Blog

Quand un Ransomware frappe : comment deux PME ont survécu

Un matin habituel. Puis, plus rien. Les serveurs sont muets, un simple fichier texte laissé par les attaquants : « Vous avez été piraté. » Ce scénario, un DSI l’a vécu de plein fouet en 2025, pour un autre il a perdu la connexion avec une grande partie de son SI. Lors d’un webinaire organisé par Nuabee, deux DSI ont accepté de raconter leur expérience avec une franchise rare, de l’attaque jusqu’à la reconstruction.

Grâce à leurs retours d’expérience, nous pouvons vous faire un récit de reprise d’activité après une cyber attaque, brut, avec ses erreurs, ses décisions sous pression et ses enseignements concrets. Deux entreprises, deux scénarios radicalement différents, une même conclusion : la cyber-résilience ne s’improvise pas, elle s’organise.

« J’arrive sur place, il s’avère que je ne pouvais plus me connecter sur ni les firewalls, ni les switches, ni tous les ESX… tout était chiffré. Il y avait un petit notepad qui disait : « on vous a piraté ».
— David, Responsable SI

Entreprise 1 : le réveil à 5h05

David, responsable SI d’un groupe industriel international est tiré du sommeil par un appel à 5h05 du matin. Il tente de se connecter à distance. Impossible. Il rejoint le site physiquement. Le diagnostic est sans appel : tous les serveurs on-premise sont chiffrés. Les sauvegardes locales, non immuables, ont subi le même sort. Sur chaque machine, le même texte s’affiche indiquant que l’entreprise a été compromise.

Le vecteur d’entrée ? Une erreur humaine : un administrateur avait téléchargé un logiciel malveillant quelques jours plus tôt, ouvrant une brèche exploitée par le groupe de ransomware Akira. L’attaque de type « Big Bang », massive, simultanée, sans préavis visible, avait tout paralysé en quelques heures pendant la nuit.

La réaction de David est immédiate, deux cellules sont constituées sur-le-champ :

une équipe dédiée à l’investigation (comprendre comment l’attaque s’est propagée et colmater la brèche)
une autre pilotée par Florent, l’administrateur sécurité, pour activer le Plan de Reprise d’Activité (PRA) mis en place chez Nuabee.

L’enjeu est colossal : les usines du groupe sont automatisées à 95 %. Les robots de production exigent une latence inférieure à 3 millisecondes. Faire tourner l’entreprise depuis le cloud n’est pas une option viable. L’infrastructure cloud de Nuabee est utilisée comme un « bac à sable » sécurisé : les VM y sont restaurées, analysées, nettoyées. Une fois validées comme saines, elles sont rapatriées en urgence sur une infrastructure locale entièrement réinitialisée.

Résultat : 80 % de la production redémarre en 48 heures.

« En faisant le tour des machines, mon admin a pu se connecter sur le DC2 et là, en se connectant, il a récupéré la session en direct où le cyberattaquant était en train de se connecter. »
— Thomas, DSI

Entreprise 2 : l’attaquant surpris en direct

Le scénario de Thomas, DSI d’une entreprise de distribution d’accessoires téléphoniques, est plus insidieux. L’attaque débute un samedi, dans le silence du week-end. Le vecteur : un compte utilisateur avec un mot de passe trop faible sur le VPN. Personne ne s’en aperçoit avant le lundi matin, quand les premières alertes et les pertes de services commencent à se multiplier.

Mais la scène décisive se joue lorsque l’administrateur système fait le tour des machines et se connecte sur un contrôleur de domaine. Il récupère alors une session active. Quelqu’un est déjà connecté. Ce quelqu’un, c’est l’attaquant, en train d’opérer en temps réel.

Thomas prend alors une décision radicale, qui sera déterminante : déconnecter physiquement tous les accès Internet de l’entreprise. L’entreprise est mise « sous cloche ». Les binaires de chiffrement, déjà déployés sur le réseau, n’ont pas le temps de s’exécuter sur l’ensemble du SI.

Le PRA Nuabee est activé le mercredi matin, sur requête de la direction : « il faut reprendre le business ». Pendant trois semaines et demi, l’activité tourne sur l’infrastructure de secours cloud remontée par Nuabee. Les collaborateurs se connectent via un VPN sécurisé fourni en urgence.

Résultat : L’entreprise tourne. En mode dégradée, mais elle tourne.

Ce que ces deux crises ont en commun

Au-delà de leurs différences, les deux expériences convergent sur plusieurs points frappants.

Le vecteur d’attaque était connu ou prévisible

Dans les deux cas, les failles exploitées n’étaient pas des vulnérabilités inconnues. L’erreur humaine d’un côté, le mot de passe faible de l’autre. Thomas l’admet sans détour : les faiblesses étaient cartographiées, les projets de remédiation identifiés, mais sans cesse reportés pour des raisons de « timing ».

Le PRA a sauvé la mise, mais n’était pas parfait

Les deux entreprises avaient des PRA testés. Les deux ont pu redémarrer. Mais les deux ont aussi découvert, dans le feu de la crise, des angles morts qu’aucun test n’avait couverts : des machines qu’ils n’avaient pas inclues dans le périmètre de sauvegarde, une bande passante insuffisante pour le rapatriement des données, des besoins métier absents du plan initial.

L’impact financier a été maîtrisé

Contre toute attente, les deux entreprises ont rapporté un impact financier nul en termes de perte de chiffre d’affaires. L’activité a été décalée, mais rattrapée. Les deux organisations ont même réalisé des mois records après la crise. Le coût principal : les prestataires et la fatigue des équipes.

Ce que Nuabee a apporté dans ces deux crises

Dans les deux cas, la solution de PRA cloud de Nuabee a constitué le filet de sécurité opérationnel. Sauvegardes immuables hors périmètre d’attaque, solution de bulle sécurisée étanche qui a permis d’activer l’infrastructure de reprise en quelques heures, accompagnement pendant la reconstruction, etc. Autant d’éléments qui ont permis aux deux DSI de piloter la crise sans être seuls face à l’inconnu.

Votre PRA résisterait-il à un ransomware ?
Testez votre niveau de préparation avec nos experts
échange gratuit de 30 min.

Testez votre niveau de préparation avec nos experts

Vous pourriez être intéressé

Articles sur le même sujet