Ransomware : prévenir, détecter, réagir sans paniquer

Ransomware : prévenir, détecter, réagir sans paniquer

Les rançongiciels ciblent les PME via phishing et failles non patchées. Ta meilleure arme : préparation + hygiène + sauvegardes.

Prévenir (l’essentiel)

• Phishing : filtre avancé, bannière externe, formation + campagnes simulées.
• Surface d’attaque : patchs rapides, pas de services exposés (RDP), MFA partout.
• Segmentation : sépare serveurs, postes, invité, IoT ; bloque SMB entre VLAN si possible.
• Comptes : pas d’admin pour l’usage quotidien, revues régulières des droits.
• Sauvegardes immuables : versions verrouillées + test de restauration.

Détecter (plus tôt = moins de dégâts)

• EDR avec blocage comportemental (chiffrement massif, outils de pentest).
• Alertes sur pics CPU/disque, créations massives de fichiers chiffrés, désactivation AV.
• Journaux centralisés + alerte connexion admin anormale.

Réagir (les 10 premières minutes)

1. Isoler les machines suspectes (réseau).
2. Couper les sessions admin compromises.
3. Préserver des copies de logs/notes de rançon (pour l’analyse).
4. Informer l’équipe dirigeante ; désigner un porte-parole.
5. Basculer sur procédures manuelles si critique (facturation, production).

Restaurer & reprendre

• Réinstaller depuis image saine si doute.
• Restaurer depuis sauvegardes pré-infection (vérifier l’intégrité).
• Changer tous les secrets (mots de passe, clés API).
• Post-mortem : cause racine, mesures correctives, mise à jour du PRI.