Ransomware PME Québec : 5 familles actives en 2026

Lundi matin, 7h45. Martin, directeur d’un cabinet comptable de Sherbrooke (22 employés), arrive au bureau. Il branche son MacBook. Puis son écran affiche un message en anglais : « Your files have been encrypted. Contact us at [adresse onion] to negotiate. Tim expires in 72 hours. Don’t restart your server. » Le logo est celui d’Akira.

Tous les fichiers du serveur partagé sont devenus .akira. Les sauvegardes Windows Server aussi — les attaquants avaient les identifiants admin depuis deux semaines. Les données de 1 400 clients sont déjà exfiltrées. La demande : 180 000 $ US en Bitcoin.

Martin n’avait pas de sauvegarde immuable. Ses sauvegardes locales étaient sur le même réseau que le serveur. Accessible au compte admin. Effacé en 4 secondes par l’attaquant.

Deux mois plus tard, Martin a payé 95 000 $ après négociation. Puis il a reçu un outil de déchiffrement qui ne fonctionnait qu’à 60 %. Les clients ont été notifiés selon la Loi 25. Deux ont porté plainte civile. Le cabinet a perdu 40 % de ses clients en 6 mois.

Ça s’est passé en septembre 2024. Ce n’est ni extraordinaire ni exceptionnel. C’est le scénario type 2025 pour une PME québécoise.

Pourquoi les PME québécoises sont devenues des cibles privilégiées

Il y a dix ans, les ransomwares visaient les gros. Sony, Colonial Pipeline, hôpitaux géants, gouvernements. L’actualité créait des manchettes. Les paiements étaient énormes.

Depuis 2022, le modèle a pivoté. Les groupes criminels se sont rendu compte qu’une PME de 30 employés paye plus facilement qu’une multinationale avec 80 avocats. Le montant est plus petit (100 000 $ au lieu de 40 millions) mais la friction est énorme moins grande. Le ROI est meilleur.

Les PME sont des cibles idéales parce que :

• Pas de CISO, pas d’équipe sécu dédiée
• Backups mal configurés ou inexistants
• RDP et VPN souvent exposés directement sur internet
• Mots de passe Office 365 faibles, 2FA inconsistant
• Formation du personnel inégale contre le phishing
• Cyberassurance parfois présente (donc capacité à payer)
• Forte pression au retour en opération (un cabinet comptable qui ne peut pas traiter ses clients pendant 10 jours = catastrophe)

Le Centre canadien pour la cybersécurité, dans son rapport 2024-2025, indique que les PME représentent 70 % des victimes de ransomware au Canada. Le Québec, en proportion de sa population d’entreprises, est touché à un niveau comparable à l’Ontario.

Coveware, firme spécialisée en négociation ransomware, rapporte qu’en 2024 la rançon médiane payée par une PME nord-américaine était de 171 000 $ US. Coût total moyen d’un incident (rançon + temps d’arrêt + récupération + notifications légales) : 1,82 million $ US.

Les 5 familles qui frappent en 2025-2026

1. LockBit — le poids lourd (mais affaibli)

LockBit a dominé le marché 2021-2023. En février 2024, l’opération internationale « Cronos » (FBI + National Crime Agency UK + Europol) a démantelé une partie de l’infrastructure et publié les outils de déchiffrement.

Mais LockBit n’est pas mort. Une version LockBit 4.0 a été relancée en février 2025, testée selon BleepingComputer sur plusieurs victimes européennes. L’écosystème des « affiliés » (criminels qui louent le ransomware) fonctionne toujours.

Caractéristiques :

• Double extorsion systématique (chiffrement + exfiltration + menace de publication)
• Site « LockBit Leak Site » sur Tor pour afficher les victimes qui n’ont pas payé
• Rançons négociables, souvent entre 50 000 $ et 2 millions $
• Interdit par le groupe de cibler : hôpitaux, systèmes de santé, infrastructures critiques, organismes sans but lucratif (règle pas toujours respectée par les affiliés)

Vecteurs d’entrée :

• Credentials RDP volés (achetés sur marchés underground)
• Exploitation de Citrix (Citrix Bleed CVE-2023-4966, toujours actif sur systèmes non patchés)
• Courtiers d’accès initial (Initial Access Brokers)

Cibles canadiennes documentées : Indigo Books & Music (février 2023, non payé, données publiées), Ville de Toronto (fuite partielle 2023), plusieurs cabinets juridiques montréalais (non rendu public, documenté par des consultants).

2. BlackCat / ALPHV — le sophistiqué (officiellement disparu, réellement recyclé)

BlackCat (aussi appelé ALPHV) est apparu fin 2021. Écrit en Rust (rare et sophistiqué). Il a été l’un des ransomwares les plus techniquement avancés avant son « exit scam » en mars 2024 où les opérateurs ont encaissé 22 millions $ de rançons Change Healthcare et disparu avec l’argent, laissant les affiliés sans paiement.

Depuis, les affiliés ex-BlackCat ont migré vers RansomHub, Play, Qilin. Les techniques et outils BlackCat sont devenus un standard dans l’industrie criminelle.

Cible connue du coin : l’attaque Change Healthcare (fin février 2024) a paralysé le traitement des prescriptions médicales dans toute l’Amérique du Nord pendant des semaines — incluant des pharmacies québécoises qui ne pouvaient plus vérifier les assurances pendant 2-3 semaines.

3. Akira — le prédateur des PME canadiennes

Akira est apparu en mars 2023. Style rétro des années 1980 sur son site Tor (terminal vert sur noir). C’est devenu en 2024 le ransomware le plus actif contre les PME nord-américaines selon Coveware et SentinelOne.

Pourquoi Akira frappe tant de PME :

• Affiliés opportunistes qui ciblent tout ce qui a une faille Cisco ASA ou SonicWall VPN exploitable
• Négociation « raisonnable » — rançons souvent négociables à 30-50 % du montant initial
• Clientèle : cabinets d’avocats, cabinets comptables, manufacturiers de taille moyenne, municipalités

Vecteurs d’entrée dominants :

• Cisco ASA/VPN sans 2FA (CVE-2023-20269 et usage massif de credentials faibles)
• SonicWall SSL-VPN (CVE-2024-40766)
• RDP exposé avec mots de passe faibles

Cas canadiens documentés :

• Nissan Canada (décembre 2023, 100 000 enregistrements clients)
• Plusieurs municipalités ontariennes et québécoises (listes non publiques, parfois négociations silencieuses)
• Un CPA au Québec en 2024 dont le cabinet a dû notifier la CAI en vertu de la Loi 25

Particularité 2025 : Akira a commencé à cibler des hyperviseurs VMware ESXi non patchés, chiffrant directement les VMs au niveau hyperviseur — dévastateur pour les environnements virtualisés.

4. Play (PlayCrypt) — le secret

Play est apparu en juin 2022. Groupe moins bruyant, moins de communication publique. Selon le FBI (avis IC3 de décembre 2023 mis à jour 2025), Play a fait plus de 300 victimes confirmées — incluant des municipalités canadiennes (Ville de Hamilton, février 2024 — 18,5 millions $ de coûts totaux).

Caractéristiques :

• Double extorsion via leak site nommé « Play Leak Blog »
• Attaques souvent préparées pendant plusieurs semaines avant le déclenchement (reconnaissance, exfiltration silencieuse, puis chiffrement)
• Cible de prédilection : gouvernements locaux, santé, éducation
• Utilise souvent des outils légitimes (Cobalt Strike, Mimikatz, AdFind) pour se déplacer latéralement — ce qui rend la détection plus difficile

Vecteurs d’entrée 2025 :

• FortiOS SSL-VPN non patché (CVE-2023-27997)
• Microsoft Exchange on-premise vulnérables (ProxyShell toujours actif)
• Credentials compromis via infostealers (voir notre article sur les malwares Mac et Windows)

5. Qilin — le nouveau venu agressif

Qilin (aussi « Agenda ») est apparu en 2022 mais a explosé en 2024-2025. Selon Microsoft Threat Intelligence, Qilin est devenu un des trois ransomwares les plus actifs en 2025.

L’attaque qui a fait parler : Synnovis (laboratoire hospitalier britannique, juin 2024), qui a paralysé plusieurs hôpitaux londoniens. Qilin a publié 400 Go de données médicales après non-paiement.

Particularités :

• Modèle RaaS agressif (ransomware-as-a-service) — les affiliés gardent jusqu’à 85 % des rançons
• Écrit en Rust et Go (multi-plateforme, chiffre Windows, Linux, ESXi)
• Double extorsion avec leaks médiatisés
• Cible : santé, finance, gouvernement, industrie

Au Canada : plusieurs incidents documentés par Recorded Future en 2025 dans les secteurs industriel et transport, noms non divulgués.

Comment une PME se fait infecter en 10 étapes (anatomie type 2025)

Basé sur plusieurs cas québécois documentés et sur les rapports de Coveware, Mandiant, Sophos :

Jour -45 : Reconnaissance. L’attaquant scanne internet pour des VPN Cisco, Fortinet, SonicWall exposés. Il trouve le VPN de la PME Beaulieu Comptables à Sherbrooke. Version Fortinet 7.0.11, non patchée contre CVE-2024-21762.

Jour -30 : Exploitation. L’attaquant exploite la CVE, obtient un shell sur le boîtier VPN. Il dumpe les credentials stockés. Il a maintenant un accès admin au réseau interne.

Jour -25 : Déplacement latéral. L’attaquant utilise BloodHound pour cartographier l’Active Directory. Il trouve un compte de service avec des privilèges admin. Il se connecte au contrôleur de domaine.

Jour -20 : Persistance. L’attaquant installe Cobalt Strike sur trois serveurs. Il crée un compte admin caché avec un nom ressemblant à un service légitime (« MSSQL-Maintenance »).

Jour -15 à -5 : Exfiltration. L’attaquant copie lentement les dossiers clients, les contrats, les états financiers, la base de données RH. 220 Go au total, envoyés vers un serveur MEGA via Rclone. Tout passe sous le radar — aucune alerte.

Jour -2 : Neutralisation des sauvegardes. L’attaquant identifie le serveur Veeam. Il supprime les snapshots et désactive les jobs. Il supprime les sauvegardes sur le NAS local.

Jour 0, 2h37 du matin : Déclenchement. L’attaquant déploie Akira sur tous les serveurs via GPO. Le chiffrement prend 40 minutes. À 7h30, les employés arrivent. Tous les fichiers sont en .akira. Le message de rançon est sur chaque bureau.

Jour 0, 8h : Découverte. Martin appelle son « informaticien » — qui réalise l’ampleur en 30 minutes. Il contacte un cabinet de réponse aux incidents. Devis initial : 75 000 $ pour l’enquête et la récupération.

Jour 1 : Négociation. Le cabinet IR contacte Akira via le portail Tor. Demande initiale : 180 000 $. Négociation sur 5 jours. Accepte 95 000 $.

Jour 6 : Paiement et « déchiffrement ». 95 000 $ en Bitcoin transférés. Outil de déchiffrement livré. 60 % des fichiers récupérables. Certaines bases de données corrompues.

Jour 7-30 : Reconstruction. 3 semaines d’interruption partielle. Notification à la Commission d’accès à l’information (Loi 25). Notification aux 1 400 clients. Pertes de clients.

Coût total estimé : 540 000 $ (rançon + IR + légal + notifications + perte de revenus + perte de clients).

Pourquoi NE PAS payer — l’argument complet

1. Rien ne garantit le déchiffrement.

Coveware rapporte qu’en 2024, dans 22 % des paiements, les criminels n’ont jamais livré le déchiffreur. Dans 18 % des cas, le déchiffreur était défectueux ou partiel. Au total, 40 % des paiements aboutissent à une récupération incomplète ou nulle.

2. Les données sont déjà vendues.

Même avec un déchiffreur, vos données ont déjà été exfiltrées. Elles circulent sur des marchés du dark web. Payer ne les « rend » pas — elles restent vendables à d’autres criminels, régulièrement.

3. Payer attire une deuxième attaque.

Coveware note que les victimes qui paient sont 50 % plus susceptibles d’être attaquées à nouveau dans les 12 mois. Vous êtes sur une liste de « bons payeurs ».

4. Payer finance le crime organisé et parfois des États sanctionnés.

Plusieurs groupes ransomware sont liés à la Russie, à la Corée du Nord (Lazarus), à l’Iran. Payer peut constituer une violation des sanctions US et canadiennes (OFAC, Affaires mondiales Canada). Des entreprises américaines ont été sanctionnées pour avoir facilité des paiements à des groupes sanctionnés.

5. Le Canada ne recommande pas le paiement.

Le Centre canadien pour la cybersécurité, la GRC, et Ransomware.gc.ca sont explicites : ne pas payer. Cela ne garantit rien et perpétue le modèle criminel.

Quand payer peut-il se comprendre? Quand votre entreprise va disparaître sans les données ET que vous n’avez aucune sauvegarde exploitable. Soit environ 10 % des cas. Et même là, ce n’est jamais une garantie.

La vraie défense : sauvegarde 3-2-1 avec immuabilité

La seule protection qui fonctionne à 100 % contre le ransomware, c’est une sauvegarde que l’attaquant ne peut pas détruire.

La règle 3-2-1 classique :

• 3 copies des données
• Sur 2 supports différents
• Dont 1 hors site ou immuable

La version moderne recommandée pour une PME québécoise en 2026 :

Copie 1 : Production. Vos données live sur serveur/NAS.

Copie 2 : Sauvegarde locale. NAS dédié à la sauvegarde, avec comptes distincts des admins du serveur. Idéalement un appareil Synology ou QNAP avec snapshots ZFS/Btrfs en lecture seule après création.

Copie 3 : Sauvegarde immuable hors site. C’est le pilier. Les options réelles :

• Backblaze B2 avec Object Lock : 0,006 $ US/Go/mois, immuabilité garantie par paramètre, hébergé aux États-Unis
• Wasabi : 0,0069 $ US/Go/mois, fonctionnalité S3 Object Lock
• Azure Blob avec Immutable Storage : hébergé au Canada (datacenter Québec disponible), mais plus cher
• AWS S3 avec Object Lock (Compliance mode) : hébergé au Canada Central (Montréal), immuabilité par période fixée

« Immuable » veut dire : même avec les identifiants admin du compte cloud, les données ne peuvent pas être supprimées avant expiration du délai configuré (ex: 90 jours). L’attaquant qui vole les credentials ne peut pas effacer. C’est ce qui sauve l’entreprise.

Outils de sauvegarde PME recommandés :

• Veeam Backup Essentials (payant, solide, standard de l’industrie)
• Synology Active Backup for Business (inclus avec les NAS Synology)
• Duplicati (gratuit, open source, pour petites structures)
• Restic (gratuit, puissant, ligne de commande)

Test de restauration = obligatoire. Une sauvegarde qui n’a jamais été restaurée n’est pas une sauvegarde. Testez au moins une fois par trimestre.

La cybersécurité minimale d’une PME québécoise en 2026

Sans prétendre à l’exhaustivité, voici le baseline qui élimine 80 % du risque :

1. Désactivez RDP exposé sur internet. Jamais. Utilisez un VPN, et même le VPN doit avoir 2FA et être à jour.

2. 2FA partout. Office 365 (Microsoft Authenticator), comptes admin Windows Server, VPN, portails externes. Pas de 2FA = vulnérable.

3. Patch management. Windows, VPN (Fortinet, Cisco, SonicWall), Exchange, VMware ESXi. Un appareil non patché depuis 6 mois = porte d’entrée garantie.

4. EDR sérieux. Windows Defender for Business (inclus dans M365 Business Premium) est devenu raisonnable. CrowdStrike Falcon ou SentinelOne pour les entreprises plus exposées.

5. Formation phishing. Au minimum 2 séances/an pour tout le personnel. Le phishing Office 365 est le vecteur #1 en 2025.

6. Segmentation réseau. Le serveur comptable ne devrait pas être accessible depuis le Wi-Fi invité. VLAN séparés, pare-feu interne.

7. Sauvegarde 3-2-1 avec immuable. Voir section précédente.

8. Plan de réponse aux incidents écrit. Qui appelle-t-on? Quel cabinet IR? Quel avocat pour la Loi 25? Les numéros doivent être imprimés et accessibles hors du réseau.

9. Cyberassurance. 2 000 $ à 10 000 $/an selon la taille. Couvre rançon, IR, notifications, perte de revenus. Lisez les exclusions — beaucoup de polices exigent des contrôles minimaux (2FA, EDR, formation).

10. Audit externe annuel. Coût : 2 500 $ à 15 000 $ selon la taille. Un regard indépendant trouve systématiquement des failles que l’équipe interne ne voit pas.

La Loi 25 change tout

Depuis septembre 2022, la Loi 25 (anciennement Loi 64) impose aux entreprises québécoises des obligations précises en cas d’incident :

Obligations immédiates :

• Prendre les mesures raisonnables pour réduire le risque
• Tenir un registre des incidents
• Notifier la Commission d’accès à l’information (CAI) si l’incident présente un risque de préjudice sérieux
• Notifier les personnes concernées (clients, employés) si même risque

Délai de notification : « Dans les meilleurs délais », interprété généralement comme quelques jours.

Amendes : jusqu’à 25 millions $ CAD ou 4 % du chiffre d’affaires mondial (le montant le plus élevé).

Un ransomware avec exfiltration de données = toujours une notification. Pas de « cachons-le ». Les conséquences d’un manquement à la Loi 25 sont souvent pires que la rançon elle-même.

Documents obligatoires à avoir AVANT l’incident :

• Un responsable de la protection des renseignements personnels (RPRP) nommé
• Une politique de traitement des renseignements personnels
• Une politique d’évaluation des facteurs relatifs à la vie privée (EFVP)
• Un registre des incidents

Si vous n’avez rien de tout ça : un consultant en conformité Loi 25 à Québec ou Montréal facture 2 500 $ à 8 000 $ pour vous mettre en règle. C’est dérisoire comparé à l’amende potentielle.

Que faire si vous êtes infecté — les 6 premières heures

Heure 0 à 1 : Isolement.

• Débrancher les machines infectées du réseau (câble Ethernet, couper Wi-Fi). NE PAS éteindre les serveurs — la mémoire contient des informations précieuses pour l’enquête.
• Isoler le réseau du internet si possible
• Préserver les logs, les notes de rançon, les fichiers d’exemple

Heure 1 à 3 : Mobilisation.

• Appeler votre cabinet de réponse aux incidents (IR)
• Appeler votre assureur cyber
• Appeler votre avocat (Loi 25)
• Ne PAS communiquer avec les attaquants sans conseil

Heure 3 à 6 : Cartographie.

• Identifier l’étendue du chiffrement
• Identifier les données exfiltrées (les attaquants les listent souvent sur leur leak site)
• Identifier le point d’entrée initial
• Commencer la documentation pour la CAI

Après 6 heures : Plan de reconstruction.

• Décision paiement/non-paiement (avec avis légal sur les sanctions OFAC)
• Plan de restauration depuis sauvegardes propres
• Notifications Loi 25 en préparation

Ressources gratuites :

• Centre canadien pour la cybersécurité : 1-833-292-3788
• GRC cybercrime : grc.ca
• No More Ransom Project (decrypteurs gratuits pour anciennes versions) : nomoreransom.org
• Ransomware.gc.ca : guides officiels

L’investissement qui empêche 500 000 $ de perte

Pour une PME québécoise de 20-50 employés, le baseline sécurité coûte environ :

• 2FA + bonnes pratiques identité : inclus dans M365 Business Premium (~30 $/mois/utilisateur)
• EDR Defender for Business : inclus dans M365 Business Premium
• Sauvegarde immuable Backblaze B2 : 50-200 $/mois selon volume
• Audit externe annuel : 3 500 $/année amorti
• Formation phishing (KnowBe4 ou équivalent) : 3-8 $/utilisateur/mois
• Patch management discipliné : temps employé, mais critique

Total annuel pour une PME de 25 personnes : environ 8 000 $ à 15 000 $/an.

Comparé à 540 000 $ d’incident Akira, c’est 1 à 3 % de la perte potentielle. Et ça élimine la majorité du risque.

Le moment d’agir, c’est avant

Aucune PME québécoise ne se croit cible avant d’être ciblée. Aucun comptable n’a budgété la réponse à incident avant d’en vivre une. Aucun avocat n’a lu la Loi 25 en détail avant de devoir envoyer 1 400 notifications.

Mais les groupes comme Akira, Play, Qilin scannent internet 24/7. Ils ne vous connaissent pas. Ils ne vous visent pas personnellement. Ils visent votre VPN Fortinet non patché, votre RDP exposé, votre employée qui cliquera sur le faux courriel Microsoft jeudi prochain.

Un audit rapide pour savoir où vous en êtes

Si vous avez déjà été touché, consultez d’abord notre guide de récupération après ransomware avant toute autre action.

Sequr offre un audit de préparation ransomware pour PME québécoises. En 2-3 heures, on regarde :

• Exposition réseau externe (scan des ports ouverts, VPN, RDP)
• Configuration 2FA Microsoft 365
• État des sauvegardes et leur immuabilité
• Statut de conformité Loi 25
• Plan de réponse aux incidents

Rapport écrit, priorités classées, estimations budgétaires. Pas de frais cachés, pas de contrat long terme.

Le ransomware ne choisit pas ses victimes. Il prend ce qui tombe. Assurez-vous que votre PME ne tombe pas.