’à ce qu’il accepte par lassitude. Par conséquent, formez vos équipes à refuser toute notification inattendue. De plus, privilégiez les méthodes avec correspondance de numéro, qui exigent de confirmer un code précis. Cette petite friction bloque une catégorie entière d’attaques.
Formation recommandée
CISSP – Certified Information Systems Security Professional
Réf. ISC-CISSP
Maîtrisez la sécurité de l’information de bout en bout et structurez une défense solide contre les rançongiciels. La certification de référence pour les professionnels de la cybersécurité.
Niveau : Avancé
Lieu : Genève / Lausanne / Virtuel
Mesure 3 : la gestion des correctifs
Chaque logiciel contient des failles. Régulièrement, les éditeurs publient des correctifs pour les combler. Cependant, un système non mis à jour reste une porte ouverte. Or les attaquants exploitent les failles connues en quelques jours, parfois en quelques heures.
La gestion des correctifs, ou patching, consiste à appliquer ces mises à jour vite et systématiquement. Pour une PME, la démarche tient en quelques réflexes :
- Inventoriez vos systèmes exposés : VPN, pare-feu, serveurs, postes.
- Priorisez les correctifs critiques, surtout ceux exposés à internet.
- Automatisez les mises à jour lorsque c’est possible.
- Fixez un délai maximum pour appliquer les correctifs critiques.
De plus, méfiez-vous des équipements oubliés. Un vieux serveur ou un pare-feu en fin de vie devient rapidement un maillon faible. Par conséquent, remplacez ou isolez tout matériel qui ne reçoit plus de mises à jour de sécurité.
Enfin, n’oubliez pas les logiciels tiers. Les navigateurs, les lecteurs PDF ou les plugins métier sont autant de portes potentielles. Ainsi, appliquez la même discipline de mise à jour à l’ensemble de votre parc. Une seule application négligée peut annuler tous vos efforts par ailleurs.

Mesure 4 : EDR et segmentation réseau
Un antivirus classique ne suffit plus. Les ransomwares modernes échappent facilement aux signatures traditionnelles. Ils utilisent des outils légitimes du système pour se camoufler. Voilà pourquoi les défenses doivent évoluer.
L’EDR pour détecter et réagir
Un EDR (Endpoint Detection and Response) surveille le comportement des postes et serveurs. Ainsi, il repère les actions suspectes, comme un chiffrement massif de fichiers. Ensuite, il peut isoler automatiquement une machine compromise. Cette réactivité fait souvent la différence entre un incident contenu et une catastrophe généralisée.
La segmentation pour limiter la propagation
La segmentation réseau divise votre infrastructure en zones cloisonnées. Par conséquent, une machine infectée ne contamine pas tout le réseau. Séparez notamment les serveurs critiques, les postes bureautiques et les systèmes de sauvegarde. De plus, restreignez les droits d’accès au strict nécessaire. En somme, un attaquant qui entre quelque part ne doit pas pouvoir aller partout.
Pour une petite structure, cela n’exige pas une refonte coûteuse. En effet, quelques règles bien placées sur votre pare-feu existant aident déjà. Par exemple, bloquez l’accès direct des postes ordinaires à votre serveur de sauvegarde. Ainsi, même un ordinateur compromis ne peut atteindre vos copies les plus précieuses. Cette approche par couches vous fait gagner un temps précieux pour réagir.
Mesure 5 : la sensibilisation des collaborateurs
La technologie ne fait pas tout. En effet, le phishing reste le premier vecteur d’attaque, et il vise vos collaborateurs. Un e-mail bien conçu peut tromper n’importe qui un jour de fatigue. Par conséquent, la vigilance humaine est une couche de défense à part entière.
Une sensibilisation efficace repose sur des gestes concrets, répétés dans le temps :
- Vérifier l’expéditeur avant de cliquer sur un lien ou une pièce jointe.
- Se méfier des messages urgents qui demandent une action immédiate.
- Ne jamais communiquer d’identifiants par e-mail ou par téléphone.
- Signaler tout message suspect à l’équipe informatique, sans crainte.
Par ailleurs, organisez des campagnes de phishing simulé. Elles mesurent le niveau réel de vigilance et créent des réflexes durables. Toutefois, misez sur la pédagogie, jamais sur la punition. Un collaborateur qui signale une erreur vaut mieux qu’un collaborateur qui la cache.
Ici, la régularité compte plus que l’intensité. Une seule session annuelle s’efface vite des mémoires. Par conséquent, privilégiez des rappels courts et fréquents tout au long de l’année. De plus, impliquez visiblement la direction, car l’exemple façonne la culture. Quand les dirigeants prennent la sécurité au sérieux, les équipes suivent. Ainsi, la vigilance devient une habitude partagée plutôt qu’une contrainte imposée.

Que faire en cas d’attaque
Malgré toutes les précautions, le risque zéro n’existe pas. Si l’attaque survient, chaque minute compte. Cependant, la panique est votre pire ennemie. Suivez un plan clair et gardez la tête froide.
Voici les priorités recommandées par l’Office fédéral de la cybersécurité :
- Isolez immédiatement. Déconnectez les systèmes infectés du réseau. L’OFCS conseille de retirer physiquement le câble réseau pour stopper la propagation.
- Ne payez pas la rançon. L’OFCS déconseille formellement le paiement. En effet, rien ne garantit la récupération des données, et payer finance les attaques futures.
- Notifiez le NCSC. Signalez l’incident à l’Office fédéral de la cybersécurité et portez plainte auprès de la police cantonale.
Concrètement, vous pouvez déclarer une attaque via le portail de signalement de l’OFCS. Vous trouvez la marche à suivre détaillée sur la page officielle Rançongiciels, que faire. De plus, restaurez vos systèmes à partir de sauvegardes saines, jamais depuis un système encore potentiellement infecté. Enfin, conservez les preuves, car elles aideront l’enquête et votre assurance.
Formation recommandée
CISSP – Certified Information Systems Security Professional
Réf. ISC-CISSP
Passez de la théorie à une stratégie de cyberdéfense complète. Une formation de référence pour anticiper les rançongiciels et protéger durablement votre entreprise.
Niveau : Avancé
Lieu : Genève / Lausanne / Virtuel
Conclusion
Le ransomware n’est plus une menace réservée aux grands groupes. Les PME suisses sont désormais en première ligne, précisément parce qu’elles sont perçues comme plus vulnérables. Toutefois, cette vulnérabilité n’a rien d’une fatalité. Les cinq mesures présentées ici ferment les portes que les attaquants exploitent.
Récapitulons l’essentiel. Des sauvegardes 3-2-1 hors ligne garantissent votre survie. Le MFA et le patching bloquent la majorité des intrusions. L’EDR et la segmentation limitent les dégâts. Enfin, des collaborateurs sensibilisés déjouent le phishing. Ensemble, ces couches forment une défense solide et réaliste, même avec des moyens limités.
En somme, la protection contre le ransomware est un projet permanent, pas une case à cocher. Pour aller plus loin et structurer votre stratégie, une formation certifiante comme le CISSP donne à vos équipes les compétences nécessaires. Car en cybersécurité, la meilleure défense reste l’anticipation.
FAQ
Qu’est-ce qu’un ransomware exactement ?
Un ransomware, ou rançongiciel, est un logiciel malveillant qui chiffre vos fichiers. Les criminels réclament ensuite une rançon pour restituer l’accès. La plupart volent aussi vos données et menacent de les publier.
Faut-il payer la rançon en cas d’attaque ?
Non. L’Office fédéral de la cybersécurité déconseille formellement de payer. Rien ne garantit la récupération de vos données, et le paiement finance de nouvelles attaques. Isolez, signalez et restaurez depuis vos sauvegardes.
Comment se protéger efficacement d’une attaque de ransomware ?
Combinez cinq mesures : sauvegardes 3-2-1 hors ligne, MFA partout, correctifs appliqués rapidement, EDR avec segmentation réseau, et sensibilisation des collaborateurs. Aucune mesure isolée ne suffit, mais leur combinaison est très efficace.
Pourquoi les PME suisses sont-elles ciblées ?
Les PME détiennent des données sensibles, mais disposent rarement d’une équipe de sécurité dédiée. De plus, les attaquants automatisent leurs campagnes et scannent internet en continu. Une PME peu protégée devient donc une cible facile et rentable.
À qui signaler une attaque de ransomware en Suisse ?
Signalez l’incident à l’Office fédéral de la cybersécurité via son portail en ligne. Portez également plainte auprès de votre police cantonale. Le signalement aide l’enquête et contribue à protéger d’autres entreprises.
