Kortom
Quand un ransomware frappe, ce sont les toutes premières heures qui déterminent si votre PME s’en remet — ou pas. Les attaques contre les PME belges sont en forte hausse, et le temps entre l’intrusion et le chiffrement s’est effondré. Pourtant, la plupart des entreprises n’ont aucun plan de réaction. Dans la panique, elles commettent des erreurs irréversibles. Voici un plan d’action clair pour les 4 premières heures, et ce qu’il faut préparer AVANT.
- Ne payez pas dans la précipitation : payer ne garantit pas la récupération et vous désigne comme cible future.
- N’éteignez pas les machines infectées : isolez-les du réseau, mais gardez-les allumées pour préserver les preuves.
- Une sauvegarde immuable et hors ligne est votre meilleure — parfois votre seule — porte de sortie.
- En Belgique, un incident peut déclencher des obligations de notification (RGPD, et NIS2) à délais stricts.
- La différence entre une PME qui survit et une qui coule tient presque toujours à la préparation en amont.
Pourquoi les 4 premières heures sont décisives
Un ransomware chiffre vos fichiers et exige une rançon pour les débloquer. Mais l’attaque ne commence pas quand le message de rançon s’affiche : à cet instant, les attaquants sont souvent déjà dans votre système, et le chiffrement est en cours ou terminé.
Ce qui a changé, c’est la vitesse. Là où les attaquants restaient autrefois des semaines dans un réseau, ils agissent aujourd’hui en quelques heures. L’automatisation et l’IA ont industrialisé les attaques. Quand vous découvrez l’incident, le chronomètre tourne déjà vite.
Dans cette fenêtre critique, chaque décision compte. Les bonnes limitent les dégâts. Les mauvaises — souvent dictées par la panique — peuvent détruire les preuves, aggraver la propagation ou vous coûter une fortune inutilement.
Heure 1 : isoler, ne pas éteindre
Votre premier réflexe doit être de contenir la propagation. Un ransomware cherche à se répandre latéralement : serveurs partagés, sauvegardes connectées, autres postes.
À faire immédiatement
- Débranchez les machines touchées du réseau (câble retiré, Wi-Fi coupé). Isolez-les physiquement.
- Déconnectez les sauvegardes et stockages partagés non atteints, pour les protéger.
- Coupez les accès distants (VPN, RDP) qui pourraient servir de porte de propagation.
À NE PAS faire : éteindre les machines
Cela peut sembler contre-intuitif, mais un arrêt supprime des informations en mémoire vive précieuses pour comprendre l’attaque et parfois pour la récupération. Isolez, mais laissez allumé.
Heure 2 : évaluer l’ampleur et alerter
Une fois la propagation contenue, il faut comprendre ce qui est touché : quels postes, quels serveurs, quelles données, et surtout — vos sauvegardes sont-elles intactes ?
C’est le moment d’activer votre chaîne d’alerte : la direction, votre prestataire IT ou équipe sécurité, et votre assureur cyber (beaucoup de contrats imposent de les prévenir très tôt, sous peine de non-prise en charge).
En Belgique, vous pouvez signaler l’incident au CCB via CERT.be. Pour les entités soumises à NIS2, cette notification obéit à des délais stricts. Même hors NIS2, si des données personnelles sont concernées, le RGPD impose de notifier l’Autorité de protection des données dans les 72 heures.
Heure 3 : préserver les preuves et documenter
Trop d’entreprises, dans l’urgence, effacent ou réinstallent tout pour « repartir vite ». C’est une erreur. Préserver les preuves est essentiel pour l’enquête, l’assurance et d’éventuelles suites judiciaires.
- Documentez tout : heure de découverte, symptômes, message de rançon (capture d’écran), systèmes touchés.
- Conservez les machines isolées en l’état, sans les nettoyer.
- Notez chaque action entreprise et à quelle heure. Cette chronologie sera précieuse.
Cette rigueur, difficile à tenir dans le stress, fait partie de ce qu’un plan de réponse préparé à l’avance rend beaucoup plus simple.
Heure 4 : décider de la récupération (sans payer dans la panique)
Vient la question qui hante tout dirigeant : faut-il payer ?
La position des autorités, dont le CCB, est claire : payer est fortement déconseillé. D’abord, rien ne garantit que les attaquants rendront vos données. Ensuite, payer vous désigne comme une cible « rentable » et vous expose à de nouvelles attaques. Enfin, payer finance l’écosystème criminel.
La vraie porte de sortie, ce sont vos sauvegardes. Si vous disposez d’une sauvegarde saine, immuable et déconnectée, vous pouvez restaurer votre environnement à un point antérieur à l’attaque. Une PME avec un plan de reprise (DRP) et des sauvegardes testées restaure en quelques heures ou jours. Une PME sans rien peut mettre des semaines — ou ne jamais s’en remettre.
Ce qu’il faut préparer AVANT
La meilleure gestion de crise est celle qu’on n’a pas à improviser. Les fondamentaux à mettre en place dès maintenant :
Sauvegardes immuables
Hors ligne et testées régulièrement. Une sauvegarde jamais testée n’est pas une sauvegarde, c’est une supposition.
Plan de reprise (DRP)
Qui fait quoi, dans quel ordre, avec quels contacts. Un plan écrit et connu de tous.
Règle 3-2-1
Trois copies des données, sur deux supports, dont une hors site et déconnectée.
Comment GVISION vous protège et vous accompagne
Chez GVISION, nous aidons les PME bruxelloises et belges à se préparer sur les deux fronts : prévention et réaction. En prévention, nous déployons des sauvegardes immuables et testées, une protection EDR/XDR, la MFA et la sensibilisation. En cas de crise, nous accompagnons la réponse à incident et la restauration via un plan de reprise (DRP) conçu pour votre environnement.
Notre approche est celle d’un partenaire de proximité qui connaît votre infrastructure avant que la crise ne survienne — parce que dans ces 4 heures décisives, ce n’est pas le moment de faire connaissance.
Votre PME survivrait-elle à un ransomware demain matin ?
Profitez de notre audit de sécurité gratuit : nous évaluons votre exposition, l’état de vos sauvegardes et votre capacité de reprise, avec une feuille de route claire et sans engagement.
Vraag mijn gratis audit aan Contacteer onsFAQ — Ransomware et PME
Faut-il payer la rançon d’un ransomware ?
Faut-il éteindre un ordinateur infecté par un ransomware ?
Que faire en premier en cas d’attaque ?
Dois-je déclarer une attaque ransomware en Belgique ?
Comment se protéger efficacement d’un ransomware ?
Une sauvegarde suffit-elle à se remettre d’un ransomware ?
Cet article a une vocation informative et ne remplace pas un accompagnement professionnel en cas d’incident. Les obligations réglementaires (RGPD, NIS2) varient selon votre situation. En cas d’attaque en cours, contactez immédiatement votre prestataire IT et, si besoin, le CCB via CERT.be.



