« Y’a une tête de mort sur l’écran, ils demandent des bitcoins… On fait quoi maintenant ? »
– Bernard, 08h42, lundi matin
Le jour où tout s’éteint
Tout allait bien. Le café coulait, les mails s’entassaient, le SI ronronnait.
Puis… plus rien.
Écran noir. Un message étrange. « Vos fichiers ont été chiffrés. Pour les récupérer, envoyez 3 bitcoins à cette adresse. »
Bienvenue dans le monde merveilleux du ransomware, où un clic malheureux de Bernard de la compta met toute l’entreprise à genoux.
Payer : la tentation du raccourci (et de l’humiliation)
La pression est immense. Tout est à l’arrêt. Le DG veut que « ça reparte vite ». Le DSI commence à transpirer.
Alors, payer ?
C’est rapide. C’est discret. On imagine qu’après le virement crypto, tout reviendra à la normale. Spoiler : non.
- Aucun hacker ne garantit que la clé de déchiffrement fonctionne.
- Parfois, les fichiers sont déjà endommagés.
- D’autres fois, même après paiement, les données sont revendues quand même.
- Et dans 70% des cas, les victimes sont ciblées à nouveau.
Payer un ransomware, c’est comme négocier avec un pyromane qui a déjà cramé ta maison.
Prier très fort : stratégie de l’autruche numérique
L’alternative ? Faire comme si tout allait bien. Lancer des restaurations. Attendre. Espérer.
Mais sans plan sérieux, ça revient à pisser dans un Data Lake.
- Les sauvegardes sont parfois chiffrées elles aussi.
- Les PRA sont « préparés »… mais jamais testés.
- Le serveur de restauration… est lui-même compromis.
Résultat : on rame pendant des semaines à reconstruire les systèmes, les fichiers, les relations clients, et l’image de l’entreprise.
Ceux qui ont payé. Ceux qui ont prié. Ceux qui ont pleuré.
🔒 Colonial Pipeline (USA, 2021)
- Payé : 4,4 millions de dollars.
- Récupéré partiellement les fonds grâce au FBI.
- Système à genoux pendant plusieurs jours. Chaos dans la distribution de carburant.
🏙️ Ville de Baltimore (2019)
- Refus de payer 75 000 $.
- Coût final de la restauration : 18 millions $.
- Trois mois de paralysie administrative.
🏥 Hôpital de Corbeil-Essonnes (2022)
- Ransomware LockBit.
- Refus de payer. Données sensibles publiées sur le dark web.
- Retour aux dossiers papier pendant des semaines.
Le vrai problème : vous n’étiez pas prêts
Les ransomwares ne font pas que paralyser un SI. Ils révèlent cruellement l’état réel de votre cybersécurité.
- Des sauvegardes ? Oui, mais stockées sur le NAS… également chiffré.
- Un PRA ? Euh… le fichier est dans le serveur… actuellement inaccessible.
- MFA ? « On devait le mettre en place cette année. »
- Plan de réponse à incident ? « C’est dans les cartons, on attendait le retour du RSSI. »
Pas besoin d’un groupe APT russe. Une simple négligence suffit.
Ce qu’il faut vraiment faire (avant le jour fatidique)
💾 Sauvegardes déconnectées
- Hébergées ailleurs, testées chaque mois, vérifiées par des humains.
📜 PRA/PCA opérationnels
- Pas juste un document PDF dans un coin. Des tests réguliers, des exercices de crise.
👥 Formation continue
- Pas une vidéo de 7 minutes tous les deux ans. De vraies campagnes, avec tests de phishing, et cas réels.
🔐 MFA généralisé
- Pour tous les comptes critiques. Même pour Bernard. Surtout pour Bernard.
🚨 Plan de réponse à incident
- Connu de tous. Avec des contacts clairs, une procédure de décision, des relais juridiques et communication.
Et si ça arrive quand même ?
- Ne jamais paniquer (en apparence).
- Ne pas éteindre les serveurs n’importe comment : cela peut effacer des indices.
- Contacter l’ANSSI (en France) ou le CERT.
- Ne pas communiquer publiquement sans stratégie : les pirates observent aussi Twitter.
Conclusion : entre payer et prier, il y a anticiper
Le choix ne devrait jamais être : « paie ou subis ».
Il devrait être : « je suis prêt ou je suis foutu ».
Le vrai luxe en cybersécurité, ce n’est pas un firewall à 50 000 €, c’est un PRA testé, des backups sains, et une équipe qui sait quoi faire.
Et la prochaine fois que quelqu’un te dit : « on verra plus tard pour la cybersécurité », demande-lui combien de bitcoins il a sous la main.
