AccueilSecteursExperts-comptablesRansomware
Cas concret

Ransomware sur un cabinet comptable : scénario, coûts et recours

Un email, un clic, et 11 jours d’arrêt total. Voici comment une attaque ransomware se déroule concrètement dans un cabinet d’expertise comptable — heure par heure, avec les vrais chiffres et les vraies décisions à prendre.

11 j
d’arrêt d’activité
en moyenne
85 k€
coût moyen
pour un cabinet PME
72 h
pour notifier
la CNIL

Scénario type : une attaque ransomware, heure par heure

Ce scénario est une reconstitution basée sur des cas réels documentés en France entre 2022 et 2024. Les noms sont fictifs. Les faits sont représentatifs.

Cabinet Moreau & Associés — 9 collaborateurs, Lyon. Lundi matin.

8h14

L’email arrive

Sophie, assistante comptable, reçoit un email de « Sage Support » lui demandant de télécharger une mise à jour urgente de sécurité pour le logiciel comptable. L’email est bien formaté, le logo est correct. Elle clique.

8h17

L’installation silencieuse

Le fichier téléchargé s’exécute en arrière-plan. Sophie ne voit rien d’anormal — son ordinateur tourne normalement. Le malware commence à cartographier le réseau du cabinet et à identifier les fichiers à chiffrer.

8h45

Le chiffrement commence

Le ransomware commence à chiffrer les fichiers sur le serveur partagé. Les sauvegardes connectées au réseau sont également touchées. Les fichiers clients — bilans, liasses fiscales, fiches de paie — deviennent inaccessibles les uns après les autres.

9h03

Le message de rançon s’affiche

Sur tous les écrans du cabinet apparaît le même message : « Vos fichiers ont été chiffrés. Payez 45 000 € en bitcoin avant 72h pour récupérer la clé de déchiffrement. Passé ce délai, le prix doublera. » Le cabinet est paralysé.

9h15

La décision d’urgence

Thomas, l’associé gérant, coupe immédiatement tous les accès réseau et internet. Il appelle son prestataire informatique habituel — qui n’est pas disponible avant jeudi. Il appelle son assureur — le contrat MRP ne couvre pas les cyberattaques.

J+1

L’évaluation des dégâts

Un prestataire spécialisé en réponse à incident est mandaté en urgence. Diagnostic : 100% des fichiers serveur chiffrés, sauvegardes locales inaccessibles. Une seule sauvegarde externe partielle existe — elle date de 3 semaines. Le cabinet a perdu 3 semaines de travail.

J+2

La déclaration CNIL — délai critique

Des données personnelles de salariés clients sont dans les fichiers compromis. L’avocat contacté confirme l’obligation de notification CNIL sous 72h. Thomas doit informer ses clients de la violation — une conversation redoutée avec une centaine d’entreprises.

J+4

Payer ou ne pas payer ?

Face à l’ampleur des dégâts, Thomas envisage le paiement. L’expert en cybersécurité le déconseille — rien ne garantit que la clé fonctionnera, et payer finance les futures attaques. Décision finale : ne pas payer, reconstruire depuis la sauvegarde et reprendre manuellement.

J+11

Reprise partielle de l’activité

Le cabinet reprend progressivement. Certains dossiers clients sont reconstruits depuis des copies emails. Trois semaines de données sont définitivement perdues. Deux clients ont rompu leur contrat. La facture totale commence à s’établir.

Les données chiffrées sur le coût réel

Voici le détail des coûts constatés dans ce type de sinistre pour un cabinet de 5 à 15 personnes.

Prestataire réponse à incident
18 000 €
Investigation, remédiation, reconstruction
Perte d’exploitation (11 jours)
32 000 €
CA perdu + charges fixes maintenues
Frais juridiques et RGPD
8 000 €
Avocat, notification CNIL, courriers clients
Nouveau matériel et logiciels
12 000 €
Serveur, postes, licences, configuration
Perte clients et réputation
15 000 €
2 clients perdus, estimation CA annuel
Communication de crise
Non chiffré — géré en interne
Coût total estimé
85 000 €

Payer ou ne pas payer la rançon — le vrai débat

C’est la question que se pose tout dirigeant dans cette situation. Il n’y a pas de bonne réponse universelle, mais voici les éléments factuels à connaître.

Ce que disent les experts et les autorités

L’ANSSI et la police nationale déconseillent le paiement pour plusieurs raisons : rien ne garantit que vous recevrez une clé fonctionnelle, payer vous identifie comme une cible « payante » pour de futures attaques, et cela finance l’écosystème criminel.

En pratique, environ 40% des victimes qui paient ne récupèrent pas l’intégralité de leurs données. Et 80% des entreprises qui paient sont à nouveau attaquées dans l’année.

Cela dit, certaines situations extrêmes — données irremplaçables, activité impossible à reconstruire — peuvent justifier une décision différente. C’est pourquoi certains contrats d’assurance cyber incluent une garantie de prise en charge de la rançon, encadrée par des conditions strictes et souvent soumise à l’accord de l’assureur.

Les recours légaux après une attaque

Une cyberattaque est un crime. Même si les chances de voir les auteurs identifiés et poursuivis restent limitées, déposer plainte est important pour plusieurs raisons.

  • Dépôt de plainte auprès de la police ou de la gendarmerie — obligatoire pour certains contrats d’assurance cyber
  • Signalement sur cybermalveillance.gouv.fr — plateforme nationale d’aide aux victimes, qui peut aussi orienter vers des prestataires
  • Notification CNIL dans les 72h si des données personnelles sont compromises
  • Information des clients dont les données ont été exposées — obligation légale RGPD
  • Conservation des preuves — ne pas réinstaller les systèmes avant d’avoir sauvegardé les logs et fichiers chiffrés pour l’enquête

Ce que l’assurance cyber prend en charge dans ce cas

Si Thomas avait eu un contrat cyber adapté, voici ce qui aurait été couvert — et ce qui ne l’aurait pas été.

✓ Ce que l’assurance aurait couvert

Cellule de crise 24h/24 : un expert aurait été mandaté dès le premier appel, sans attendre le prestataire habituel indisponible.

Frais de remédiation : les 18 000 € de prestataire réponse à incident auraient été pris en charge.

Perte d’exploitation : les 32 000 € de CA perdu auraient été compensés après le délai de carence (souvent 8h à 24h).

Frais juridiques RGPD : les 8 000 € d’avocat et de notification auraient été couverts.

⚠ Ce que l’assurance n’aurait pas forcément couvert

La perte clients : le préjudice commercial indirect est rarement couvert.

Les données définitivement perdues : la valeur des données elles-mêmes (pas le coût de reconstruction) est souvent exclue.

Les systèmes non maintenus à jour : si une faille connue non corrigée a facilité l’attaque, l’assureur peut invoquer un défaut de précaution.

Comment réduire les risques dès maintenant

Cinq mesures concrètes qui auraient changé l’issue de ce scénario.

  • Sauvegarde externalisée testée — une copie hors réseau, testée chaque mois. C’est la seule vraie protection contre un ransomware.
  • Double authentification sur tous les accès cloud et logiciels — bloque la majorité des tentatives d’intrusion via identifiants volés.
  • Formation anti-phishing des collaborateurs — une session d’une heure par an réduit significativement le risque de clic malveillant.
  • Plan de réponse à incident documenté — savoir quoi faire dans les premières minutes évite les erreurs coûteuses sous le choc.
  • Contrat cyber avec cellule d’urgence — ne pas découvrir au moment de l’attaque que son assurance MRP ne couvre rien.
🔬 Note sur le risque quantique

Les ransomwares actuels utilisent des algorithmes de chiffrement standards. Dans quelques années, des variantes quantiques pourraient chiffrer les données de manière encore plus robuste — rendant la récupération sans clé impossible même pour les meilleurs experts. Ce basculement n’est pas imminent, mais les cabinets qui auront mis à jour leurs pratiques de sauvegarde et de chiffrement seront les mieux armés face à ces nouvelles menaces.

En savoir plus sur la menace quantique →

Connaissez-vous tous les risques cyber de votre cabinet ?

Ransomware, phishing, RGPD, fraude au virement — état des lieux complet des menaces pour les experts-comptables.

Voir l’état des risques →