CreativMinds
Fr
CreativMinds
Fr
octobre 31st 2025

Ransomwares : pourquoi les PME sont devenues des cibles de choix

71% des PME ont été visées par des attaques de ransomwares en 2022. Ce chiffre nous revient souvent chez CreativMinds quand un dirigeant nous dit « nous, on est trop petits pour intéresser les hackers ».

Sauf que non. Les PME intéressent beaucoup les cybercriminels. Justement parce qu’elles sont plus petites.

Ce que nous observons sur le terrain

Chez CreativMinds, nous accompagnons des PME sur leur sécurité informatique depuis plusieurs années. Et nous avons vu le profil des attaques évoluer. Au début, nos clients nous parlaient surtout de virus « classiques », de spam, parfois d’un poste infecté qu’il fallait nettoyer. Aujourd’hui, les appels sont différents. Plus graves. Plus urgents.

Un ransomware, concrètement, c’est un logiciel malveillant qui s’infiltre dans votre système, chiffre vos données, et vous réclame une rançon pour les récupérer. La mécanique est simple. Les conséquences, elles, peuvent mettre une entreprise à genoux.

Nous avons accompagné une PME dans la distribution dont l’activité a été paralysée pendant cinq jours après qu’un employé a cliqué sur un lien dans un email de phishing. Cinq jours sans pouvoir facturer, livrer, ni même accéder à la liste de leurs clients. Le coût total — perte de chiffre d’affaires, remise en état des systèmes, temps mobilisé — dépassait largement les 100 000 francs.

Un autre cas : un cabinet comptable contacté en pleine période fiscale. Tous les dossiers clients chiffrés. Là, ce n’était pas seulement une question d’argent, mais de réputation et de confiance.

Pourquoi les PME, précisément ?

C’est contre-intuitif. On imagine que les hackers ciblent les grandes entreprises, là où il y a de l’argent. Mais les grandes entreprises ont aussi des équipes IT dédiées, des budgets cybersécurité conséquents, des procédures de réponse rodées.

Les PME, elles, cumulent souvent plusieurs fragilités. Des logiciels pas toujours à jour — parce que « ça fonctionne, on ne touche pas ». Peu ou pas de formation des équipes aux risques cyber. Des sauvegardes approximatives, quand elles existent. Pas de plan de réponse en cas d’attaque. Et surtout, une conviction tenace : « ça n’arrive qu’aux autres ».

Les cybercriminels connaissent ces failles. Pour eux, une PME qui paie 20 000 francs discrètement, c’est souvent plus rentable qu’une grande entreprise qui va mobiliser des avocats, alerter les autorités et faire traîner les choses pendant des mois.

C’est aussi une question de volume. Les attaques par ransomware sont largement automatisées aujourd’hui. Les hackers ratissent large, envoient des milliers d’emails de phishing, et attendent de voir qui mord. Les PME, moins protégées, mordent plus souvent.

Les portes d’entrée les plus courantes

Dans la grande majorité des cas que nous avons traités, l’attaque commence par un email. Un lien cliqué trop vite. Une pièce jointe ouverte par réflexe — une facture, une relance, un document qui semble venir d’un fournisseur connu.

C’est rarement sophistiqué. C’est souvent terriblement efficace.

Les ransomwares exploitent des failles connues, souvent déjà corrigées par les éditeurs de logiciels. WannaCry, par exemple, utilisait une vulnérabilité Windows pour laquelle Microsoft avait publié un correctif deux mois avant l’attaque massive de 2017. Mais combien d’entreprises avaient fait la mise à jour ?

Nous avons vu des PME tourner avec des versions de Windows qui n’étaient plus supportées depuis trois ans. Pas par négligence volontaire — simplement parce que personne ne s’en occupait vraiment, et que « tout fonctionnait ».

Autres portes d’entrée fréquentes : les accès à distance mal sécurisés (RDP avec des mots de passe faibles), les logiciels piratés téléchargés pour économiser une licence, ou encore les clés USB récupérées on ne sait où.

Ce qui fait vraiment la différence

Nous n’allons pas vous refaire la liste des « 10 bonnes pratiques cyber » qu’on trouve partout. Ce qui nous intéresse, c’est ce que nous observons chez les entreprises qui s’en sortent mieux que les autres quand elles sont touchées — ou qui évitent de l’être.

Elles ont quelqu’un qui s’en occupe. Pas forcément un expert cybersécurité à temps plein — peu de PME peuvent se le permettre. Mais quelqu’un dont c’est explicitement la responsabilité de vérifier que les mises à jour sont faites, que les sauvegardes fonctionnent, que les équipes restent vigilantes. Ça peut être un prestataire externe, un responsable IT à temps partiel, ou même un collaborateur formé qui consacre quelques heures par semaine au sujet.

Elles testent leurs sauvegardes. Avoir des sauvegardes, c’est bien. Savoir qu’on peut effectivement restaurer ses données en cas de problème, c’est autre chose. Nous avons vu trop d’entreprises découvrir au moment de la crise que leurs sauvegardes étaient incomplètes, corrompues, ou stockées sur un serveur lui-même chiffré par l’attaque. Une sauvegarde qui n’a jamais été testée, ce n’est pas une sauvegarde — c’est un espoir.

Elles forment leurs équipes régulièrement. Une session de sensibilisation annuelle, c’est mieux que rien. Mais les techniques de phishing évoluent vite. Les employés oublient, se font surprendre par un email un peu mieux ficelé que les précédents. Des rappels courts mais fréquents — un email mensuel, une alerte quand une nouvelle arnaque circule, des simulations de phishing — font une vraie différence. Chez certains de nos clients, le taux de clic sur les emails de phishing simulés a chuté de 40% à moins de 5% en un an.

Elles ont un plan. Pas un document de 50 pages qui dort dans un tiroir. Juste une procédure claire : qui fait quoi si on détecte une attaque ? Qui appeler ? Où sont les sauvegardes ? Qui décide de déconnecter le réseau ? Quand on est en pleine crise, ce n’est pas le moment de se poser ces questions.

Si ça arrive quand même

Parce que malgré toutes les précautions, ça peut arriver. Et dans ce cas, les premières heures sont cruciales.

Première chose : isoler. Déconnecter physiquement les machines infectées du réseau. Couper le Wi-Fi, débrancher les câbles Ethernet. L’objectif, c’est d’empêcher le ransomware de se propager aux autres postes et aux serveurs. Chaque minute compte.

Ensuite : ne pas paniquer. Plus facile à dire qu’à faire, nous le savons. Mais les décisions prises à chaud sont rarement les bonnes. Prenez le temps de documenter ce que vous observez — captures d’écran du message de rançon, liste des machines touchées, horodatage des événements. Ces informations seront précieuses pour la suite.

Prévenir les bonnes personnes. Votre prestataire IT si vous en avez un. Les autorités compétentes — en Suisse, le Centre national pour la cybersécurité (NCSC) peut vous orienter. Votre assurance, si vous avez une couverture cyber. Et en interne, les personnes qui doivent savoir — sans créer de panique générale.

Ne pas payer automatiquement la rançon. Nous comprenons la tentation. Quand toute votre activité est bloquée, payer semble être la solution la plus rapide. Mais il n’y a aucune garantie que vous récupérerez vos données. Certains ransomwares sont mal codés et la clé de déchiffrement ne fonctionne pas. D’autres fois, les hackers reviennent quelques mois plus tard, sachant que vous êtes prêts à payer. Et chaque rançon versée finance le développement de nouvelles attaques.

Ce qui nous frappe après toutes ces années

Ce n’est pas tant la sophistication technique des attaques. La plupart exploitent des failles basiques : un clic malheureux, un mot de passe trop simple, une mise à jour repoussée.

Ce qui nous frappe, c’est le décalage persistant entre la réalité de la menace et la perception qu’en ont beaucoup de dirigeants de PME. Cette idée que la cybersécurité, c’est un truc d’informaticiens. Un centre de coût. Quelque chose qu’on fera « quand on aura le temps ».

Sauf que quand l’attaque arrive, le temps manque cruellement. Et le coût d’une semaine d’activité paralysée dépasse de très loin celui d’une politique de sécurité raisonnable.

La cybersécurité n’est pas une question technique. C’est une question de continuité d’activité. De protection de vos clients, de vos données, de votre réputation. Et parfois, de survie.

Les entreprises qui l’ont compris ne sont pas forcément celles qui dépensent le plus. Ce sont celles qui ont intégré que la sécurité, c’est l’affaire de tous — du dirigeant qui valide les investissements à l’assistant commercial qui reçoit cinquante emails par jour.

Ça ne s’achète pas dans une solution logicielle miracle. Ça se construit, petit à petit, avec de la sensibilisation, de la rigueur dans les basiques, et un peu d’humilité face à des menaces qui évoluent plus vite que nos habitudes.

Derniers articles
L’évolution naturelle de notre direction artistique
février 3rd 2026
Comment éviter que ChatGPT devienne votre pire ennemi en cybersécurité ?
novembre 21st 2025
Deepfakes et phishing vocal : quand l’IA imite votre patron pour vider vos comptes
novembre 14th 2025
Explore more insights in our blog
View all articles

    Contactez notre équipe
    Laissez-nous vos coordonnées et nous vous contacterons prochainement.
    Thank you!
    Your request has been received.
    We will contact you shortly
    We use third-party cookies to personalize content and analyze site traffic. Learn more