← All articles

Rançongiciel : les premières 72 heures

Un lundi matin, les fichiers ne s'ouvrent plus et une note de rançon s'affiche sur les écrans. Ce qui se passe dans les 72 heures qui suivent décide de presque tout : la facture, la durée de l'arrêt, les obligations légales — et parfois la survie de l'entreprise. Voici le déroulé, heure par heure, et les gestes qui font la différence.

Lundi, 6 h 47. Le premier employé arrivé au bureau démarre son poste : les fichiers du serveur portent tous une extension bizarre et refusent de s'ouvrir. Sur le bureau Windows, un fichier texte : « Vos données ont été chiffrées. » L'imprimante de la réception crache la même note, page après page. À 7 h 15, le téléphone du président sonne.

Ce scénario, des PME québécoises le vivent chaque semaine. Le Centre canadien pour la cybersécurité classe les rançongiciels comme la principale menace de cybercriminalité au pays, et selon l'étude annuelle de Sophos menée auprès de 3 400 organisations touchées, la seule facture de récupération — avant même de parler de rançon — atteint en moyenne 1,53 million de dollars américains. Mais ce chiffre cache une réalité plus utile : l'écart entre les entreprises qui s'en remettent en quelques jours et celles qui y laissent des mois se creuse presque entièrement dans les 72 premières heures.

Voici ce qui s'y joue, heure par heure.

Heure 0 : comprendre ce qui vient d'arriver

Première chose à savoir : le chiffrement que vous découvrez ce matin n'est pas le début de l'attaque — c'est sa dernière étape. L'intrus est généralement dans vos systèmes depuis des jours, parfois des semaines : il a exploré le réseau, repéré les sauvegardes, souvent copié vos données vers l'extérieur avant de tout verrouiller. C'est la « double extorsion » : payez pour déchiffrer, puis payez encore pour que vos données volées ne soient pas publiées.

Cette réalité change tout dans la réponse : vous ne gérez pas un fichier corrompu, vous gérez une scène de crime encore chaude.

Heures 0 à 2 : les trois gestes qui sauvent

Isoler, sans éteindre. Débranchez les câbles réseau des machines touchées, coupez le Wi-Fi, isolez les segments atteints — le rançongiciel se propage de poste en poste tant qu'il a un chemin. Mais résistez au réflexe d'éteindre les ordinateurs : leur mémoire vive contient des traces que les spécialistes utiliseront pour comprendre l'attaque, et parfois pour récupérer des clés de chiffrement. Débranché du réseau, mais allumé.

Sortir des canaux compromis. Si l'attaquant a eu accès à vos systèmes, il lit peut-être encore vos courriels. Toute la coordination de crise se fait par téléphone ou par une messagerie externe aux systèmes de l'entreprise — pas dans le Teams ou le Outlook qu'il surveille possiblement.

Appeler de l'aide immédiatement. Votre fournisseur TI ou votre équipe de réponse à incident d'abord, et votre assureur très tôt : la plupart des polices de cyberassurance exigent d'être avisées sans délai et imposent leurs propres experts (juricomptables, avocats spécialisés, négociateurs). Agir sans eux peut compromettre la couverture. C'est aussi le moment de vérifier une chose, une seule : vos sauvegardes sont-elles intactes? Les attaquants les ciblent en priorité — c'est précisément pour ça que la sauvegarde hors ligne existe .

Et les deux erreurs classiques des premières heures : restaurer immédiatement par-dessus les machines infectées (on détruit les preuves et on restaure parfois la porte dérobée avec), et répondre soi-même à la note de rançon pour « gagner du temps ». Les deux se paient cher.

La question que tout le monde pose : est-ce qu'on paie?

La position officielle canadienne est claire : Pensez cybersécurité, le programme du gouvernement fédéral, indique que la pratique exemplaire consiste à ne jamais payer. Payer ne garantit rien — ni la remise d'une clé fonctionnelle, ni la destruction des données volées, qui restent entre les mains de criminels. Et une entreprise qui paie se signale comme une entreprise qui paie.

Sur le terrain, la réalité est plus nuancée : environ la moitié des organisations touchées finissent par payer, selon Sophos, et celles qui le font négocient — les payeurs versent en moyenne 85 % de la demande initiale. C'est une décision d'affaires lourde, qui se prend avec l'assureur et un conseiller juridique, jamais seul, jamais dans la panique de la première nuit.

Mais la vraie réponse à cette question ne se donne pas pendant la crise. Elle s'est décidée avant : une entreprise avec des sauvegardes saines, isolées et testées n'a presque jamais à se la poser.

Jour 1 : les obligations que personne n'a envie de gérer

Pendant que la partie technique s'organise, une deuxième horloge tourne : celle des obligations légales.

Au Québec, si des renseignements personnels — clients, employés, fournisseurs — ont été consultés, copiés ou perdus, vous vivez un incident de confidentialité au sens de la Loi 25. Trois obligations s'enclenchent : prendre des mesures raisonnables pour limiter le préjudice, évaluer si l'incident présente un risque de préjudice sérieux, et l'inscrire au registre des incidents que toute entreprise doit tenir — même quand le risque n'est pas jugé sérieux. Si le risque est sérieux — et un rançongiciel avec vol de données l'est presque toujours —, il faut aviser la Commission d'accès à l'information et les personnes concernées. La loi ne fixe pas de délai en heures : elle exige d'agir « avec diligence », ce qui, dans les faits, se compte en heures et en jours, pas en semaines. Les sanctions prévues peuvent atteindre des millions; l'improvisation, ici, coûte plus cher que la préparation.

Il faut aussi signaler l'attaque aux autorités : votre service de police local, le Centre antifraude du Canada et le Centre canadien pour la cybersécurité. Ce n'est pas une formalité inutile — ces signalements alimentent les enquêtes et, dans certains cas, donnent accès à des outils de déchiffrement connus.

Jours 2 et 3 : reconstruire sur du solide

La restauration commence seulement quand les experts ont répondu à deux questions : par où l'attaquant est-il entré, et est-il encore là? Restaurer avant, c'est rouvrir le commerce avec le voleur caché dans l'arrière-boutique.

Ensuite, dans l'ordre : reconstruire les systèmes critiques à partir de sauvegardes saines, réinitialiser tous les mots de passe, activer l'authentification multifacteur partout où elle manquait, et colmater la porte d'entrée — dans un tiers des cas, une vulnérabilité connue mais non corrigée, ce qui inclut les systèmes qui ne reçoivent plus de correctifs du tout . C'est exactement la séquence qu'un plan de reprise après sinistre met par écrit — avant d'en avoir besoin.

Les chiffres de Sophos donnent la mesure de l'enjeu : 53 % des organisations touchées se rétablissent complètement en une semaine — mais 18 % mettent plus d'un mois. La différence entre les deux groupes tient rarement à la chance.

Les 72 heures se gagnent avant

Tout ce qui précède devient dix fois plus simple quand cinq choses existent déjà : des sauvegardes hors ligne testées régulièrement, un plan de réponse à incident imprimé (le PDF sur le serveur sera chiffré avec le reste), la liste des numéros à appeler — assureur, fournisseur TI, avocat — accessible sans ordinateur, l'authentification multifacteur sur tous les accès, et des systèmes à jour. Rien d'exotique : c'est le b.a.-ba, mais exécuté pour vrai. Fait encourageant, 44 % des attaques sont maintenant stoppées avant même le chiffrement chez les organisations équipées pour détecter — un record.

La question qui reste, c'est celle du lundi matin, 7 h 15, quand le téléphone sonne : est-ce que la personne qui répond saura quoi faire dans les dix minutes qui suivent — ou est-ce qu'elle cherchera un numéro de téléphone dans un système qui vient d'être chiffré?

Chez MMO Techno, on aide les PME québécoises à répondre à cette question avant qu'elle se pose : sauvegardes gérées et testées, plan de réponse à incident, surveillance qui détecte l'intrus avant le chiffrement — et une équipe qui répond quand ça arrive pour vrai. Si votre plan de crise tient sur une prière, parlons-en cette semaine .

An IT project or a question?

Talk to an MMO Techno expert. We'll give you a clear, fast answer.

Contact us