Le scénario se répète chaque semaine dans des PME de toutes tailles : un clic sur une pièce jointe, un accès RDP mal sécurisé, un mot de passe réutilisé — et en quelques heures, les fichiers sont chiffrés. La production s’arrête. Les serveurs ne répondent plus. L’équipe est paralysée.
Ce qui détermine la suite n’est pas l’antivirus que vous aviez installé. C’est la sauvegarde que vous aviez — ou que vous n’aviez pas.
Les premières 72 heures sont décisives
Dans les premières heures suivant une attaque ransomware, deux trajectoires se dessinent.
Entreprise A — sauvegarde propre et testée. L’équipe isole les machines touchées, contacte son prestataire, identifie le point de restauration le plus récent non compromis. En 4 à 24 heures selon la volumétrie, les systèmes critiques remontent. La semaine s’achève avec quelques jours de données perdues et des équipes sous pression — mais l’activité reprend.
Entreprise B — sauvegarde absente, corrompue ou non testée. L’équipe découvre que la sauvegarde était chiffrée en même temps que le reste (le ransomware a attendu d’infiltrer les sauvegardes réseau avant de s’activer). Ou que le dernier test de restauration date de 18 mois. Ou qu’il n’y a jamais eu de test. Les options sont alors : payer la rançon (sans garantie de récupération), faire appel à des spécialistes en forensique (coût : 20 000 à 150 000 €), ou reconstruire de zéro.
Selon les données de l’ANSSI et des assureurs cyber, plus de 60 % des PME touchées par un ransomware n’ont pas repris une activité normale dans les 30 jours.
Ce qui rend une sauvegarde résiliente face au ransomware
Toutes les sauvegardes ne se valent pas face à cette menace. Les ransomwares modernes prennent le temps d’explorer le réseau avant de s’activer — parfois plusieurs semaines — précisément pour atteindre et chiffrer les sauvegardes accessibles depuis les machines infectées.
Une sauvegarde résiliente repose sur trois piliers :
Isolation physique ou logique. Les sauvegardes ne doivent pas être accessibles en écriture depuis les systèmes de production. Un partage réseau monté en permanence sur le serveur de fichiers n’est pas une sauvegarde — c’est une cible supplémentaire.
Rétention suffisante. Un ransomware peut rester dormant plusieurs jours avant activation. Une rétention de 7 jours seulement peut ne pas suffire. La règle courante est 30 jours minimum pour les données critiques.
Immuabilité. Certaines solutions permettent de rendre les sauvegardes immuables pendant une durée définie — aucune modification ou suppression n’est possible, même avec les droits administrateur. C’est aujourd’hui la protection la plus solide contre les ransomwares ciblant les sauvegardes.
Le vrai problème : des sauvegardes non testées
Une sauvegarde qui n’a jamais été restaurée est une hypothèse, pas une protection.
Les raisons pour lesquelles les tests sont rarement pratiqués : ils demandent du temps, ils nécessitent un environnement de test isolé, et en l’absence d’incident, ils semblent superflus. Jusqu’au jour où ils ne le sont plus.
Les problèmes couramment découverts lors du premier test de restauration en situation réelle :
- Sauvegardes incomplètes (répertoires exclus par erreur de configuration)
- Erreurs silencieuses non remontées (jobs marqués “succès” mais données corrompues)
- Durées de restauration réelles très supérieures aux estimations
- Dépendances non sauvegardées (certificats, configurations, bases de données annexes)
Un test de restauration annuel est un minimum. Trimestriel pour les environnements critiques.
La règle 3-2-1 : simple à énoncer, rare à appliquer correctement
La règle 3-2-1 est un standard reconnu en matière de sauvegarde :
- 3 copies des données
- sur 2 supports différents
- dont 1 hors site
En pratique, peu de PME l’appliquent réellement. La version courante est plutôt : 1 copie locale (le NAS) + une synchronisation cloud du NAS — qui reste accessible depuis le réseau. Ce n’est pas 3-2-1 ; c’est une seule copie en deux endroits, les deux compromettables simultanément.
Le “hors site” de la règle 3-2-1 doit être airgapped ou immuable : une copie que l’attaquant ne peut pas atteindre depuis votre réseau.
Clients infogérés Heavy Mind
Les environnements sous contrat incluent une sauvegarde managée avec stockage sur notre infrastructure cloud en France, rétention adaptée aux contraintes métier, et tests de restauration périodiques planifiés. En cas d’incident, nos équipes coordonnent la restauration sans que vous ayez à piloter la situation dans l’urgence.
Vous n’avez pas de sauvegarde managée ?
Un incident ransomware n’est pas une question de “si” mais de “quand”. Heavy Mind peut vous aider à :
- Auditer votre dispositif de sauvegarde actuel : couverture, rétention, isolation, dernière restauration testée
- Mettre en place une sauvegarde managée : configuration, surveillance quotidienne, alertes en cas d’échec, tests de restauration périodiques
- Définir un plan de reprise d’activité adapté à votre contexte et vos contraintes de continuité
Parlons de vos besoins et construisons ensemble la solution adaptée.
Nous contacterSources : ANSSI — Panorama de la cybermenace 2025 · Allianz Risk Barometer 2026 · Coveware Ransomware Report Q1 2026