Ransomware et phishing : ce que tout dirigeant de PME doit savoir

Phishing et ransomware : de quoi parle-t-on ?

Avant d’examiner la marche à suivre pour se défendre contre ces menaces, il faut comprendre de quelle manière le phishing peut conduire à un ransomware.

Qu’est-ce que le phishing ?

Le phishing (hameçonnage) est une attaque d’ingénierie sociale dans laquelle un acteur malveillant envoie un message frauduleux pour amener sa cible à divulguer des données sensibles, à cliquer sur un lien malveillant ou à effectuer un paiement.

L’email est le canal le plus courant pour une violation. Le phishing peut également passer par SMS (smishing), un appel téléphonique (vishing), un QR code (quishing) ou une interface de discussion sur une plateforme d’entreprise.

Le phishing moderne est extrêmement convaincant. Avec l’IA générative, un attaquant peut rédiger un email de phishing crédible en quelques minutes. Selon l’ENISA Threat Landscape 2025, plus de 80 % des emails de phishing identifiés dans l’UE utilisaient du contenu généré par IA.

Qu’est-ce qu’un ransomware ?

Un ransomware (rançongiciel) est un type de logiciel malveillant qui prive une entreprise de l’accès à ses propres données. L’attaquant chiffre des fichiers, des serveurs ou des systèmes entiers, puis exige un paiement en échange de la clé de déchiffrement.

Aujourd’hui, les attaquants commencent aussi par dérober une copie des données et menacent de la publier si la rançon n’est pas payée. Cette pratique, appelée double extorsion, est désormais courante.

Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l’exfiltration de données sans chiffrement a progressé de 51 % en 2025, les groupes criminels trouvant cette approche plus facile à monétiser et plus difficile à détecter.

Pourquoi ces deux menaces dominent le paysage cyber

Le phishing est le point d’entrée le plus courant d’une cyberattaque contre votre entreprise. L’Agence européenne de cybersécurité (ENISA) indique que le phishing constitue le vecteur d’intrusion de la majorité des cyberattaques dans l’Union européenne.

Le ransomware est le logiciel malveillant le plus souvent déployé une fois les attaquants à l’intérieur, car c’est le moyen le plus direct de monétiser l’attaque.

Les plateformes Phishing-as-a-Service et Ransomware-as-a-Service permettent aujourd’hui à des criminels moins qualifiés de mener à grande échelle des campagnes sophistiquées. Des groupes établis comme LockBit, Akira ou Qilin fonctionnent comme de véritables entreprises, avec programmes d’affiliation et même un service client pour les victimes qui négocient le paiement.

Pourquoi les PME sont particulièrement vulnérables aux ransomwares

Les PME et les ETI sont des cibles privilégiées des attaques de phishing comme des ransomwares.

Pourquoi les PME sont ciblées :

• Ressources de sécurité limitées
• Sensibilisation des collaborateurs moindre
• Actifs numériques de valeur (données clients, propriété intellectuelle, etc.)
• Dépendance à des prestataires informatiques externes

Cette combinaison rend les PME plus faciles à compromettre et plus attrayantes une fois les attaquants à l’intérieur. Le paiement médian de rançon relevé dans le Verizon DBIR 2025 s’élève à 115 000 $, ce qui illustre l’impact financier matériel qu’un seul incident peut avoir sur une ETI.

L’impact financier et opérationnel d’une attaque par ransomware

Le coût réel d’une attaque par ransomware

La rançon que paie une entreprise pour récupérer ses données n’est pas le seul coût. Il faut y ajouter le coût de la réponse à incident, les frais juridiques, la notification aux clients, les amendes réglementaires, ainsi que des semaines ou des mois d’activité dégradée, de pertes commerciales et d’atteinte à la réputation.

Pour une PME française, les données de l’ANSSI et du CESIN situent le coût direct moyen d’un incident entre 50 000 € et 60 000 €, avec une entreprise sur huit subissant des pertes supérieures à 230 000 €.

Payer la rançon ne garantit pas que vous récupérerez vos données. Cela n’offre pas non plus la garantie que les criminels s’abstiendront de vendre les données dérobées à d’autres attaquants. Et chaque paiement perpétue le modèle économique criminel et provoque de nouvelles attaques. C’est pourquoi la plupart des agences nationales de cybersécurité, dont l’ANSSI en France, recommandent de ne pas payer. Selon le Verizon DBIR 2025, 64 % des victimes de ransomware refusent désormais de payer.

L’effet de long terme du phishing

Les dégâts du phishing ne se limitent pas au ransomware. Une attaque de phishing réussie peut conduire directement à une fraude au virement, à une compromission d’email professionnel (BEC) et au vol de données clients. Les identifiants et données personnelles dérobés se retrouvent souvent en vente sur le dark web, où ils alimentent de nouvelles attaques contre votre entreprise, vos collaborateurs et vos clients longtemps après la violation initiale.

L’impact réputationnel est plus difficile à mesurer et, pour les sociétés cotées, il se reflète rarement durablement dans le cours de bourse. Mais pour les PME et les ETI, les conséquences se jouent dans les relations avec les assureurs et avec vos clients.

Comment le phishing conduit au ransomware

Un incident par ransomware commence rarement par le ransomware. Il commence par un clic sur un lien dans un email de phishing, ou par un attaquant qui se connecte avec un mot de passe dérobé.

Une chaîne d’attaque typique ressemble à ceci :

• Un email de phishing ou un identifiant dérobé donne à l’attaquant un accès initial.
• L’attaquant établit une persistance, souvent via un outil d’accès à distance légitime que l’équipe sécurité ne détecte pas.
• L’attaquant se déplace latéralement dans le réseau, à la recherche de systèmes et de données à forte valeur.
• L’attaquant exfiltre ensuite des données sensibles, parfois sur plusieurs semaines.
• Le ransomware est alors déployé, ou un email d’extorsion est envoyé.

Quand le ransomware est détecté, l’attaquant est souvent à l’intérieur depuis plusieurs jours ou semaines, et le mal est fait. C’est pourquoi la sensibilisation des collaborateurs, l’authentification multifacteur et la surveillance des identifiants constituent des premières lignes de défense essentielles.

Construire la résilience

Les personnes et les identifiants

De nombreuses attaques de phishing et par ransomware exploitent un petit nombre de faiblesses récurrentes : mots de passe dérobés, logiciels non patchés et lacunes dans la sensibilisation cyber des collaborateurs.

L’authentification multifacteur est un contrôle important. Les passkeys ou les jetons matériels sont plus robustes que les codes SMS, que les attaquants savent désormais contourner. Des politiques de mots de passe robustes, la révocation rapide des accès des collaborateurs qui partent et une segmentation claire entre comptes administrateurs et standards réduisent également le nombre de personnes ayant accès aux données sensibles.

Le patching est tout aussi important. De nombreuses attaques par ransomware exploitent des vulnérabilités connues pour lesquelles un correctif est disponible depuis des mois. Une cadence régulière de patching ferme cette brèche.

La formation de sensibilisation des collaborateurs est efficace lorsqu’elle est régulière, adaptée aux rôles et testée par de véritables simulations de phishing. Selon le rapport Hiscox 2025, 70 % des PME augmentent désormais leurs investissements dans la sensibilisation cyber.

Sauvegardes et restauration

La capacité à restaurer sans payer détermine presque tout le coût d’une attaque par ransomware. Les entreprises disposant de sauvegardes testées, hors ligne ou immuables se remettent en quelques jours. Celles qui en sont dépourvues doivent choisir entre payer un groupe criminel sans garantie de récupérer leurs données, ou reconstruire leurs systèmes depuis zéro pendant des semaines.

Les sauvegardes seules ne suffisent pas. Elles doivent être testées régulièrement, car les sauvegardes qui échouent en situation de restauration sont fréquentes, et elles doivent être isolées du réseau de production afin que les attaquants ne puissent pas les chiffrer ou les supprimer avec le reste. Un plan de réponse à incident documenté, exercé au moins une fois par an, est ce qui transforme une stratégie de sauvegarde en véritable résilience.

L’exposition liée aux tiers

Les attaquants atteignent de plus en plus les PME via leurs fournisseurs. Si un fournisseur a accès à vos systèmes, qu’un compte email d’un prestataire est compromis ou qu’une connexion à votre ERP existe, son exposition au phishing devient la vôtre.

Les ETI sont particulièrement vulnérables sur ce point, car leurs chaînes d’approvisionnement sont longues et leur gestion du risque cyber tiers n’est souvent pas fondée sur le risque. Une revue de base du risque tiers, ciblée sur les fournisseurs disposant d’un accès privilégié à vos données et à vos systèmes, est l’un des investissements au retour le plus élevé qu’une PME puisse réaliser.

Traiter le risque cyber comme une décision métier

Le phishing et le ransomware sont des risques opérationnels et financiers. Pour une PME, un seul incident peut signifier plusieurs semaines d’activité perturbée, des contrats perdus et une demande de rançon supérieure au budget annuel de cybersécurité.

La plupart des dirigeants de PME ne savent pas répondre à trois questions élémentaires sur leur exposition. Où l’entreprise risque-t-elle le plus d’être attaquée ? Combien coûterait une attaque réussie en euros ? Quels contrôles réduiraient ce coût le plus, pour le moindre investissement ? Sans ces réponses, les décisions de cybersécurité sont prises à l’instinct, sur la recommandation du fournisseur présent, ou pas du tout.

Une évaluation quantifiée du risque cyber change la donne. Elle met un chiffre sur l’exposition, classe les contrôles par impact financier et donne à l’équipe dirigeante une base pour décider ce qu’il faut financer et ce qu’il faut différer.