Faut-il payer la rançon en cas d'attaque ransomware ?

Non, dans la grande majorité des cas. Payer ne garantit pas la récupération des données (seulement 65 % des victimes récupèrent leurs fichiers après paiement). Cela finance les criminels et vous met sur une liste de 'payeurs' — vous serez ciblé à nouveau. Contacter d'abord le NCSC ou un spécialiste en récupération.

Comment récupérer ses fichiers après un ransomware sans payer ?

Vérifier No More Ransom (nomoreransom.org) — des clés de déchiffrement gratuites pour des dizaines de familles de ransomware. Restaurer depuis une sauvegarde hors ligne (3-2-1). Si les données sont critiques et irrémédiablement perdues, des spécialistes comme Coveware peuvent négocier ou trouver des alternatives.

Combien coûte une attaque ransomware pour une PME québécoise ?

En moyenne 350 000 $ en coûts totaux (temps d'arrêt, récupération, amendes possibles Loi 25, perte de clients). Le coût médian de la rançon demandée aux PME au Canada est de 85 000 $ USD. L'arrêt d'activité représente souvent 70 % du coût total.

Quelle est la première chose à faire si mon ordinateur est chiffré par un ransomware ?

1) Déconnecter immédiatement du réseau (WiFi, câble ethernet) pour stopper la propagation. 2) NE PAS éteindre (peut compliquer l'analyse forensique). 3) Photographier les messages d'erreur. 4) Contacter un professionnel en sécurité avant toute autre action. 5) Ne jamais payer sans avis expert.

Le ransomware peut-il infecter les sauvegardes dans le cloud ?

Oui si vos sauvegardes cloud sont synchronisées en temps réel (OneDrive, Google Drive en mode sync). Le ransomware chiffre les fichiers locaux et la synchronisation pousse les fichiers chiffrés vers le cloud. Solution : garder des versions historiques activées et une sauvegarde hors ligne déconnectée.

Appareils & Malwares

Ransomware : que faire si tu es touché (récupération)

18 février 2026 6 min de lecture 0

Ransomware : que faire si tu es touché (guide de récupération)

Une attaque ransomware est l’une des pires situations qu’une organisation puisse vivre : tous tes fichiers sont chiffrés, une note de rançon apparaît à l’écran, et tu as quelques heures ou jours pour décider quoi faire. Ce guide te donne les étapes à suivre dans l’ordre, les erreurs à ne pas faire, et une vision honnête sur la question de payer ou ne pas payer.

Première heure : contenir la propagation

Le ransomware se propage sur les réseaux. Chaque minute compte pour limiter l’étendue des dommages.

Étape 1 : Isoler immédiatement les appareils infectés

Débranche le câble réseau de l’appareil infecté. Si c’est un portable, déconnecte le WiFi ET le câble.

Ne pas éteindre l’ordinateur immédiatement — certains détails forensiques importants (comme le type de ransomware) sont plus faciles à identifier avec l’ordinateur allumé.

Étape 2 : Identifier l’étendue de l’infection

Quels autres appareils sur le réseau sont infectés ? Cherche les signes : fichiers avec des extensions inconnues, impossibilité d’ouvrir des documents, note de rançon sur le bureau.

Déconnecte aussi les appareils suspects du réseau.

Étape 3 : Couper les connexions partagées

Déconnecte les lecteurs réseau partagés, les services cloud synchronisés (Dropbox, OneDrive) si possible — le ransomware peut chiffrer les fichiers synchronisés et propager les fichiers chiffrés vers le cloud.

Identifier le ransomware

Avant tout, tu dois savoir à quel ransomware tu as affaire. Ça détermine tes options.

Consulte la note de rançon : elle contient souvent le nom du groupe, leur méthode de contact, et parfois le montant.

Utilise ID Ransomware : id-ransomware.malwarehunterteam.com — télécharge la note de rançon et/ou un fichier chiffré, le site identifie la famille de ransomware et indique si un déchiffreur gratuit existe.

Consulte No More Ransom : nomoreransom.org — projet financé par Europol et des entreprises de cybersécurité. Si un déchiffreur a été développé pour ton ransomware, il est ici. Gratuit.

La question : payer ou ne pas payer ?

C’est la décision la plus difficile. Voici une analyse honnête.

Arguments pour ne pas payer

Il n’y a aucune garantie d’obtenir tes données. Les études montrent que même parmi ceux qui paient, une proportion significative ne récupère pas tous leurs fichiers, ou reçoit un déchiffreur qui fonctionne mal.

Tu finances une organisation criminelle. Les groupes ransomware utilisent ces fonds pour améliorer leurs outils, recruter, et attaquer d’autres victimes.

Tu peux être ciblé à nouveau. Les victimes qui paient sont souvent recontactées — les groupes savent que tu paies.

Des alternatives existent parfois. Sauvegardes saines, déchiffreurs gratuits, récupération forensique partielle.

Au Canada, le paiement de rançon à des entités sous sanctions internationales peut créer des problèmes légaux. Certains groupes ransomware sont sanctionnés.

Quand le paiement pourrait être envisagé

Aucune sauvegarde exploitable
Les données sont critiques (dossiers médicaux, contrats, données client essentielles)
Le coût de non-récupération dépasse largement la rançon
Tu as consulté des professionnels qui confirment l’absence d’alternatives

Si tu considères payer : implique un avocat et un négociateur professionnel. Les rançons sont souvent négociables à la baisse (40-60%). Et ne paie jamais sans avoir obtenu et testé un fichier déchiffré d’abord (preuve de capacité de déchiffrement).

Processus de récupération sans paiement

Option 1 : Restaurer depuis des sauvegardes

C’est la meilleure option si tu as des sauvegardes récentes et propres.

Vérifier que tes sauvegardes ne sont pas infectées : certains ransomwares persistent en mode latent pendant des semaines avant de s’activer — tes sauvegardes récentes peuvent aussi être compromises.

Reconstruit les systèmes depuis zéro (réinstallation propre du système d’exploitation)
Restaure les sauvegardes sur les systèmes propres
Ne reconnecte pas les systèmes restaurés au réseau avant d’avoir sécurisé l’ensemble

Option 2 : Déchiffreurs gratuits

Si No More Ransom ou un autre outil a un déchiffreur pour ton ransomware :

Ne le télécharge que depuis nomoreransom.org ou le site officiel de la firme de sécurité
Fais une copie des fichiers chiffrés avant de tenter le déchiffrement
Teste d’abord sur un ou deux fichiers non critiques

Option 3 : Récupération forensique partielle

Des spécialistes forensiques peuvent parfois récupérer des versions antérieures de fichiers via les shadow copies Windows (si le ransomware ne les a pas effacées) ou d’autres techniques.

Après la récupération : analyser et corriger

Une fois tes données récupérées, le travail n’est pas terminé. Tu dois comprendre comment l’attaquant est entré pour éviter une récidive.

Les vecteurs d’entrée les plus courants pour le ransomware :

Email de phishing avec pièce jointe malveillante ou lien vers un téléchargement
Accès RDP exposé (Remote Desktop Protocol) avec des identifiants faibles ou volés
Vulnérabilité non corrigée dans un logiciel exposé à internet
Credential stuffing : identifiants volés lors d’une fuite précédente

Actions post-incident obligatoires

Analyser les logs pour identifier le vecteur d’entrée
Changer tous les mots de passe (en commençant par les comptes administrateurs)
Appliquer toutes les mises à jour de sécurité en attente
Auditer les règles de firewall (désactiver l’accès RDP direct depuis internet)
Activer le 2FA sur tous les accès distants
Mettre en place une politique de sauvegarde 3-2-1 si ce n’est pas déjà fait
Former les employés sur la reconnaissance du phishing

Signalement obligatoire au Canada

Si ton organisation traite des renseignements personnels, la Loi 25 (Québec) et le PIPEDA (fédéral) exigent de signaler les incidents de confidentialité significatifs aux autorités et aux personnes concernées.

CAI du Québec : cai.gouv.qc.ca (formulaire de déclaration d’incident)
Commissariat à la protection de la vie privée du Canada : priv.gc.ca

Délai : pour la Loi 25, tu dois aviser la CAI dès que tu réalises qu’un incident présente un risque sérieux de préjudice. Pour PIPEDA, “le plus tôt possible”.

Tu dois aussi signaler au Centre canadien pour la cybersécurité — ce n’est pas toujours obligatoire mais fortement recommandé.

La vraie protection contre le ransomware

Aucun outil ne peut garantir que tu ne seras jamais attaqué. Mais ces mesures réduisent drastiquement la probabilité et l’impact :

Sauvegardes régulières, testées, offline : c’est le filet de sécurité ultime
Mises à jour systèmes et applications : ferme les portes connues
Pas d’accès RDP direct depuis internet : utilise un VPN d’abord
2FA sur tous les accès distants
Formation anti-phishing des employés
Principe du moindre privilège : les utilisateurs n’ont que les droits dont ils ont besoin
Segmentation réseau : limiter la propagation si un segment est infecté

Tu as subi une attaque ransomware et tu ne sais pas quoi faire ? Contacte-moi immédiatement à khalid@sequr.ca — j’aide les PME à traverser la réponse à incident et la récupération.

Voir aussi : Guide complet cybersécurité pour PME au Québec — Test de pénétration : c’est quoi et pourquoi t’en as besoin — Loi 25 Québec : ce que chaque PME doit savoir

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5) Québec, Canada

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec