Si un ransomware a chiffré vos fichiers, ne payez pas la rançon immédiatement : déconnectez l'appareil infecté du réseau (Wi-Fi et câble Ethernet) sans nécessairement l'éteindre, ne touchez à rien d'autre sur cet appareil, et contactez un technicien certifié ou votre équipe TI avant toute autre décision. Payer ne garantit pas la récupération de vos données.
C'est le réflexe le plus difficile à avoir en pleine panique : ne rien faire de précipité. Un écran qui affiche soudainement une demande de rançon, des fichiers qui portent maintenant une extension inconnue, une entreprise entière incapable d'ouvrir ses dossiers clients — la première impulsion est de tout essayer en même temps : éteindre, redémarrer, payer, appeler tout le monde à la fois. C'est précisément ce qu'il ne faut pas faire. Chaque minute compte, mais elle compte pour poser les bonnes actions dans le bon ordre, pas pour agir vite et mal.
Ce guide a été rédigé par l'équipe technique d'IT Cares à partir des interventions réelles menées auprès de particuliers et de PME québécoises touchés par un rançongiciel. Il couvre les 60 premières minutes critiques, les raisons pour lesquelles le paiement de la rançon reste une très mauvaise option, le rôle des sauvegardes dans une récupération réussie, et les différences essentielles entre une attaque personnelle et une attaque ciblée contre une entreprise.
Les 3 réflexes à retenir dès maintenant
1. Déconnectez l'appareil du réseau (Wi-Fi + Ethernet). 2. Ne payez pas la rançon, peu importe la pression exercée par le compte à rebours affiché à l'écran. 3. Appelez un expert avant de redémarrer, de restaurer une sauvegarde ou de prendre toute décision irréversible. Le reste de ce guide détaille chacune de ces étapes.
Que faire dans les 60 premières minutes
Voici, dans l'ordre, les actions à poser dès que vous constatez qu'un rançongiciel a chiffré vos fichiers — que vous soyez un particulier chez vous ou un employé au bureau. L'ordre est important : certaines actions (comme redémarrer ou brancher une sauvegarde) peuvent aggraver la situation si elles sont posées trop tôt.
Déconnectez l'appareil du réseau immédiatement
Débranchez le câble Ethernet et désactivez le Wi-Fi (et le Bluetooth) de l'appareil touché. C'est l'action la plus importante et la plus urgente : elle stoppe la propagation vers d'autres appareils, serveurs ou lecteurs réseau, et coupe la communication entre le rançongiciel et le serveur de contrôle des pirates.
Ne redémarrez pas l'ordinateur sans avis d'expert
Si le chiffrement semble encore en cours (des fichiers disparaissent ou changent d'extension sous vos yeux), mettez l'appareil en veille prolongée plutôt que de l'éteindre complètement — cela interrompt le processus tout en préservant la mémoire vive, qui peut parfois contenir des éléments utiles à un outil de déchiffrement. Si le chiffrement semble déjà terminé, laissez simplement l'appareil allumé, déconnecté, et attendez l'avis d'un technicien avant de redémarrer.
Ne payez pas la rançon
Même si un compte à rebours menaçant s'affiche à l'écran, résistez à la pression. Le paiement ne garantit ni la remise d'une clé de déchiffrement fonctionnelle, ni l'absence d'une nouvelle attaque. Nous détaillons les raisons complètes plus bas dans ce guide.
Photographiez l'écran de rançon et notez les détails
Avec votre téléphone (pas avec l'appareil infecté), prenez une photo claire du message de rançon : nom de la variante si elle est affichée, adresse de portefeuille en cryptomonnaie, adresse courriel de contact des pirates, et l'extension ajoutée à vos fichiers chiffrés (ex. : .locked, .encrypted, .lockbit). Ces détails permettent d'identifier la variante exacte et de vérifier si un outil de déchiffrement gratuit existe déjà.
Isolez les autres appareils et le réseau (contexte PME)
Si vous êtes en entreprise, ne vous arrêtez pas à l'appareil infecté. Déconnectez immédiatement les serveurs de fichiers, le NAS, les postes voisins et tout partage réseau actif tant que la portée de l'infection n'est pas confirmée. Un rançongiciel moderne cherche activement des lecteurs mappés et des dossiers partagés pour maximiser les dégâts.
Contactez un technicien certifié
Un expert en récupération peut identifier la variante en quelques minutes, évaluer s'il existe un outil de déchiffrement gratuit publié par des chercheurs en sécurité, et déterminer la meilleure stratégie avant que vous ne preniez une décision irréversible. IT Cares offre un diagnostic téléphonique gratuit au 1 (888) 711-9428.
Vérifiez l'état de vos sauvegardes
Identifiez toute sauvegarde qui n'était pas connectée au moment de l'infection : disque externe débranché, sauvegarde infonuagique avec historique de versions, copie hors site. Ne branchez rien directement à l'appareil infecté avant qu'un technicien confirme que celui-ci est sous contrôle.
Changez vos mots de passe critiques depuis un appareil propre
Utilisez votre téléphone ou un autre ordinateur non touché pour changer les mots de passe de vos comptes sensibles — courriel principal, services bancaires, gestionnaire de mots de passe — au cas où des identifiants auraient été volés avant même le chiffrement (plusieurs attaques modernes exfiltrent des données avant de chiffrer).
Documentez l'incident et envisagez un signalement
Notez l'heure de découverte, les symptômes observés et chaque action posée. Signalez l'incident au Centre canadien pour la cybersécurité et à votre assureur si vous détenez une cyber-assurance — cette documentation est souvent exigée pour toute réclamation.
Ransomware en cours ? Intervention immédiate.
Nos techniciens certifiés bilingues diagnostiquent la situation par téléphone gratuitement, identifient la variante et vous guident étape par étape — à distance ou sur place à Montréal. Aucune décision hâtive, aucun frais si le problème n'est pas résolu.
Comment un ransomware infecte un système
Comprendre comment un rançongiciel s'introduit permet non seulement de mieux réagir aujourd'hui, mais surtout d'éviter une récidive. Dans la grande majorité des cas traités par nos techniciens, l'infection provient de l'une de ces quatre voies.
L'hameçonnage (phishing)
C'est de loin la porte d'entrée la plus fréquente, autant pour les particuliers que pour les entreprises. Un courriel qui imite une facture, un suivi de livraison, une demande de la direction ou une alerte bancaire pousse la victime à cliquer sur un lien ou à ouvrir une pièce jointe. Le rançongiciel s'installe silencieusement, parfois avec un délai de plusieurs jours ou semaines avant le déclenchement du chiffrement — le temps pour les attaquants de cartographier le réseau et de repérer les sauvegardes à neutraliser en premier.
Les pièces jointes et macros malveillantes
Les documents Office (Word, Excel) contenant des macros malveillantes restent un vecteur classique. Le fichier semble légitime — souvent un faux relevé, un faux contrat ou une fausse soumission — et demande à l'utilisateur d'« activer le contenu » pour afficher correctement le document. C'est précisément cette activation qui exécute le code malveillant. Les archives compressées (.zip, .rar) protégées par mot de passe (fourni dans le courriel pour contourner les filtres antivirus) sont une variante de plus en plus courante.
Le RDP (Bureau à distance) non sécurisé
C'est la voie privilégiée pour les attaques ciblées contre les entreprises. De nombreuses PME laissent le port RDP (3389) ouvert sur Internet pour permettre le télétravail, souvent avec un mot de passe faible ou réutilisé. Des robots automatisés scannent Internet en continu à la recherche de ces ports ouverts, puis tentent des combinaisons de mots de passe (attaque par force brute) jusqu'à obtenir un accès. Une fois à l'intérieur, l'attaquant a un accès direct au système, désactive l'antivirus, supprime les sauvegardes locales, puis déclenche le chiffrement — souvent la nuit ou la fin de semaine pour maximiser les dégâts avant qu'une intervention humaine soit possible.
Logiciels piratés, fausses mises à jour et clés USB
Les cracks de logiciels, les générateurs de clés (« keygens ») et les fausses mises à jour de logiciels populaires (lecteur vidéo, navigateur, Adobe) téléchargés hors des sites officiels sont une source fréquente d'infection chez les particuliers. Les clés USB inconnues branchées par curiosité, ainsi que les vulnérabilités non corrigées dans des systèmes d'exploitation ou logiciels obsolètes (Windows non mis à jour, versions de serveur en fin de vie), complètent le tableau des portes d'entrée les plus courantes.
Le point commun : l'erreur humaine reste centrale
Peu importe la technique, la grande majorité des attaques réussies exploitent un moment d'inattention ou une négligence de configuration — un clic trop rapide, un mot de passe réutilisé, une mise à jour reportée. C'est une bonne nouvelle : cela signifie que la formation des employés, l'authentification à deux facteurs et une politique de mise à jour rigoureuse réduisent radicalement le risque.
Chez les petites entreprises québécoises que nous accompagnons, un facteur aggravant revient constamment : l'absence d'une personne dédiée à la sécurité informatique. Le propriétaire ou un employé polyvalent gère les courriels, la facturation, les réseaux sociaux et, accessoirement, l'informatique — sans le temps ni la formation pour repérer les signaux d'alarme d'un courriel frauduleux ou pour fermer un port réseau resté ouvert par défaut. Ce n'est pas un manque de vigilance individuelle, c'est un manque structurel de ressources dédiées, et c'est exactement ce que couvrent des services d'infogérance externalisés : une surveillance continue qui ne dépend pas de la disponibilité d'une seule personne à l'interne.
Pourquoi il ne faut jamais payer la rançon
La pression psychologique exercée par un écran de rançon est réelle et délibérée : compte à rebours, menace de destruction des fichiers, parfois menace de publication de données volées (double extorsion). Malgré cette pression, les corps policiers, les experts en cybersécurité et les compagnies d'assurance déconseillent presque unanimement le paiement, pour des raisons concrètes.
Le taux de récupération complète après paiement est loin d'être garanti. Plusieurs rapports annuels sur la cybercriminalité publiés par des éditeurs de sécurité et des organismes de lutte contre le crime financier convergent vers un même constat : une proportion importante des victimes qui paient ne récupèrent pas l'intégralité de leurs fichiers, en raison d'outils de déchiffrement mal conçus, de fichiers corrompus pendant le chiffrement, ou simplement parce que les attaquants ne fournissent rien après paiement. Il n'existe aucune garantie contractuelle avec un groupe criminel.
Payer vous identifie comme une cible rentable. Les groupes de rançongiciels opèrent souvent comme des entreprises, avec des listes de victimes « qui paient ». Des cas documentés montrent des victimes ayant payé une première fois être visées à nouveau, parfois par le même groupe sous un nom différent, dans les mois suivants.
Payer finance directement des activités criminelles, incluant potentiellement d'autres formes de cybercriminalité, voire dans certains cas des organisations sous sanctions internationales — ce qui peut exposer l'entreprise payante à des risques légaux additionnels selon la juridiction et l'identité du groupe derrière l'attaque.
Le paiement ne répare pas la cause du problème. Si la faille qui a permis l'intrusion (RDP non sécurisé, mot de passe compromis, vulnérabilité non corrigée) n'est pas corrigée, rien n'empêche une nouvelle attaque — payée ou non.
La vraie question n'est pas « combien coûte la rançon » mais « quelles sont mes vraies options »
Avant même d'envisager un paiement, un technicien peut vérifier : l'existence d'un outil de déchiffrement gratuit pour la variante identifiée, la disponibilité d'une sauvegarde saine, et la possibilité de récupérer des versions antérieures de fichiers via les clichés instantanés (VSS) ou l'historique de fichiers, s'ils n'ont pas été supprimés par le rançongiciel. Ces trois vérifications prennent souvent moins de temps qu'une négociation avec des criminels.
Le rôle critique des sauvegardes : la règle du 3-2-1
S'il y a une seule leçon à retenir de ce guide pour l'avenir, c'est celle-ci : une sauvegarde saine et isolée est, dans l'immense majorité des cas, le seul moyen fiable à 100 % de récupérer ses fichiers après un ransomware — sans négociation, sans paiement, sans dépendre de la bonne foi de criminels.
La règle du 3-2-1 est le standard de l'industrie en matière de sauvegarde, et elle est volontairement simple à retenir :
- 3 copies de vos données au total : l'original plus au moins deux copies.
- 2 supports différents : par exemple un disque dur externe et un service infonuagique — jamais deux copies sur le même type de support, qui partagerait les mêmes points de défaillance.
- 1 copie hors site (ou hors ligne) : une copie physiquement ailleurs qu'à votre domicile ou bureau, ou déconnectée en permanence du réseau — c'est la copie qui vous sauve si un incendie, un vol, ou un ransomware touche votre emplacement principal.
Le détail qui change tout face à un ransomware : une sauvegarde connectée en permanence n'est pas une vraie protection. Un disque externe branché en continu, ou un dossier réseau synchronisé automatiquement, peut être chiffré exactement comme les fichiers originaux — de nombreuses variantes de rançongiciels ciblent spécifiquement les lecteurs de sauvegarde accessibles. La copie « 1 » de la règle 3-2-1 (hors ligne ou hors site) est celle qui doit rester déconnectée entre les sauvegardes, ou hébergée par un service avec conservation de versions immuables (impossibles à écraser ou supprimer, même avec des identifiants volés).
Concrètement, à quoi ressemble un 3-2-1 réaliste ?
Pour un particulier : vos fichiers sur l'ordinateur, une copie automatique dans un service infonuagique grand public, et un disque externe débranché après chaque sauvegarde hebdomadaire. Pour une PME : les données sur le serveur, une copie locale sur un NAS distinct avec rétention de versions, et une sauvegarde infonuagique avec versions immuables gérée par un partenaire TI — c'est exactement ce que couvre notre service de cloud et sauvegarde d'entreprise.
Votre PME n'a pas encore de sauvegarde 3-2-1 ?
IT Cares met en place une stratégie de sauvegarde et de continuité d'affaires adaptée à votre entreprise — pour ne plus jamais avoir à considérer le paiement d'une rançon comme une option.
Après la crise immédiate : les 48 premières heures
Une fois le choc initial passé, la déconnexion effectuée et un technicien contacté, une deuxième phase commence — souvent négligée parce que la pression semble retomber dès que les fichiers ne sont plus en train de se chiffrer sous vos yeux. C'est pourtant dans ces 48 heures que se joue la qualité de la récupération à long terme.
Ne présumez jamais qu'un appareil est « propre » simplement parce que la demande de rançon a disparu de l'écran. Supprimer la note de rançon ou même l'exécutable visible du rançongiciel ne signifie pas que la porte dérobée utilisée pour l'intrusion est refermée, ni que d'autres composants malveillants (voleurs de mots de passe, outils d'accès à distance dissimulés) ne sont pas restés actifs. La pratique recommandée par nos techniciens, particulièrement en contexte d'entreprise, est de réinstaller complètement le système d'exploitation à partir de zéro plutôt que de simplement « nettoyer » un système compromis — c'est la seule façon d'avoir une certitude raisonnable qu'aucune trace malveillante ne subsiste.
Ne restaurez une sauvegarde que dans un environnement confirmé sain. Restaurer des fichiers sur un système encore compromis, ou restaurer une sauvegarde elle-même compromise (certaines attaques modernes dorment plusieurs semaines avant de se déclencher, ce qui signifie que vos sauvegardes récentes peuvent déjà contenir le rançongiciel en dormance), peut relancer tout le cycle. Un technicien vérifie l'intégrité et la date de la sauvegarde avant toute restauration.
Corrigez la faille qui a permis l'intrusion avant de reconnecter quoi que ce soit au réseau. Si un port RDP était exposé, fermez-le ou protégez-le par VPN et authentification à deux facteurs. Si un mot de passe a été compromis, changez-le partout où il était réutilisé. Si une mise à jour de sécurité manquante a été exploitée, appliquez-la avant la remise en production — pas après.
Pour les entreprises : évaluez vos obligations de notification. Si des données personnelles de clients, d'employés ou de partenaires ont pu être consultées ou exfiltrées avant le chiffrement (ce qui est fréquent dans les attaques ciblées à double extorsion), une notification peut être légalement requise auprès des personnes concernées et des autorités compétentes. Cette étape est délicate et gagne à être encadrée par un conseiller juridique en parallèle du volet technique.
Enfin, profitez de cette période pour planifier un audit de sécurité complet plutôt que de vous contenter d'un retour à la normale identique à l'état d'avant l'attaque — l'objectif n'est pas seulement de reconstruire ce qui existait, mais de corriger les failles qui ont permis l'incident en premier lieu.
Ransomware personnel vs attaque ciblée contre une PME
Toutes les attaques ransomware ne se ressemblent pas. La distinction entre une infection opportuniste sur un ordinateur personnel et une intrusion ciblée dans le réseau d'une entreprise change complètement la réponse à apporter.
| Critère | Ransomware personnel | Attaque ciblée PME |
|---|---|---|
| Point d'entrée typique | Pièce jointe, logiciel piraté, clé USB | RDP non sécurisé, hameçonnage ciblé, identifiants volés |
| Préparation de l'attaque | Automatisée, générique, quasi instantanée | Reconnaissance du réseau sur plusieurs jours ou semaines |
| Cible du chiffrement | Un seul appareil | Serveurs, postes multiples, sauvegardes réseau |
| Double extorsion (vol + menace de publication) | Rare | Fréquente, surtout pour les données clients/financières |
| Montant de la rançon demandée | Quelques centaines de dollars | Plusieurs milliers à plusieurs centaines de milliers de dollars |
| Impact principal | Perte de fichiers personnels | Interruption d'activité, perte de revenus, atteinte à la réputation |
Pour un particulier, l'urgence est surtout émotionnelle : photos de famille, documents administratifs, projets personnels. La bonne nouvelle est que la portée est généralement limitée à un seul appareil, ce qui simplifie l'intervention.
Pour une PME, l'enjeu dépasse largement la simple perte de fichiers : chaque heure d'interruption a un coût direct en revenus perdus, en heures de travail improductives, et potentiellement en obligations légales si des données de clients sont concernées. C'est pourquoi les entreprises bénéficient d'un plan de réponse aux incidents préparé à l'avance plutôt qu'improvisé en pleine crise — un service que couvre notre offre d'audit de sécurité informatique.
Combien coûte une attaque ransomware pour une PME au Canada ?
Il est difficile d'avancer un chiffre unique tant les cas varient — un ransomware qui touche un seul poste sans données critiques n'a rien à voir avec une intrusion qui paralyse un serveur de production pendant plusieurs jours. Cela dit, les rapports annuels sur la cybercriminalité publiés par des éditeurs de sécurité, des assureurs et des organismes gouvernementaux canadiens s'accordent sur la structure des coûts, même si les montants précis varient d'une source à l'autre. Voici les postes de coûts qui reviennent systématiquement :
- Interruption d'activité : souvent le poste de coût le plus élevé, largement supérieur au montant de la rançon elle-même — chaque jour sans accès aux systèmes de facturation, de production ou de service client se traduit en revenus perdus.
- Intervention technique et récupération : diagnostic, isolement du réseau, reconstruction des systèmes, restauration des sauvegardes, tests avant remise en production.
- Notification et conformité : si des renseignements personnels de clients ou d'employés sont compromis, des obligations de notification s'appliquent, avec des coûts juridiques et administratifs associés.
- Réputation et fidélisation client : coût plus difficile à chiffrer mais bien réel — une entreprise qui subit une attaque médiatisée ou qui doit notifier ses clients d'une fuite de données peut voir son taux de rétention affecté.
- Primes d'assurance futures : une entreprise ayant subi une attaque ransomware voit généralement ses primes de cyber-assurance augmenter significativement au renouvellement, lorsque la couverture reste même disponible.
Le message à retenir pour toute PME québécoise : le coût de la prévention (sauvegardes 3-2-1, authentification à deux facteurs, mises à jour régulières, formation des employés, audit de sécurité périodique) est systématiquement inférieur au coût d'une seule attaque réussie, même modeste. C'est un calcul que nos techniciens font régulièrement avec des clients qui hésitent à investir en cybersécurité — et le résultat penche toujours du même côté.
Votre entreprise a-t-elle un plan de réponse aux incidents ?
Si la réponse est non, c'est le moment de le mettre en place — pas pendant une crise. Un plan de réponse identifie à l'avance qui contacter, quels systèmes isoler en priorité, où se trouvent les sauvegardes fiables, et quelles obligations légales s'appliquent selon le type de données touchées. Nos services d'infogérance et de cybersécurité entreprise incluent la préparation de ce type de plan.
Questions fréquentes — Ransomware, que faire
Voici les questions que nos techniciens entendent le plus souvent, autant de la part de particuliers en pleine panique que de dirigeants de PME cherchant à comprendre leurs obligations et leurs options réelles.
Fichiers pris en otage ? Ne restez pas seul face à la décision.
Diagnostic téléphonique gratuit, identification de la variante, et plan d'action clair — que vous soyez un particulier à la maison ou une PME dont les systèmes sont paralysés. Service disponible à distance partout au Québec et au Canada, et sur place à Montréal.

Commentaires (3)
Notre commerce a été touché un vendredi soir. J'ai failli payer la rançon en panique avant d'appeler IT Cares — ils m'ont clairement expliqué pourquoi ne pas payer et on a fini par restaurer à partir d'une sauvegarde de la veille. Le guide ici correspond exactement à ce qu'ils m'ont dit au téléphone.
Article très clair, surtout la partie sur la règle 3-2-1. Je pensais que mon disque externe branché en permanence était une «sauvegarde» — je viens de comprendre que non. Je vais revoir toute ma stratégie de sauvegarde.
Merci pour la section PME vs particulier, ça manquait ailleurs. On a une petite entreprise de 8 employés et on ne savait même pas qu'on devait signaler l'incident quelque part. On a contacté IT Cares pour un audit de sécurité suite à cet article.
Laisser un commentaire