Faut-il payer la rançon en cas d'attaque ransomware ?

Non, dans la grande majorité des cas. Payer ne garantit pas la récupération des données (seulement 65 % des victimes récupèrent leurs fichiers après paiement). Cela finance les criminels et vous met sur une liste de 'payeurs' — vous serez ciblé à nouveau. Contacter d'abord le NCSC ou un spécialiste en récupération.

Comment récupérer ses fichiers après un ransomware sans payer ?

Vérifier No More Ransom (nomoreransom.org) — des clés de déchiffrement gratuites pour des dizaines de familles de ransomware. Restaurer depuis une sauvegarde hors ligne (3-2-1). Si les données sont critiques et irrémédiablement perdues, des spécialistes comme Coveware peuvent négocier ou trouver des alternatives.

Combien coûte une attaque ransomware pour une PME québécoise ?

En moyenne 350 000 $ en coûts totaux (temps d'arrêt, récupération, amendes possibles Loi 25, perte de clients). Le coût médian de la rançon demandée aux PME au Canada est de 85 000 $ USD. L'arrêt d'activité représente souvent 70 % du coût total.

Quelle est la première chose à faire si mon ordinateur est chiffré par un ransomware ?

1) Déconnecter immédiatement du réseau (WiFi, câble ethernet) pour stopper la propagation. 2) NE PAS éteindre (peut compliquer l'analyse forensique). 3) Photographier les messages d'erreur. 4) Contacter un professionnel en sécurité avant toute autre action. 5) Ne jamais payer sans avis expert.

Le ransomware peut-il infecter les sauvegardes dans le cloud ?

Oui si vos sauvegardes cloud sont synchronisées en temps réel (OneDrive, Google Drive en mode sync). Le ransomware chiffre les fichiers locaux et la synchronisation pousse les fichiers chiffrés vers le cloud. Solution : garder des versions historiques activées et une sauvegarde hors ligne déconnectée.

C'est quoi la double extorsion ? Est-ce que mes sauvegardes me protègent encore ?

La double extorsion signifie que le groupe ransomware a exfiltré vos données AVANT de les chiffrer. Même si vous récupérez tout depuis vos sauvegardes sans payer, vos données sont déjà entre leurs mains. Ils peuvent les publier ou les vendre. Vos sauvegardes vous sauvent de l'arrêt opérationnel, mais pas de la brèche de données — la Loi 25 s'applique quand même.

Mon assurance cyber couvre-t-elle la rançon ransomware ?

Ça dépend de votre police. La plupart des assurances cyber couvrent la rançon, mais avec des conditions strictes : vous devez aviser l'assureur AVANT de payer (souvent dans les premières 24-48h), obtenir leur approbation, et utiliser leur réseau de fournisseurs approuvés. Payer sans aviser = refus de remboursement quasi assuré. Selon le Bureau d'assurance du Canada, 60 % des PME canadiennes n'avaient pas d'assurance cyber en 2025.

On peut vraiment négocier avec un groupe ransomware ? Comment ça fonctionne ?

Oui, et c'est même la norme. Les groupes ransomware modernes ont des équipes de négociation structurées — c'est un business pour eux. Le montant initial est toujours gonflé (3 à 5x le réaliste). Pour une PME qui démontre ses capacités financières limitées, la rançon finale est souvent 30 à 60 % moins élevée que le prix affiché. Tu ne négocies jamais seul : tu passes par une firme spécialisée en réponse à incident.

Appareils & Malwares

Ransomware : que faire si tu es touché (récupération)

18 février 2026 Mis à jour mai 2026 14 min de lecture 0

Ransomware : que faire si tu es touché (guide de récupération)

Une attaque ransomware est l’une des pires situations qu’une organisation puisse vivre : tous tes fichiers sont chiffrés, une note de rançon apparaît à l’écran, et tu as quelques heures ou jours pour décider quoi faire. Ce guide te donne les étapes à suivre dans l’ordre, les erreurs à ne pas faire, et une vision honnête sur la question de payer ou ne pas payer.

Première heure : contenir la propagation

Le ransomware se propage sur les réseaux. Chaque minute compte pour limiter l’étendue des dommages.

Étape 1 : Isoler immédiatement les appareils infectés

Débranche le câble réseau de l’appareil infecté. Si c’est un portable, déconnecte le WiFi ET le câble.

Ne pas éteindre l’ordinateur immédiatement — certains détails forensiques importants (comme le type de ransomware) sont plus faciles à identifier avec l’ordinateur allumé.

Étape 2 : Identifier l’étendue de l’infection

Quels autres appareils sur le réseau sont infectés ? Cherche les signes : fichiers avec des extensions inconnues, impossibilité d’ouvrir des documents, note de rançon sur le bureau.

Déconnecte aussi les appareils suspects du réseau.

Étape 3 : Couper les connexions partagées

Déconnecte les lecteurs réseau partagés, les services cloud synchronisés (Dropbox, OneDrive) si possible — le ransomware peut chiffrer les fichiers synchronisés et propager les fichiers chiffrés vers le cloud.

Identifier le ransomware

Avant tout, tu dois savoir à quel ransomware tu as affaire. Ça détermine tes options.

Consulte la note de rançon : elle contient souvent le nom du groupe, leur méthode de contact, et parfois le montant.

Utilise ID Ransomware : id-ransomware.malwarehunterteam.com — télécharge la note de rançon et/ou un fichier chiffré, le site identifie la famille de ransomware et indique si un déchiffreur gratuit existe.

Consulte No More Ransom : nomoreransom.org — projet financé par Europol et des entreprises de cybersécurité. Si un déchiffreur a été développé pour ton ransomware, il est ici. Gratuit.

La question : payer ou ne pas payer ?

C’est la décision la plus difficile. Voici une analyse honnête.

Arguments pour ne pas payer

Il n’y a aucune garantie d’obtenir tes données. Les études montrent que même parmi ceux qui paient, une proportion significative ne récupère pas tous leurs fichiers, ou reçoit un déchiffreur qui fonctionne mal.

Tu finances une organisation criminelle. Les groupes ransomware utilisent ces fonds pour améliorer leurs outils, recruter, et attaquer d’autres victimes.

Tu peux être ciblé à nouveau. Les victimes qui paient sont souvent recontactées — les groupes savent que tu paies.

Des alternatives existent parfois. Sauvegardes saines, déchiffreurs gratuits, récupération forensique partielle.

Au Canada, le paiement de rançon à des entités sous sanctions internationales peut créer des problèmes légaux. Certains groupes ransomware sont sanctionnés.

Quand le paiement pourrait être envisagé

Aucune sauvegarde exploitable
Les données sont critiques (dossiers médicaux, contrats, données client essentielles)
Le coût de non-récupération dépasse largement la rançon
Tu as consulté des professionnels qui confirment l’absence d’alternatives

Si tu considères payer : implique un avocat et un négociateur professionnel. Les rançons sont souvent négociables à la baisse (40-60%). Et ne paie jamais sans avoir obtenu et testé un fichier déchiffré d’abord (preuve de capacité de déchiffrement).

Processus de récupération sans paiement

Option 1 : Restaurer depuis des sauvegardes

C’est la meilleure option si tu as des sauvegardes récentes et propres.

Vérifier que tes sauvegardes ne sont pas infectées : certains ransomwares persistent en mode latent pendant des semaines avant de s’activer — tes sauvegardes récentes peuvent aussi être compromises.

Reconstruit les systèmes depuis zéro (réinstallation propre du système d’exploitation)
Restaure les sauvegardes sur les systèmes propres
Ne reconnecte pas les systèmes restaurés au réseau avant d’avoir sécurisé l’ensemble

Option 2 : Déchiffreurs gratuits

Si No More Ransom ou un autre outil a un déchiffreur pour ton ransomware :

Ne le télécharge que depuis nomoreransom.org ou le site officiel de la firme de sécurité
Fais une copie des fichiers chiffrés avant de tenter le déchiffrement
Teste d’abord sur un ou deux fichiers non critiques

Option 3 : Récupération forensique partielle

Des spécialistes forensiques peuvent parfois récupérer des versions antérieures de fichiers via les shadow copies Windows (si le ransomware ne les a pas effacées) ou d’autres techniques.

Après la récupération : analyser et corriger

Une fois tes données récupérées, le travail n’est pas terminé. Tu dois comprendre comment l’attaquant est entré pour éviter une récidive.

Les vecteurs d’entrée les plus courants pour le ransomware :

Email de phishing avec pièce jointe malveillante ou lien vers un téléchargement
Accès RDP exposé (Remote Desktop Protocol) avec des identifiants faibles ou volés
Vulnérabilité non corrigée dans un logiciel exposé à internet
Credential stuffing : identifiants volés lors d’une fuite précédente

Actions post-incident obligatoires

Analyser les logs pour identifier le vecteur d’entrée
Changer tous les mots de passe (en commençant par les comptes administrateurs)
Appliquer toutes les mises à jour de sécurité en attente
Auditer les règles de firewall (désactiver l’accès RDP direct depuis internet)
Activer le 2FA sur tous les accès distants
Mettre en place une politique de sauvegarde 3-2-1 si ce n’est pas déjà fait
Former les employés sur la reconnaissance du phishing

Signalement obligatoire au Canada

Si ton organisation traite des renseignements personnels, la Loi 25 (Québec) et le PIPEDA (fédéral) exigent de signaler les incidents de confidentialité significatifs aux autorités et aux personnes concernées.

CAI du Québec : cai.gouv.qc.ca (formulaire de déclaration d’incident)
Commissariat à la protection de la vie privée du Canada : priv.gc.ca

Délai : pour la Loi 25, tu dois aviser la CAI dès que tu réalises qu’un incident présente un risque sérieux de préjudice. Pour PIPEDA, “le plus tôt possible”.

Tu dois aussi signaler au Centre canadien pour la cybersécurité — ce n’est pas toujours obligatoire mais fortement recommandé.

Si tu fais face à une attaque active et que ton équipe n’a pas l’expertise pour contenir et restaurer, un service de réponse aux incidents au Québec prend en charge l’isolation, l’analyse forensique et la coordination des sauvegardes — chaque heure compte pour limiter la propagation.

La vraie protection contre le ransomware

Aucun outil ne peut garantir que tu ne seras jamais attaqué. Mais ces mesures réduisent drastiquement la probabilité et l’impact :

Sauvegardes régulières, testées, offline : c’est le filet de sécurité ultime
Mises à jour systèmes et applications : ferme les portes connues
Pas d’accès RDP direct depuis internet : utilise un VPN d’abord
2FA sur tous les accès distants
Formation anti-phishing des employés
Principe du moindre privilège : les utilisateurs n’ont que les droits dont ils ont besoin
Segmentation réseau : limiter la propagation si un segment est infecté

Double extorsion et triple extorsion : ce que ça change pour ta récupération

Il y a quelques années, un ransomware chiffrait tes fichiers, tu payais (ou pas), et l’histoire s’arrêtait là. Cette époque est révolue.

Les groupes actifs aujourd’hui — Akira, LockBit, BlackCat et leurs successeurs — ont une approche en deux temps. Avant de chiffrer quoi que ce soit, ils passent des jours ou des semaines à naviguer discrètement sur ton réseau pour exfiltrer tes données. Contrats clients, dossiers RH, informations bancaires, données personnelles, propriété intellectuelle. Ils copient tout ça sur leurs serveurs. Ensuite seulement, ils chiffrent et affichent la note de rançon.

Ce que ça veut dire concrètement

Double extorsion : tu dois payer pour deux raisons distinctes. D’abord pour récupérer l’accès à tes données (le déchiffreur). Ensuite pour qu’ils ne publient pas tes données sur leur “site leak” — ces portails publics où les groupes ransomware exposent les fichiers des victimes qui refusent de payer. Ces sites sont indexés, accessibles à n’importe qui, et tes concurrents, journalistes ou clients peuvent tomber dessus.

Triple extorsion : certains groupes vont plus loin. Ils contactent directement tes clients, tes fournisseurs, voire tes employés pour exercer une pression supplémentaire. “Votre fournisseur X a été compromis, vos données sont chez nous, exigez qu’ils paient.” C’est rare mais ça arrive, surtout pour les dossiers avec des données de tiers.

Le mythe de la récupération “sans impact”

Voici ce que j’entends encore trop souvent : “On a de bonnes sauvegardes, donc si ça arrive, on récupère et c’est réglé.”

C’est faux dans un contexte de double extorsion.

Tu peux récupérer opérationnellement en 48-72 heures depuis tes sauvegardes. Mais tes données ont quand même été volées. Il y a quand même une brèche de données au sens de la Loi 25. Tu dois quand même notifier la CAI, évaluer si des personnes sont à risque de préjudice, et potentiellement aviser tes clients. La récupération technique est une chose. La gestion légale et réputationnelle en est une autre.

Les sauvegardes restent absolument essentielles — elles te sauvent de l’arrêt total d’activité. Mais elles ne te protègent plus contre la totalité des conséquences d’une attaque moderne.

La négociation : comment ça se passe vraiment

La majorité des articles sur le sujet esquivent cette partie. C’est pourtant une réalité que les PME doivent comprendre.

Les groupes ransomware ont des équipes de “service client”

Ce n’est pas une métaphore. Les groupes ransomware professionnels ont des portails de négociation dédiés, des délais de réponse rapides, et des représentants qui connaissent leur dossier. Pour eux, c’est un business. Ils veulent récupérer un montant, pas détruire leur réputation de “payeur = récupère ses données” — parce que si personne ne récupère ses données après paiement, plus personne ne paye.

La rançon initiale est toujours trop haute

Le premier montant affiché dans la note de rançon est systématiquement gonflé. Les groupes partent de 3 à 5 fois ce qu’ils accepteront en réalité. Pour une PME qui démontre des capacités financières limitées — bilans, taille de l’équipe, secteur — la rançon finale est souvent 30 à 60 % inférieure au montant initial.

Ça ne veut pas dire que tu devrais négocier. Ça veut dire que si tu explores cette option, il faut le savoir.

La règle d’or : ne jamais négocier seul

Coveware, Mandiant, et plusieurs consultants au Québec offrent des services de réponse à incident incluant la négociation. Ce n’est pas un luxe : un négociateur professionnel connaît les tactiques de chaque groupe, les délais réalistes, et surtout les pièges. Il sait aussi quand la négociation est une perte de temps (certains groupes ne déchiffrent jamais vraiment).

La preuve de déchiffrement : non-négociable

Avant tout paiement — même partiel — tu exiges une preuve de capacité de déchiffrement. Ils sélectionnent un ou deux fichiers chiffrés que tu leur envoies, ils les déchiffrent et te les retournent. Si le fichier fonctionne, ils ont bien la clé. Si tu n’obtiens pas ça, tu ne sais pas si tu reçois quoi que ce soit en échange de ton paiement.

Timeline réaliste : compte 3 à 10 jours de négociation. Certains groupes sont plus rapides, d’autres jouent la montre pour augmenter la pression (des compteurs de “publication imminente” apparaissent sur leurs portails leak).

Communication de crise : parler à tes clients, employés, médias

C’est l’aspect le plus négligé et, souvent, le plus dommageable pour la survie d’une PME après une attaque.

La récupération technique peut se passer parfaitement. Mais si la communication de crise est ratée — trop lente, trop floue, ou carrément absente — tu perds la confiance de tes clients, même ceux qui n’étaient pas directement touchés.

L’ordre des notifications : ça compte

Avocats spécialisés en cybersécurité (ou ton avocat habituel si pas de spécialiste) — avant toute communication publique
Ton assureur cyber — activer la police le plus tôt possible (voir section suivante)
La CAI du Québec — si risque sérieux de préjudice pour des personnes, tu dois aviser “dès que possible” selon la Loi 25, pas après récupération complète
Tes employés clés — ceux qui auront à répondre aux questions clients
Les clients directement affectés — avec un message clair, pas du jargon technique
Communication publique si nécessaire — seulement après avoir sécurisé les systèmes

Ce dernier point est critique : si tu communiques publiquement pendant que l’attaquant est encore actif dans ton réseau (ce qui arrive plus souvent qu’on pense), tu lui donnes des informations sur l’état de ta réponse. Sécurise d’abord, communique ensuite.

Ce qu’il ne faut absolument pas dire

“Nous avons vécu une situation informatique.” Les gens ne sont pas naïfs. Quand une PME interrompt ses services pendant plusieurs jours et envoie un email avec des excuses vagues, tout le monde comprend ce qui s’est passé. L’euphémisme nuit à la confiance bien plus que la transparence.

Ce que tu dis à la place : l’incident, ce qui a été affecté, ce que tu fais, ce que le client doit faire, et qui contacter. Direct.

Template de communication client (base de travail)

Objet : Information importante concernant votre compte chez [Entreprise]

Le [date], nous avons été victimes d’une attaque informatique de type ransomware. Voici ce que nous savons à ce stade :

Ce qui a été touché : [liste précise — ex : “nos serveurs internes, y compris les fichiers contenant vos coordonnées”]

Ce qui n’a pas été touché : [ex : “vos informations bancaires ne sont pas stockées dans nos systèmes”]

Ce que nous faisons : Nous travaillons avec des spécialistes en cybersécurité pour sécuriser nos systèmes et évaluer l’étendue de l’incident. La CAI a été avisée.

Ce que vous devriez faire : [selon ce qui est touché — ex : “si vous utilisez le même mot de passe ailleurs, changez-le par précaution”]

Pour toute question : [nom, email, téléphone]

Adapte selon ton secteur et les données impliquées. L’important : ne promets pas ce que tu ne sais pas encore (ex : “vos données sont en sécurité” alors que l’analyse forensique n’est pas terminée).

L’assurance cyber dans la récupération ransomware

Depuis 2022-2023, l’assurance cyber est devenue plus stricte, plus chère, et plus complexe à activer. Voici comment elle fonctionne réellement en situation de crise — pas dans un PDF de vente.

Activer la police dès le premier jour

La plupart des polices cyber incluent une hotline 24/7. Cette hotline donne accès à des équipes de réponse à incident avec qui l’assureur a des ententes — et dont les frais sont couverts directement par la police, sans que tu advances l’argent.

Attendre d’avoir “géré le problème” avant d’aviser l’assureur est l’une des erreurs les plus coûteuses. Certaines polices exigent une notification dans les 24 à 72 heures suivant la découverte de l’incident. Passé ce délai, les remboursements peuvent être partiellement ou totalement refusés.

Ce qui est typiquement couvert

La rançon — avec approbation préalable de l’assureur et conditions strictes
Les frais de forensique et réponse à incident — analyse, investigation, containment
Business interruption — pertes d’exploitation pendant la période d’arrêt (avec délai de carence, souvent 8-24 heures)
Notification des clients affectés — frais administratifs et légaux
Frais légaux — conseils juridiques, défense en cas de recours de clients

Ce qui n’est généralement PAS couvert

Améliorations de sécurité post-incident (mettre à jour ton infrastructure après coup, c’est pour toi)
Données qui ne peuvent pas être récupérées même avec le déchiffreur
Atteinte à la réputation (perte de contrats future, dommages relationnels)
Amendes réglementaires dans certains cas (à vérifier selon ta police)

Le piège du paiement non autorisé

Si tu décides de payer la rançon sans en aviser ton assureur d’abord, tu risques un refus de remboursement complet. Les polices cyber contiennent généralement une clause exigeant l’approbation préalable pour tout paiement de rançon. Ce n’est pas une formalité : l’assureur veut valider que le groupe ransomware n’est pas sous sanctions (ce qui rendrait le paiement illégal), et il veut souvent mandater son propre négociateur.

La réalité des PME québécoises

Selon le Bureau d’assurance du Canada, 60 % des PME canadiennes n’avaient pas d’assurance cyber en 2025. Si tu es dans cette catégorie, c’est la conversation à avoir avec ton courtier avant de vivre une attaque — pas pendant.

Les primes ont augmenté, les questionnaires de souscription sont devenus sérieux (ils vérifient que tu as du 2FA, des sauvegardes, une politique de mots de passe), mais la couverture reste accessible pour la majorité des PME avec un profil de sécurité de base en ordre.

Tu as subi une attaque ransomware et tu ne sais pas quoi faire ? Contacte-nous immédiatement au (581) 748-8348 ou à page contact — on aide les PME québécoises à traverser la réponse à incident et la récupération, de la première heure jusqu’au retour à la normale.

Voir aussi : Guide complet cybersécurité pour PME au Québec — Test de pénétration : c’est quoi et pourquoi t’en as besoin — Loi 25 Québec : ce que chaque PME doit savoir

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5)Québec, Canada

On peut vous aider

Par où voulez-vous commencer ?

Apprenez à vous protéger, sécurisez votre appareil, ou parlez directement à un expert certifié.

🎓 Découvrir les formations 🔒 Consultation privée — particulier ✉️ Nous contacter