Ransomware en PME : arrêter de jouer avec la sauvegarde

En Île‑de‑France, beaucoup de PME continuent de traiter la sauvegarde de données comme une formalité comptable, alors que la menace ransomware est devenue industrielle. Cet article démonte les fausses bonnes idées et propose une stratégie concrète, exploitable avec un parc d'une cinquantaine de postes.

Pourquoi les PME sont devenues des cibles faciles

Les attaques par rançongiciel ne visent plus seulement les grands groupes. Les statistiques de l'ANSSI et Cybermalveillance.gouv.fr sont brutales : les petites structures sont massivement touchées, précisément parce qu'elles ont un parc informatique sous‑protégé.

Dans une TPE ou une PME francilienne typique, on retrouve souvent le même cocktail explosif :

• un serveur « historique » jamais vraiment ré‑audité ;
• un disque USB qui fait office de « sauvegarde » ;
• un prestataire lointain, peu transparent, qui intervient au coup par coup ;
• zéro test réel de restauration depuis des années.

Ce n'est pas de la négligence volontaire. C'est le résultat d'années de bricolage informatique, sur fond de pression budgétaire, dans des entreprises dont le métier n'est pas l'IT. Mais les ransomwares, eux, ne s'en préoccupent pas.

La fausse sécurité des sauvegardes bricolées

Le disque USB posé sur le serveur : un piège classique

On le voit encore partout en Île‑de‑France : un disque USB branché en permanence sur le serveur, avec une tâche de sauvegarde nocturne. Sur le papier, cela coche la case « backup ». En réalité, c'est une invitation ouverte pour un chiffreur de type ransomware.

Quand un rançongiciel frappe, il chiffre tout ce qui est accessible avec les droits de la machine compromise : disques internes, lecteurs réseaux, partages, NAS, et bien sûr ce fameux disque USB. Résultat : vos données de production et votre unique sauvegarde tombent en même temps.

Une stratégie de télésauvegarde professionnelle impose une isolation logique et physique des copies, avec chiffrement, redondance et supervision humaine. Tout le reste est de la poudre aux yeux.

Les NAS « magiques » et autres illusions de résilience

Autre scénario qu'on rencontre souvent lors d'un audit de parc informatique : un NAS acheté en grande surface pro, configuré en RAID 1, et baptisé un peu vite « notre sauvegarde ». Là encore, confusion totale entre haute disponibilité et sauvegarde.

Un RAID protège contre la panne physique d'un disque, pas contre :

• le chiffrement massif des fichiers par un malware ;
• la suppression accidentelle de données ;
• un vol ou un incendie dans vos locaux ;
• un collaborateur malveillant.

Un NAS peut avoir son utilité dans une architecture sérieuse, mais il ne remplace jamais un plan de sauvegarde pensé, testé, documenté. Là est toute la nuance que beaucoup d'intégrateurs se gardent bien d'expliquer.

Construire une vraie stratégie de sauvegarde anti‑ransomware

Appliquer, pour de bon, la règle 3‑2-1

La règle 3‑2-1 reste un socle solide pour les PME :

1. 3 copies de vos données (production + 2 copies minimum) ;
2. sur 2 types de supports différents (disque, cloud, bande, etc.) ;
3. dont 1 copie externalisée, hors de vos locaux.

Dans la pratique, pour une entreprise de 10 à 100 postes en région parisienne, cela se traduit souvent par :

• une sauvegarde locale rapide pour les restaurations courantes ;
• une sauvegarde télésauvegarde vers un datacenter français redondé ;
• une supervision hebdomadaire, humaine, comme le fait EPX Informatique sur ses contrats.

Ce schéma n'a rien de théorique. Il est déjà opérationnel chez des clients multi‑sites, dans des secteurs aussi variés que le juridique, le bâtiment ou la distribution.

Ne pas oublier le Cloud : Microsoft 365, Google Workspace, etc.

Erreur fréquente : croire que Microsoft 365, Google Workspace ou Dropbox « font la sauvegarde » à votre place. Non. Ils assurent une haute disponibilité de la plateforme, pas une sauvegarde indépendante de vos données.

Sur ce sujet, Microsoft est on ne peut plus clair dans sa documentation officielle sur le modèle de responsabilité partagée : la protection des données elles‑mêmes reste de la responsabilité du client.

C'est exactement pour cela que des solutions de sauvegarde Cloud à Cloud existent : elles permettent de restaurer une boîte mail, un SharePoint ou un Google Drive après un crypto‑locker, une suppression massive ou un incident chez le fournisseur.

Un cas concret : quand la sauvegarde vous sauve vraiment

Un cabinet d'expertise francilien face au mur

Imaginez un cabinet d'expertise comptable d'Île‑de‑France, une trentaine de postes, des applications métiers critiques, en pleine campagne de clôture. Un matin, impossible d'ouvrir les dossiers clients : toutes les données du serveur sont chiffrées, avec la note de rançon habituelle.

Dans ce cas précis, deux éléments ont évité le désastre :

• une sauvegarde locale quotidienne, isolée du domaine ;
• une télésauvegarde externalisée, vérifiée chaque semaine.

Le temps de nettoyage, réinstallation des serveurs, restauration des données et vérifications, l'équipe a certes perdu une journée de travail. Mais elle n'a perdu aucun dossier client. Sans cette double sauvegarde, le cabinet aurait dû reconstituer des années d'historique, avec tout ce que cela implique légalement.

L'épisode a aussi été l'occasion de renforcer d'autres volets : antivirus, pare‑feu, segmentation réseau et sensibilisation des collaborateurs à la fraude par facture et pièces jointes piégées.

Gouvernance, tests, documentation : les trois angles morts

Une sauvegarde qui n'est jamais restaurée n'existe pas

Le point aveugle le plus dangereux reste le test de restauration. Beaucoup d'entreprises se contentent de logs « OK » et d'un mail automatique de fin de tâche. C'est insuffisant. Une sauvegarde mal configurée peut tourner pendant des mois sans qu'on s'aperçoive qu'elle ne sauvegarde que la moitié du bon périmètre.

Au minimum, un responsable de la sécurité du système d'information devrait piloter :

• des tests de restauration partielle trimestriels (fichiers, base, VM) ;
• un test de restauration complète annuel, sur un environnement isolé ;
• une revue annuelle de la politique de rétention (30 jours, 6 mois, 1 an, 10 ans selon les données).

Ce travail peut être mené en interne, ou confié à un prestataire d'infogérance en Île‑de‑France qui documente réellement ses procédures.

Documenter pour ne pas dépendre d'une seule personne

Autre faiblesse récurrente : une seule personne connaît le fonctionnement de la sauvegarde. Quand elle quitte l'entreprise ou disparaît des radars, plus personne ne sait comment restaurer les données, ni où se trouvent les identifiants.

La bonne pratique est assez simple :

• rédiger une procédure de restauration pas à pas ;
• stocker les accès sensibles dans un coffre‑fort numérique ;
• prévoir une astreinte claire avec votre partenaire d'assistance informatique.

On ne mesure jamais autant l'importance de cette documentation qu'au matin d'une attaque. Autant l'écrire quand tout va bien.

Vers une approche plus adulte de la sauvegarde

On peut toujours espérer passer entre les gouttes. Mais miser la survie d'une entreprise sur un disque USB et un peu de chance n'est pas une stratégie, c'est un pari de casino. La réalité, c'est que la sauvegarde de données informatiques est devenue un sujet de direction générale, pas seulement d'« informaticien ».

Si votre dernière revue sérieuse de sauvegarde remonte à plus de deux ans, c'est probablement le moment de remettre le sujet à plat. Un audit de parc, une analyse de vos risques métiers, puis le déploiement d'une vraie télésauvegarde supervisée peuvent se planifier sans tout bouleverser.

Pour amorcer cette démarche, le plus simple reste souvent d'échanger avec une équipe d'ingénieurs spécialisés qui connaissent les contraintes des TPE et PME franciliennes. Prenez le temps de demander un devis détaillé et un état des lieux de vos sauvegardes actuelles via notre page Zone d'intervention. C'est souvent là que les angles morts les plus critiques apparaissent.