La TPE qui n’a pas survécu à son ransomware — chronique d’une mort annoncée

Le chiffre que personne ne veut entendre

Avant l'histoire, le chiffre. Selon une enquête conjointe CPME / Stoïk publiée en 2023, parmi les TPE/PME françaises victimes d'une cyberattaque significative :

• 60 % mettent la clé sous la porte dans les 18 mois
• 40 % des autres subissent des plans sociaux ou des cessions précipitées
• Seules environ 15 %reviennent à leur chiffre d'affaires pré-attaque sous 3 ans

Ces chiffres sont une estimation — la statistique sur la mortalité post-cyber reste compliquée à isoler proprement. Mais même en divisant par deux, on parle d'une probabilité de disparition très supérieure à la moyenne des entreprises de la même tranche, qui tourne autour de 30 % sur 5 ans tous secteurs confondus.

Un ransomware, ce n'est pas un sinistre dont on se remet comme d'un dégât des eaux. C'est un événement qui, s'il frappe une TPE non préparée, peut être terminal.

14 février 2025 — le clic

Marie (le prénom est changé) est assistante de gestion. Elle reçoit un email qui ressemble à une relance d'un fournisseur récurrent. Logo correct, signature plausible, ton habituel. La pièce jointe est un .xlsx nommé relance_fevrier_2025.xlsx.

Elle clique. Excel ouvre. Un bandeau jaune lui demande d'activer les macros « pour afficher le contenu correctement ». Elle clique sur « Activer le contenu ».

En 4 minutes, le ransomware (variante LockBit 3.0 selon le rapport d'intervention) chiffre 1,2 To de données sur le serveur partagé du réseau interne, plus deux disques externes branchés en USB sur le poste de Marie (les sauvegardes du compteur, justement). Demande de rançon affichée sur tous les écrans : 17 BTC ou les données partent en vente.

Au cours actuel : ~1,1 M€. Plus que la trésorerie de l'entreprise.

Jour 1 — le déni

Réflexe humain : « ça va se résoudre tout seul, on doit pouvoir redémarrer ». Le patron coupe internet, redémarre les machines. Les fichiers restent chiffrés.

Il appelle son prestataire informatique (un indépendant qui vient une demi-journée par mois pour la maintenance). Le prestataire arrive le lendemain. Il regarde, il dit « je ne sais pas faire ça, je vous donne le contact d'un spécialiste ».

Pendant ces 24 h, personne n'a appelé cybermalveillance.gouv.fr(gratuit, hotline État, mise en relation avec prestataires labellisés ExpertCyber). Personne n'a notifié la CNIL — alors que la base contenait des données personnelles de salariés et de clients. Le délai légal est de 72 h.

Personne n'a non plus déposé plainte. Sans plainte, pas de procédure pénale, pas d'avis ANSSI/police, et aucune chance de récupération via les programmes nationaux de déchiffrement (comme NoMoreRansom).

Jour 4 — le devis-massue

Le prestataire spécialiste arrive enfin. Audit rapide, verdict :

• Pas de sauvegarde déconnectée (les deux disques USB étaient branchés, donc chiffrés)
• Sauvegardes cloud OneDrive : activées sur 2 postes sur 13, jamais auditées, contenu partiel
• Système comptable Sage : licence à jour, mais aucun export récent — la base est dans les fichiers chiffrés
• CRM HubSpot : OK, hébergé chez l'éditeur — sauvé
• Fichiers de production (devis, plans, contrats) : tous chiffrés, irrécupérables sans clé

Devis du spécialiste pour tenter une reconstruction depuis les bribes OneDrive + Sage cloud + papier : 28 000 € HT, 6 semaines, succès partiel non garanti.

Devis d'un cabinet de négociation de rançon (légal, certaines assurances cyber le couvrent) : 8 000 € HT d'intervention + la rançon (négociable, généralement à 30 % du prix initial, soit ~330 k€ ici). Hors budget.

Jour 30 — la rampe descendante

L'entreprise tente la reconstruction. Six semaines deviennent quatorze. Les commandes en cours sont livrées en retard. Trois clients importants partent à la concurrence « le temps que ça revienne ». Ils ne reviennent pas.

La trésorerie pré-attaque permettait de tenir 4 mois sans chiffre d'affaires. La reconstruction en a coûté 3. Reste 1 mois de marge. Le patron prend un découvert bancaire, puis un PGE complémentaire, puis demande un délai à l'URSSAF.

En octobre 2025, premier cessation des paiements. Décembre : ouverture d'une procédure de redressement judiciaire. Janvier 2026 : liquidation. 13 personnes au chômage.

Ce qui aurait suffi — chiffré

On peut faire le calcul, exactement, de ce qu'il aurait fallu dépenser en amont pour rendre cette attaque non-terminale.

1. Sauvegarde 3-2-1 — coût annuel ~600 €

Trois copies des données, sur deux supports différents, dont une hors site et déconnectée (immutable backup). Un NAS Synology à 800 € + 2 disques externes alternés stockés au domicile du patron (~200 €) + un compte Backblaze B2 (~30 €/mois pour 2 To). Total : ~1 200 € + 360 €/an.

2. Sensibilisation employés — coût annuel ~400 €

Une session annuelle d'1 h sur la reconnaissance des emails de phishing, donnée par un prestataire local (à Marie, ça lui aurait coûté 30 secondes de doute en plus : « pourquoi cet email me demande d'activer les macros ? »). Coût par employé : ~30 €.

3. Antivirus & EDR sérieux — coût annuel ~1 000 €

Windows Defender + un EDR cloud type SentinelOne Singularity ou ESET PROTECT (~75 €/poste/an). Une bonne partie des ransomware modernes sont détectés au moment du dropper, pas après chiffrement. 13 postes × 75 € = ~975 €/an.

4. Désactivation des macros par GPO — coût 0 €

Politique Microsoft 365 : désactiver les macros pour les documents Office venus d'internet(zone Internet de la Mark of the Web). C'est une case à cocher. Microsoft recommande ce paramètre par défaut depuis 2022.

5. Audit cyber annuel — coût ~3 500 €

Une journée d'audit + livrable + recommandations priorisées par un consultant indépendant. 3 500 € HT. (C'est, au passage, l'ordre de grandeur de mon audit court.)

Total annuel pour éviter le drame

~5 700 €/an, soit 475 €/mois.Le coût d'un employé senior une demi-journéepar mois. L'entreprise dépensait 2 800 €/mois en abonnements SaaS divers, dont la moitié non-utilisés.

L’argument du « ça n’arrive qu’aux autres »

La rationalisation classique : « on est trop petits, personne ne nous cible ». C'est doublement faux.

D'abord, parce que les attaquants ne ciblent pas — ils scannent. Le ransomware-as-a-service est un modèle industriel : un kit est loué pour 500 $/mois, l'affilié envoie des phishing en masse, le « provider » prend 20 % des rançons. Aucune sélection de cible, juste un taux de retour. Vous êtes une adresse mail dans une liste de 12 millions.

Ensuite, parce que les TPE/PME sont précisément les cibles préférées : elles paient plus facilement (rançons moyennes 30-50 k€, suffisamment basses pour être payables, suffisamment hautes pour être rentables), elles n'ont pas d'équipe sécu, et elles ne portent pas plainte. C'est le segment de marché le plus profitable du cybercrime moderne.

La grande entreprise est trop bien défendue. Le particulier ne paie pas (ou paie 200 €). La PME est la vache à lait structurelle de l'industrie du ransomware.

La fin, et l’ouverture

Cette histoire n'est pas littéralement la mienne — c'est une composite de plusieurs missions post-incident où je suis arrivé trop tard. À chaque fois, le scénario est le même : un email, un clic, une cascade, une trésorerie qui n'encaisse pas.

Si vous dirigez une TPE et que vous lisez ça en vous disant « ça ne pourrait pas m'arriver », posez-vous la question honnêtement :

• Pouvez-vous, là, maintenant, restaurer l'intégralité de votre informatique à partir d'une sauvegarde déconnectéede moins de 24 h ?
• Vos employés ont-ils reçu une sensibilisation phishing dans les 12 derniers mois ?
• Savez-vous qui appeler à 22 h un dimanche soir si tous vos écrans affichent une demande de rançon ?

Si la réponse à l'une des trois est non ou j'hésite, vous êtes la prochaine. Pas forcément demain — mais statistiquement, oui.

Pour aller plus loin

• cybermalveillance.gouv.fr — guide gratuit « Que faire en cas d'attaque » et mise en relation avec prestataires labellisés
• CNIL — notifier une violation de données (obligation légale sous 72 h, gratuit, formulaire en ligne)
• NoMoreRansom.org — projet Europol/Kaspersky : outils de déchiffrement gratuits pour certaines variantes connues
• Guide sauvegarde 3-2-1 — la chose qui sépare un sinistre gérable d'une liquidation

Et concrètement, pour vous ?

Si vous voulez savoir où vous en êtes — sans engagement, sans jargon — prenez l'appel diagnostic de 45 min. Je vous pose une vingtaine de questions, je vous dis ce qui est urgent, ce qui peut attendre, et ce qui ne vous concerne pas. Gratuit.

Vous repartez avec une lecture honnête, même si on ne travaille pas ensemble derrière.