Nancy · 03 72 61 04 67 WhatsApp
Cybersécurité

Comment protéger sa PME des ransomwares à Nancy : 5 actions concrètes avant l'attaque

·Par Sébastien Rattanatay
Dirigeant de PME nancéienne déployant les 5 actions concrètes pour bloquer un ransomware

Le scénario qu’aucun dirigeant ne veut vivre

Lundi 8h15. Vous arrivez au bureau. Anne, votre responsable administrative, vous attend, livide. “Plus rien ne s’ouvre. Tous les fichiers ont une drôle d’extension. Et il y a un message qui demande 80 000 euros.” Vous appelez votre prestataire informatique, qui ne décroche pas. Vous regardez les sauvegardes. Personne ne sait quand a été faite la dernière. Et vos clients, eux, attendent leurs livraisons.

Ce scénario, 16 % des TPE et PME françaises l’ont vécu en 2024, selon le baromètre Cybermalveillance.gouv.fr. Et 80 % des dirigeants reconnaissent ne pas être préparés. Bonne nouvelle, il ne faut pas un budget de grand groupe pour s’en sortir. Cinq actions concrètes, à activer ce trimestre, suffisent à bloquer la majorité des attaques courantes. C’est ce que notre approche cybersécurité recommande aux PME nancéiennes qui nous appellent.

Pas de discours alarmiste. Une checklist actionnable, par ordre de priorité.

Pourquoi les PME du Grand Est sont devenues une cible

Le calcul froid des attaquants

Les attaquants ne ciblent pas les PME parce qu’elles ont peu de moyens. Ils les ciblent parce qu’elles paient plus vite. Une PME de 30 personnes paralysée perd 7 300 euros par jour d’interruption en moyenne (étude Asterès / CRIP). Au bout d’une semaine, beaucoup préfèrent payer une rançon de 50 000 euros que d’attendre une restauration incertaine. Les groupes de ransomware le savent et industrialisent leurs attaques sur ce segment.

Le Grand Est n’est pas épargné. Le tissu de PME locales (cabinets, commerces, industries de Nancy, Metz, Épinal, Lunéville) coche toutes les cases. Le cas Coaxis dans l’expertise comptable en est l’illustration la plus récente. Peu de DSI internes, prestataires souvent absents en heures non ouvrées, sauvegardes rarement testées.

Combien coûte vraiment une attaque ?

Le chiffre choc, 466 000 euros de coût moyen pour une PME victime. Et 60 % d’entre elles ferment définitivement dans les 18 mois qui suivent l’incident. Ces chiffres servent à arbitrer un budget, pas à faire peur. Mettre 200 à 400 euros par mois dans la prévention coûte moins cher qu’un seul jour d’arrêt.

Une PME de 15 personnes peut-elle vraiment être attaquée ?

Oui, et c’est même la cible préférée. Les gros groupes ont des équipes sécurité, les TPE n’ont rien à voler. Les PME de 5 à 50 personnes sont au point d’équilibre, assez de chiffre d’affaires pour rentabiliser une attaque, pas assez de moyens pour la bloquer. Si votre informatique est gérée par un prestataire qui passe une fois par mois, vous êtes une cible mathématiquement intéressante.

Action 1. Activer le MFA sur les comptes critiques

La double authentification (un code reçu sur le téléphone en plus du mot de passe) bloque la grande majorité des intrusions par identifiants volés. C’est l’action qui a le meilleur rapport effort / impact. Elle est gratuite. Elle se déploie en quelques heures sur Microsoft 365.

Où l’activer en priorité

Dans cet ordre, et sans exception.

  • Microsoft 365 et Google Workspace. C’est par là que les attaquants entrent dans 70 % des cas. Compte admin en premier, puis tous les utilisateurs.
  • Accès distants (VPN, RDP, accès au serveur depuis l’extérieur).
  • Comptes administrateur du parc, sur les postes, sur les outils RMM, sur la console antivirus.
  • Outils financiers, banque, plateforme de virement, logiciel de paie. Un faux ordre de virement qui passe coûte plus cher qu’une rançon.
  • Comptes des prestataires externes qui interviennent sur votre SI.

Le MFA va-t-il ralentir mes équipes ?

Non. Une fois activé, le code n’est demandé que pour les nouvelles connexions ou les actions sensibles. Vos collaborateurs perdent 5 secondes par jour. À comparer à une journée d’arrêt après un compte M365 compromis.

Action 2. Sauvegarder en 3-2-1, et tester la restauration

Une règle que tout dirigeant devrait pouvoir réciter. 3 copies de vos données, sur 2 supports différents, dont 1 hors site et déconnectée. C’est le seul rempart absolu contre un ransomware.

Pourquoi déconnectée ? Parce qu’un ransomware moderne cherche activement vos sauvegardes en réseau et les chiffre en premier. Une copie hors ligne (cloud immuable, bande, NAS coupé) est la seule qui survit.

Le test de restauration, la seule preuve qui compte

Avoir une sauvegarde ne sert à rien tant qu’on n’a pas testé la restauration. Fondouest, PME normande de 60 salariés, a subi un rançongiciel LockBit en 2024. Sauvegardes existantes, fonctionnelles. 75 000 euros de pertes quand même, parce que personne n’avait jamais testé le redémarrage complet. Certains logiciels métier avaient été oubliés du périmètre.

La bonne pratique tient en deux dates dans l’agenda du dirigeant. Un test de restauration documenté tous les trimestres, sur un échantillon réel de fichiers. Et une fois par an, un exercice de reprise complète sur un environnement isolé. C’est exactement ce que couvre notre offre sauvegarde testée et externalisée.

Action 3. Sensibiliser l’équipe au phishing

95 % des incidents cyber impliquent une erreur humaine. Pas par incompétence, par manque de sensibilisation. Le maillon faible n’est ni le pare-feu ni l’antivirus. C’est le mail piégé qu’un commercial pressé clique entre deux rendez-vous.

Ce qui marche, ce qui ne marche pas

❌ Ce qui ne marche pas ✅ Ce qui marche
Une formation annuelle de 2 hDes micro-formations de 5 minutes par mois
Des affiches dans la salle de pauseDes simulations de phishing sans sanction
Un email "attention au phishing"L'exemple personnel de la direction
Un PDF de 40 pagesDes cas réels du secteur du collaborateur

Les trois signaux que tout collaborateur doit reconnaître

1. L’urgence anormale. “Virement à effectuer aujourd’hui”, “Compte suspendu sous 24 h”. Tout mail qui crée de la pression doit être vérifié hors mail.

2. L’expéditeur qui ne colle pas. Un nom connu, mais une adresse inhabituelle. patrick.dupond@société-fournisseur.fr devient patrick.dupond@societé-fournisseur.fr. L’accent change tout.

3. La pièce jointe ou le lien inattendu. Facture qu’on n’attendait pas, lien qui demande de se reconnecter à M365. Dans le doute, on appelle l’expéditeur.

Comment former une équipe qui n’a pas le temps ?

Des vidéos de 2 à 3 minutes envoyées chaque mois, pas plus. Sur des cas concrets du genre “voici le mail qui a coûté 80 000 euros à un cabinet comptable de Metz”. La sensibilisation est incluse dès la formule Essentiel YSY ONE, via une plateforme vidéo privée.

Action 4. Passer de l’antivirus à l’EDR, et patcher en continu

L’antivirus classique reconnaît les menaces qu’il connaît déjà. Un EDR (Endpoint Detection and Response) analyse les comportements suspects en temps réel. Un fichier qui chiffre soudainement 500 documents, un processus qui contacte un serveur en Russie, une connexion admin à 3 h du matin. L’EDR voit, alerte et bloque, même si la menace n’a jamais été identifiée auparavant.

Pourquoi l’antivirus seul ne suffit plus en 2026

Les ransomwares modernes sont polymorphes. Leur code change à chaque attaque, et un antivirus à signatures les rate. Selon l’ANSSI, les attaques zero-day (inconnues à l’instant T) représentent une part croissante des compromissions de PME. L’EDR comble ce trou.

Le patch management, combler la fenêtre de tir

Une faille découverte sur Windows ou un logiciel métier crée une fenêtre de tir pour les attaquants. Cette fenêtre dure en moyenne 22 jours entre la publication du correctif et son installation effective dans les PME. Un patch management automatisé réduit cette fenêtre à 48 h. La nuance technique change tout, c’est elle qui décide si vous subissez l’attaque ou si vous y échappez.

Envie de voir où en est votre parc ? Le diagnostic YSY ONE est gratuit (valeur 500 €) et identifie en 1h30 les failles critiques de votre infrastructure.

Action 5. Préparer le plan de réponse avant l’incident

C’est l’action que 80 % des dirigeants oublient. Et c’est celle qui décide si vous redémarrez en 48 h ou en trois semaines.

Les 30 premières minutes

La check-list à imprimer et à afficher dans le bureau du dirigeant et de la responsable admin.

  1. Isoler les postes touchés. Débrancher le câble réseau, couper le Wi-Fi. Ne pas éteindre, sinon les preuves disparaissent.
  2. Couper les accès distants. Désactiver le VPN, le RDP. On empêche la propagation.
  3. Appeler votre prestataire IT sur un numéro affiché en évidence, pas dans un fichier qui peut être chiffré.
  4. Prévenir la direction, rassemblement de l’équipe de crise dans l’heure.
  5. Contacter votre assureur cyber. La plupart des contrats imposent une notification dans les 24 à 48 h.
  6. Déposer plainte à la gendarmerie de Nancy ou au commissariat. C’est obligatoire pour activer la cyber-assurance.
  7. Notifier la CNIL sous 72 h si des données personnelles sont concernées (obligation RGPD).
  8. Consulter Cybermalveillance.gouv.fr pour le diagnostic et l’aide à la décision.

Pourquoi il ne faut pas payer la rançon

L’ANSSI est claire. 70 % des payeurs ne récupèrent pas l’ensemble de leurs données, et 80 % subissent une nouvelle attaque dans l’année qui suit. Payer signale aux groupes de ransomware que vous êtes une cible rentable. Vous serez de nouveau attaqué, par les mêmes ou par leurs partenaires.

Le rôle d’un partenaire IT local

Un ransomware se déclenche rarement en pleine journée. C’est souvent le vendredi soir ou le dimanche, quand personne ne surveille. Avoir un partenaire IT à 15 minutes de votre bureau (pas à 300 km) change la donne. L’équipe YSY ONE est basée 78 rue de la Hache à Nancy et peut intervenir physiquement. 95 % des interventions se font à distance, mais quand il faut être sur site dans l’heure, on y est.

Questions fréquentes des dirigeants nancéiens

Combien coûte la mise en place de ces 5 actions ?

Dans le cadre d’un service managé YSY ONE, ces 5 actions sont incluses ou activables dès la formule Standard à 59 € par utilisateur et par mois. Pour une PME de 15 personnes, soit 885 €/mois tout compris (MFA, sauvegarde testée, sensibilisation, EDR, supervision proactive). À comparer aux 466 000 € de coût moyen d’une attaque réussie.

Mon assureur cyber accepte-t-il un dossier sans MFA ?

De moins en moins. Depuis 2024, la plupart des assureurs cyber exigent un socle minimal pour accepter un nouveau contrat ou maintenir une couverture, MFA généralisé, sauvegardes testées, EDR, sensibilisation documentée. Sans ce socle, le contrat peut être refusé. Pire, l’indemnisation peut être rejetée en cas de sinistre si l’absence de MFA est la cause directe de l’attaque.

Que faire si je découvre une attaque un dimanche ?

Isoler les postes (débrancher le réseau), ne pas éteindre, appeler immédiatement le numéro d’astreinte de votre prestataire IT. Les clients YSY ONE en formule Standard ou Premium ont un canal WhatsApp (03 72 61 04 67) pour les incidents critiques 7j/7. Plus l’isolation est rapide, moins l’attaque se propage.

Mes sauvegardes en cloud (OneDrive, Google Drive) suffisent-elles ?

Non, et c’est une erreur fréquente. OneDrive et Google Drive synchronisent vos fichiers. Si un poste est chiffré, les versions chiffrées remontent automatiquement dans le cloud et écrasent les versions saines. Il faut une sauvegarde dédiée, externalisée, immuable (impossible à modifier après écriture) et testée. C’est très différent d’un simple stockage cloud collaboratif.

Cinq questions à poser à votre prestataire IT cette semaine

Votre informatique fonctionne ? Très bien. Posez maintenant ces cinq questions à votre prestataire.

  1. Le MFA est-il activé sur 100 % des comptes M365 et des accès distants ?
  2. La dernière restauration de sauvegarde a-t-elle été testée ce trimestre ?
  3. Mes équipes ont-elles reçu une formation phishing dans les 6 derniers mois ?
  4. Avons-nous un EDR (pas un antivirus classique) sur 100 % des postes ?
  5. Existe-t-il un plan de réponse écrit, et qui appeler dimanche soir ?

Si vous n’obtenez pas cinq oui clairs, vous avez un problème. Le genre de problème qui se règle en un trimestre quand on s’y attelle. C’est exactement ce qu’on fait pour les PME du Grand Est qui nous appellent.