« Ils ont tout chiffré un vendredi soir » — le témoignage d’une PME après un ransomware
Sophie, directrice administrative d’une PME de 28 salariés, raconte les 3 semaines qui ont suivi l’attaque ransomware qui a paralysé son entreprise. Entre 60 000 et 80 000 € de coûts, zéro assurance cyber. Un témoignage pour que d’autres ne vivent pas la même chose.
Ce témoignage est une reconstruction journalistique basée sur des cas documentés en France entre 2023 et 2025. Tous les noms sont fictifs. Les faits sont représentatifs des incidents recensés par l’ANSSI et cybermalveillance.gouv.fr.
Vendredi 17h47 — « Quelque chose ne va pas »
Sophie est directrice administrative d’une PME de 28 salariés spécialisée dans la distribution de matériel médical, basée en Bretagne. Ce vendredi-là, elle remarque que son ordinateur rame. Elle ferme des onglets, redémarre. L’écran reste figé.
« J’ai appelé Thomas, notre prestataire info. Il m’a dit de ne rien toucher et d’arriver lundi matin. On a pensé que c’était juste une panne. »
Ce n’était pas une panne. Dans les heures suivantes, un message s’affichait sur tous les postes du réseau.
« Vos fichiers ont été chiffrés. Pour récupérer vos données, contactez-nous à l’adresse suivante dans les 72 heures. Passé ce délai, le prix doublera. Vos fichiers seront supprimés définitivement dans 7 jours. »
La PME de Sophie venait de subir une attaque par ransomware. 47 000 fichiers — catalogues produits, bons de commande, dossiers clients, comptabilité — étaient inaccessibles.
Le week-end le plus long
« J’ai rappelé Thomas tout de suite. Il était aussi dépassé que moi. On ne savait pas quoi faire. On a cherché sur internet et on a trouvé cybermalveillance.gouv.fr. C’est là qu’on a compris l’ampleur du problème. »
Sophie a passé son week-end à appeler. Son assureur d’abord — la RC Pro ne couvrait pas les cyberattaques. La police ensuite — dépôt de plainte, obligatoire pour certaines procédures. Et cybermalveillance.gouv.fr, qui lui a mis en relation avec un prestataire spécialisé.
« Le plus dur, c’était le dimanche soir. Je ne savais pas si on allait pouvoir ouvrir lundi. On avait des livraisons prévues, des clients qui attendaient. Et zéro accès à nos données. »
Lundi — La crise opérationnelle
L’expert en cybersécurité est arrivé tôt le lundi matin. Son diagnostic : une intrusion via un mot de passe faible sur le bureau à distance (RDP), exploitation silencieuse du réseau pendant 3 semaines, puis déclenchement du ransomware le vendredi soir — moment calculé pour maximiser le temps de réaction.
« Il nous a montré les logs. Ils étaient dans notre réseau depuis le 28 octobre. On était le 18 novembre. Pendant 3 semaines, quelqu’un lisait nos emails, accédait à nos fichiers, cartographiait notre réseau. Et on n’avait rien vu. »
La question du paiement s’est posée immédiatement. La rançon demandée était de 45 000 €.
« L’expert nous a fortement déconseillé de payer. Il nous a dit que dans 30 à 40% des cas, les attaquants ne donnent pas la clé de déchiffrement même après paiement. Et que payer finance la prochaine attaque. »
Trois semaines pour reconstruire
La PME avait des sauvegardes — mais elles étaient connectées au réseau. Elles avaient été chiffrées en même temps que le reste. La seule sauvegarde intacte était une sauvegarde externe sur disque dur, faite… six semaines plus tôt.
« On a perdu six semaines de données. Les bons de commande, les échanges clients, les mises à jour de catalogue. On a dû reconstituer à la main, appeler les clients, retrouver les informations dans nos boîtes emails personnelles. »
La reconstruction a pris trois semaines. Pendant ce temps : activité partielle, quelques clients perdus, un contrat annulé. Et une facture totale que Sophie préfère ne pas détailler publiquement.
« Je peux juste dire que c’était entre 60 000 et 80 000 €. Entre le prestataire, les pertes d’exploitation, le matériel remplacé et ce qu’on a perdu en clients. »
Après — Ce que Sophie a changé
« La première chose qu’on a faite, c’est une assurance cyber. On avait l’impression que c’était pour les grandes entreprises. Maintenant je sais que c’est exactement pour nous. »
La liste des changements opérationnels : double authentification sur tous les accès distants, sauvegardes hors réseau quotidiennes avec test mensuel, suppression de l’accès RDP au profit d’un VPN sécurisé, formation phishing pour toute l’équipe.
« Ce que je dirais aux autres dirigeants de PME : ne vous dites pas que ça n’arrive qu’aux autres. On était une toute petite structure, on distribuait du matériel médical, on ne pensait pas être une cible. On l’était quand même. »
1. Pas de sauvegarde hors réseau récente — la sauvegarde existait mais était connectée au réseau et a été chiffrée. La règle 3-2-1 avec une copie déconnectée est indispensable.
2. Un accès RDP sans double authentification — le point d’entrée des attaquants. Un VPN avec MFA aurait rendu l’intrusion initiale beaucoup plus difficile.
3. Pas de contrat cyber — 60 à 80 000 € de coûts sans aucune couverture. Un contrat adapté à leur taille aurait coûté environ 1 200 € par an.
Ne découvrez pas votre couverture pendant la crise
Comprenez ce que couvre l’assurance cyber — avant d’en avoir besoin.