Un vendredi matin de novembre 2024, le propriétaire d'une PME manufacturière de Lévis arrive au bureau et ouvre son ordinateur. Les fichiers ont tous des extensions étranges — .lockbit3 — et une note apparaît à l'écran. Il a 72 heures pour payer 85 000 dollars américains en bitcoin, ou ses données seront publiées sur un site public et effacées de ses systèmes. Ses gabarits de production, ses commandes en cours, ses archives de clients depuis 2011, les coordonnées bancaires de ses fournisseurs — tout est inaccessible. Ses 14 employés ne peuvent plus travailler. Ses machines à commande numérique sont arrêtées parce que leur logiciel de pilotage est sur le réseau chiffré.
Il a appelé un technicien, puis un avocat spécialisé en cybersécurité, puis la GRC. Après deux semaines, avec l'aide d'une équipe de réponse à incident, il a récupéré 60 % de ses données depuis une sauvegarde partielle qui n'était pas connectée au réseau. Le reste est parti. Deux clients importants ont mis fin à leur contrat, ne faisant plus confiance à la gestion de leurs données par le fournisseur.
Le rançongiciel n'est pas une menace abstraite. C'est un marché criminel organisé, avec des groupes professionnels, des affiliés, des outils clés en main et une stratégie d'attaque documentée. Comprendre comment ça fonctionne est la première étape pour s'en protéger.
Un rançongiciel est un logiciel malveillant qui chiffre vos fichiers — les rend illisibles — et exige un paiement en échange de la clé permettant de les déchiffrer. Mais la version moderne du rançongiciel est bien plus sophistiquée que cette description simple.
Les groupes de rançongiciels modernes opèrent selon un modèle en plusieurs étapes :
Phase 1 — Infiltration. L'attaquant entre dans votre réseau. Ça peut prendre une heure ou plusieurs semaines. Il utilise une faille, un identifiant volé, un courriel d'hameçonnage, un VPN vulnérable. Il s'installe discrètement et n'agit pas immédiatement.
Phase 2 — Reconnaissance et propagation. Une fois à l'intérieur, l'attaquant explore votre réseau. Il identifie les serveurs, les partages de fichiers, les sauvegardes accessibles, les comptes à hauts privilèges. Il se déplace latéralement sur le réseau, en s'appropriant de nouveaux comptes et en augmentant ses droits d'accès.
Phase 3 — Exfiltration. Avant de chiffrer quoi que ce soit, les groupes sérieux copient vos données vers un serveur qu'ils contrôlent. C'est la double extorsion : même si vous avez une sauvegarde et refusez de payer, ils menacent de publier vos données de clients, vos contrats, vos informations financières sur un site public.
Phase 4 — Chiffrement. Quand tout est en place, le chiffrement démarre. Un rançongiciel moderne comme LockBit 3.0 peut chiffrer des téraoctets de données en quelques minutes. Il cible les partages réseau, les lecteurs mappés, les serveurs de fichiers, les sauvegardes accessibles depuis le réseau. Il efface les copies fantôme Windows (Shadow Copies) pour empêcher la restauration facile.
Phase 5 — Négociation. La note de rançon apparaît. Elle donne des instructions pour payer, souvent avec un compte à rebours. Les groupes professionnels ont même des équipes de « service client » pour aider les victimes à acheter des cryptomonnaies et à effectuer le paiement.
LockBit a été l'un des groupes les plus actifs au Canada jusqu'à son démantèlement partiel par Europol en 2024. Des variantes de son code circulent encore sous différents noms. Il opère sur un modèle de franchise (Ransomware-as-a-Service) : des affiliés paient une licence pour utiliser l'outil, LockBit prend un pourcentage des rançons. Des affiliés basés au Canada ont été inculpés.
BlackCat / ALPHV cible particulièrement le secteur de la santé, de la comptabilité et du droit — des secteurs fortement représentés au Québec. Il chiffre aussi bien Windows que Linux, ce qui signifie que vos serveurs Linux de sauvegarde ne sont pas épargnés.
Cl0p est spécialisé dans l'exploitation de failles dans les logiciels de transfert de fichiers (MOVEit, GoAnywhere) utilisés par les grandes entreprises et leurs fournisseurs. Une PME qui travaille avec une grande entreprise touchée peut se retrouver indirectement exposée via la chaîne d'approvisionnement.
Ces groupes ne sont pas des hackers isolés dans un sous-sol. Ce sont des organisations avec des ressources humaines, de la comptabilité, du support technique. Certains ont des politiques écrites interdisant d'attaquer les hôpitaux ou les infrastructures critiques — pas par éthique, mais parce que ça attire trop l'attention des forces de l'ordre.
Le Centre canadien pour la cybersécurité (CCCS) publie annuellement des rapports sur l'état des menaces. Voici ce qu'ils révèlent sur le contexte québécois et canadien :
Les PME de moins de 50 employés représentent la majorité des victimes de rançongiciels au Canada, principalement parce qu'elles ont moins de ressources pour se protéger mais des données qui ont de la valeur pour les attaquants.
Les secteurs les plus ciblés au Québec selon les incidents signalés :
Une donnée particulièrement importante : selon le rapport de 2025 du CCCS, environ 60 % des PME canadiennes touchées par un rançongiciel ont signalé que le point d'entrée était un courriel d'hameçonnage ou des identifiants compromis. La technologie seule ne suffit pas — la formation humaine est indispensable.
Connaître les vecteurs d'entrée est essentiel pour les bloquer. Voici les cinq plus fréquents pour les PME québécoises.
La porte d'entrée numéro un, de loin. Une pièce jointe qui semble être une facture PDF, un lien vers une page de connexion Microsoft 365 frauduleuse, une « invitation DocuSign » pour un contrat urgent. Les attaques modernes sont personnalisées : l'attaquant a fait des recherches sur LinkedIn pour connaître le nom de votre comptable, de vos fournisseurs habituels, de vos clients. Le courriel mentionne des noms réels, des références convaincantes. La barrière entre un vrai courriel et un faux est devenue très mince.
Le protocole Bureau à distance (Remote Desktop Protocol, RDP) de Windows permet de contrôler un ordinateur à distance. Beaucoup de PME ont activé RDP pendant la pandémie pour permettre le télétravail, en l'exposant directement sur Internet (port 3389). Les attaquants scannent l'Internet en continu à la recherche de ports RDP ouverts, puis essaient des combinaisons de mots de passe courants (attaque par force brute). Un compte avec un mot de passe faible est compromis en quelques heures. La solution : ne jamais exposer RDP directement sur Internet, passer par un VPN.
Les équipements VPN — Fortinet FortiGate, Cisco ASA, Pulse Secure, SonicWall — ont régulièrement des failles de sécurité critiques publiées. Un équipement VPN non mis à jour peut permettre à un attaquant d'accéder au réseau interne sans identifiants. Des failles dans Fortinet et Cisco ont été activement exploitées par des groupes de rançongiciels en 2024-2025. Si votre équipement VPN n'a pas été mis à jour depuis plus de six mois, vérifiez les bulletins de sécurité du fabricant maintenant.
Un logiciel de gestion de fichiers non mis à jour, un serveur de messagerie obsolète, un logiciel de comptabilité avec une faille connue — les attaquants cherchent activement ces cibles. La chaîne d'approvisionnement logicielle est aussi un vecteur : un logiciel légitime que vous utilisez peut être compromis si son fournisseur est lui-même attaqué (attaque de type supply chain).
Moins fréquent mais réel : une clé USB trouvée dans le stationnement, un technicien qui branche un appareil infecté sur votre réseau, un terminal partagé dans un espace de coworking. La politique de sécurité physique — qui peut brancher quoi sur le réseau, comment les visiteurs accèdent à Internet, comment les appareils non gérés sont traités — fait partie de la sécurité globale.
Si vous ne retenez qu'une chose de ce guide, que ce soit celle-ci : une sauvegarde saine, déconnectée du réseau, mise à jour régulièrement et testée régulièrement, est la seule chose qui vous permettra de récupérer sans payer si vous êtes touché.
La règle 3-2-1 est simple :
En pratique pour une PME de la région de Québec :
Copie 1 — Serveur ou NAS local. Vos données vivent ici, sur votre serveur de fichiers ou votre NAS au bureau. C'est votre copie de travail au quotidien.
Copie 2 — Disque externe rotatif. Un ou deux disques durs externes qui reçoivent une sauvegarde complète chaque semaine, et qui sont déconnectés du réseau entre chaque sauvegarde. Idéalement, vous alternez deux disques : un reste au bureau pendant que l'autre est chez le propriétaire ou dans un classeur ignifuge. Un rançongiciel ne peut pas chiffrer un disque qui n'est pas branché.
Copie 3 — Cloud avec versionnement immutable. Services comme Backblaze B2, Azure Backup ou Wasabi avec la fonctionnalité Object Lock (immutabilité). Même si un attaquant obtient vos identifiants cloud, il ne peut pas effacer ou écraser les versions précédentes des fichiers. Cette protection est critique : certains rançongiciels tentent de supprimer les sauvegardes cloud en utilisant les identifiants volés sur les postes compromis.
Le point que tout le monde oublie : tester la restauration. Mettre en place les sauvegardes et ne jamais les tester revient à installer une extinction de feu sans vérifier qu'il y a de l'eau dedans. Planifiez un test de restauration trimestriel : prenez un fichier aléatoire depuis chaque source de sauvegarde et vérifiez qu'il se restaure correctement. Notez le temps que ça prend. En cas d'incident réel, vous saurez exactement quoi faire et combien de temps prévoir.
Vous avez allumé votre ordinateur un matin et vous voyez la note de rançon. Ou vous recevez un appel d'un employé qui dit que ses fichiers ont des extensions étranges. Les prochaines heures sont critiques. Voici quoi faire, dans l'ordre.
Déconnectez physiquement du réseau tous les appareils que vous pouvez. Débranchez les câbles Ethernet. Désactivez le Wi-Fi. L'objectif est de stopper la propagation du chiffrement. Un rançongiciel actif sur un poste continue à se propager tant qu'il a accès au réseau. Ne pas éteindre les ordinateurs avant d'avoir consulté un expert — certaines techniques forensiques nécessitent que les machines restent sous tension pour récupérer des données de la mémoire vive.
Ne tentez pas de supprimer les fichiers chiffrés. Ne tentez pas de réinstaller Windows. Ne payez pas la rançon immédiatement. Documentez ce que vous voyez : prenez des photos de l'écran, notez l'heure à laquelle vous avez découvert le problème, les noms des fichiers affectés, le message de rançon. Ces informations seront utiles pour l'expert en réponse à incident et pour les forces de l'ordre.
Dans l'ordre : votre expert IT ou un spécialiste en réponse à incident, votre assureur (si vous avez une assurance cyber), la GRC ou le SPVQ pour signaler l'incident. Ne pas appeler un technicien généraliste qui n'a jamais géré un rançongiciel — les premières interventions peuvent compromettre la récupération si elles ne sont pas faites correctement.
Avec l'aide d'un expert, évaluer l'étendue de la compromission : quels systèmes sont touchés, depuis quand l'attaquant était dans le réseau, si des données ont été exfiltrées avant le chiffrement. Cette évaluation détermine ce que vous devrez déclarer à la Commission d'accès à l'information en vertu de la Loi 25.
Si vous avez des sauvegardes propres, la décision est claire : restauration depuis la sauvegarde. Le processus peut prendre de quelques heures à plusieurs jours selon le volume de données. Si vous n'avez pas de sauvegardes, la situation est beaucoup plus complexe — c'est là que la question du paiement se pose, avec les conseils de votre expert et de votre avocat.
Les deux approches sont complémentaires. En voici une comparaison honnête.
Sauvegardes hors ligne (disques physiques déconnectés) :
Sauvegardes cloud avec versionnement immutable :
La règle pratique : utilisez les deux. Le cloud pour la protection hors site et le versionnement. Les disques hors ligne pour une restauration rapide en cas d'urgence.
La segmentation réseau est l'une des mesures les plus efficaces pour limiter les dégâts d'un rançongiciel — et l'une des plus négligées dans les PME.
Le principe : votre réseau n'est pas un bloc monolithique où tout le monde peut parler à tout le monde. Il est divisé en segments — des zones — avec des règles qui contrôlent ce qui peut circuler entre elles.
En pratique pour une PME :
Sans segmentation, un rançongiciel qui entre par le poste d'un employé administratif peut atteindre en quelques minutes le serveur comptable, le système de production, les sauvegardes réseau, et les postes de tous les collègues. Avec une segmentation correcte, la propagation est bloquée ou fortement ralentie, ce qui donne le temps de détecter et d'isoler avant que tout le réseau soit touché.
La question revient souvent : « On a déjà un antivirus, on est protégés ? » La réponse dépend de quel type de protection vous avez et contre quoi vous vous défendez.
Un antivirus traditionnel (ESET NOD32, Malwarebytes, Norton, Bitdefender en mode basique) fonctionne principalement par signatures : il compare les fichiers à une base de données de menaces connues. Il reconnaît ce qu'il connaît déjà. Un rançongiciel jamais vu auparavant — ou une variante légèrement modifiée d'une souche existante — peut passer sans déclencher d'alerte.
C'est suffisant pour bloquer les menaces courantes et les logiciels malveillants connus. C'est insuffisant face à un attaquant qui utilise des techniques avancées pour contourner les signatures.
Un EDR ne se contente pas de comparer des fichiers à une liste. Il surveille en continu le comportement de tous les processus sur le poste : qui lance quoi, qui accède à quels fichiers, qui fait des connexions réseau vers quels serveurs. Il peut détecter un comportement anormal même si le fichier malveillant est inconnu.
Exemples de comportements qu'un EDR détecte et qu'un antivirus traditionnel manque :
Pour les PME, la bonne nouvelle est que des solutions EDR abordables existent :
Microsoft Defender for Business — inclus dans Microsoft 365 Business Premium. Pour les PME déjà sous Microsoft 365, c'est le choix évident. Il offre un niveau de protection EDR géré depuis une console centrale, avec des alertes en temps réel et une réponse automatique à certaines menaces.
ESET Protect Advanced — solution de qualité pour les PME qui n'utilisent pas l'écosystème Microsoft. Console de gestion centralisée, EDR intégré, bonne réputation sur le marché canadien.
Malwarebytes for Teams — option plus accessible pour les très petites PME. Moins de fonctions EDR avancées, mais bien meilleur que l'antivirus traditionnel seul.
On évalue votre posture de sécurité à distance — sans déplacement, sans perturber vos opérations :
Téléphone : (418) 255-8998
La recommandation générale des autorités — GRC, Centre canadien pour la cybersécurité (CCCS), FBI — est de ne pas payer. Payer finance les groupes criminels et ne garantit pas la récupération des données. Dans environ 30 % des cas documentés, les victimes qui ont payé n'ont pas obtenu de clé de déchiffrement fonctionnelle. Si vous avez des sauvegardes saines hors ligne, la restauration est la meilleure voie.
3 copies de vos données, sur 2 supports différents, dont 1 hors site et déconnectée. Une sauvegarde sur un NAS connecté en permanence n'est pas protégée — le rançongiciel peut l'atteindre via le réseau. La copie déconnectée — disque externe débranché après chaque sauvegarde — est ce qui vous permet de récupérer sans payer.
Un antivirus compare les fichiers à des signatures de menaces connues. Un EDR surveille le comportement des processus en temps réel. Pour les PME, Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium) offre un niveau EDR très correct à moindre coût.
Parfois oui — pour certaines familles de rançongiciels dont les clés ont été publiées, le site No More Ransom (nomoreransom.org) offre des outils gratuits. Pour les variantes récentes de LockBit 3.0 ou BlackCat, il n'existe pas d'outil public. La seule vraie garantie reste la sauvegarde propre antérieure à l'infection.
Si l'attaque a conduit à un accès non autorisé à des renseignements personnels — ce qui est presque toujours le cas, puisque les groupes modernes exfiltrent les données avant de les chiffrer — la Loi 25 impose de déclarer l'incident à la Commission d'accès à l'information (CAI) et d'aviser les personnes concernées si le risque est sérieux.
