Ransomware en 2026 : les 4 réflexes qui sauvent une PME

Sur les douze derniers mois, nous sommes intervenus sur une dizaine d’incidents ransomware chez des PME de moins de 80 employés en Valais, dans le Chablais et en Suisse romande. Aucune n’avait imaginé qu’elle serait concernée, toutes ont remis à jour, après coup, des conclusions évidentes. Ce billet résume les quatre réflexes qui auraient suffi, dans la grande majorité des cas, à éviter l’incident ou à le contenir.

Bonne nouvelle : ces réflexes ne coûtent ni un demi-million, ni un poste à plein temps. Ils tiennent dans un trimestre de travail bien priorisé.

1. Activer le MFA partout, sans exception

L’authentification à double facteur (MFA) reste, en 2026, la mesure qui a le meilleur ratio coût/efficacité dans la sécurité d’une PME. Microsoft a documenté que l’activation du MFA bloque plus de 99 % des compromissions de comptes, y compris ceux dont le mot de passe a fuité.

Concrètement, dans une PME romande typique, il faut activer le MFA sur :

• Tous les comptes Microsoft 365 (utilisateurs et admins, sans exception)
• Les accès distants : VPN, RDP, Citrix, plateformes RH
• Les outils SaaS critiques : comptabilité, CRM, banque en ligne
• Les comptes administrateurs locaux des serveurs et des firewalls

Le coût est nul (le MFA est inclus dans toutes les licences Microsoft 365), le déploiement prend une à deux semaines, et la résistance des utilisateurs est généralement faible si on choisit l’application Microsoft Authenticator plutôt que les SMS, moins intrusive, plus rapide à valider.

2. Sauvegarder, tester, déconnecter

Une PME sur deux que nous auditons découvre, à la première restauration de test, que sa sauvegarde ne fonctionne pas réellement : fichiers manquants, base de données corrompue, sauvegardes de logs au lieu des données métier. Une sauvegarde non testée n’est pas une sauvegarde, c’est une fiction confortable.

Le schéma de référence reste la règle 3-2-1 :

• 3 copies de vos données (la production + 2 sauvegardes)
• 2 supports différents (un NAS local + un cloud externe par exemple)
• 1 copie déconnectée ou immuable (hors d’atteinte du ransomware)

Le point crucial est cette dernière copie : si elle est connectée en permanence à votre réseau, un ransomware moderne la chiffrera comme le reste. Une copie hors site (Veeam Cloud, Synology C2, Azure immutable backup) ou un disque déconnecté physiquement reste votre filet de sécurité ultime.

Et surtout : une restauration test par mois, à la main, sur une machine séparée. Vous saurez si votre sauvegarde tient, et vos équipes auront répété le geste avant le jour où il faudra le faire sous pression.

3. Appliquer les mises à jour sous 30 jours

Les attaquants exploitent rarement des vulnérabilités inconnues. Dans 80 % des incidents que nous voyons, la faille utilisée avait un correctif disponible depuis plus de trois mois. Le ransomware n’est pas un coup de génie technique, c’est l’exploitation industrielle de portes qu’on a laissées ouvertes.

Le bon réflexe : moins de 30 jours entre la publication d’un correctif critique et son application sur votre parc. Cela implique :

• Une supervision qui détecte les machines en retard
• Un processus de mise à jour rapide (idéalement automatisé hors heures de bureau)
• Une attention particulière aux équipements oubliés : firewalls, NAS, imprimantes connectées, caméras IP

Les firewalls et NAS sont particulièrement à risque parce qu’ils sont exposés en frontal sur Internet, et qu’on les oublie facilement entre deux interventions. Une revue trimestrielle de tous les équipements réseau de votre parc est un investissement qui paie.

4. Former l’équipe au phishing : et la tester

Plus de 80 % des incidents de cybersécurité partent d’un clic humain : un mail apparemment légitime, une pièce jointe ouverte, un mot de passe entré sur une page imitant Microsoft 365. Aucune solution technique ne couvre complètement ce vecteur, la formation des utilisateurs reste la seule défense.

Notre approche, qui a fait ses preuves dans des PME romandes de toutes tailles :

1. Une session initiale de 90 minutes, en présentiel ou en visio, avec des exemples concrets de phishing en français visant des entreprises suisses
2. Une simulation de phishing trimestrielle, ciblée et progressive en difficulté
3. Un feedback individuel aux personnes qui cliquent, sans punition mais avec une explication courte

Le taux de clic sur phishing dans une PME non formée tourne autour de 30 %. Avec ce dispositif, il tombe à moins de 5 % en six mois, et reste bas tant que les simulations continuent.

Ce que ça donne en pratique

Imaginons une PME valaisanne de 25 collaborateurs. Coût total des quatre mesures :

• MFA : 0 CHF (inclus dans Microsoft 365), 2 jours de déploiement
• Sauvegardes 3-2-1 testées : 1 200 à 2 400 CHF/an pour le cloud externe + 1 jour/mois de test
• Mises à jour < 30 jours : intégrées à votre infogérance, généralement sans surcoût
• Formation phishing : 800 à 1 500 CHF/an

Total : autour de 4 000 CHF/an, soit 160 CHF par collaborateur.

Le coût moyen d’un incident ransomware dans une PME suisse de la même taille tourne entre 50 000 et 200 000 CHF tout compris (rançon éventuelle, perte d’activité, restauration, communication, prime d’assurance). Le calcul est sans appel.

---

Vous voulez évaluer où vous en êtes sur ces quatre points ? Notre audit de cybersécurité pour PME en Valais couvre exactement ces fondamentaux, en deux jours, sans engagement, avec un rapport priorisé pour les semaines qui suivent.