Comment protéger votre entreprise contre les ransomwares

Pourquoi le ransomware est devenu la pire menace pour les PME au Sénégal ?

Une PME dakaroise infectée perd en moyenne 5 millions de FCFA entre la rançon, l’arrêt d’activité et la reconstruction : c’est 6 mois de marge nette pour beaucoup d’entreprises. Le ransomware ne demande pas de compétences sophistiquées chez l’attaquant grâce au modèle Ransomware-as-a-Service (LockBit, BlackBasta), et frappe massivement via les logiciels piratés (Office, Sage, Photoshop crack) — un fléau particulièrement répandu localement. La seule protection certaine est la sauvegarde déconnectée hors-ligne, testée régulièrement.

Ransomware : la menace numéro un pour les entreprises

Un ransomware (rancongiciel) est un logiciel malveillant qui chiffre vos fichiers et exige une rancon pour les déchiffrer. Au Sénégal, les PME sont des cibles privilegiees car elles investissent peu en sécurité et paient souvent la rancon par desespoir. Le cout moyen d’une attaque ransomware pour une PME en Afrique de l’Ouest dépassé 5 millions de FCFA quand on cumule la rancon, l’arret d’activité et la reconstruction.

Comment fonctionne un ransomware

Les 5 phases d’une attaque

1. Infection : le malware entre via un email de phishing (piece jointe infectee), un site compromis, un logiciel pirate ou une faille non corrigee
2. Installation : le ransomware s’installe silencieusement et peut rester dormant pendant des jours
3. Propagation : il se repand sur le réseau local, infectant les partages réseau, NAS, serveurs et sauvegardes accessibles
4. Chiffrement : tous les fichiers sont chiffres (documents, photos, bases de données). Les extensions changent (.locked, .encrypted, .ryuk)
5. Rancon : un message s’affiche demandant un paiement en Bitcoin ou en cryptomonnaie pour obtenir la clé de déchiffrement

Types de ransomware

Type	Fonctionnement	Exemples connus	Gravite
Crypto-ransomware	Chiffre les fichiers	WannaCry, LockBit, Conti	Critique
Locker	Bloque l’accès au système	WinLocker, Police Ransomware	Moyen (pas de perte de données)
Double extorsion	Chiffre ET vole les données (menace de publication)	REvil, Maze, BlackCat	Très critique
RaaS	Ransomware-as-a-Service (vendu comme un outil)	LockBit, BlackBasta	En hausse

Vecteurs d’infection courants au Sénégal

Vecteur	Description	Fréquence locale
Email phishing	Piece jointe .doc, .xls, .pdf ou .zip avec macro malveillante	Très élevé
Logiciels pirates	Cracks et keygens telecharges qui contiennent le ransomware	Très élevé (Office, Photoshop, Sage pirates)
RDP exposé	Bureau a distance accessible depuis Internet avec mot de passe faible	Élevé (serveurs VPS mal configurés)
Cles USB infectees	Clé USB trouvee ou partagée contenant le malware	Courant
Sites compromis	Sites WordPress piratés servant de vecteur de téléchargement	En hausse
Failles non corrigees	Systèmes non mis a jour (Windows, plugins WordPress)	Très élevé

Point critique : l’utilisation massive de logiciels pirates au Sénégal est le vecteur numéro un. Un crack pour Microsoft Office ou Sage peut contenir un ransomware qui chiffrera tous vos fichiers comptables.

Prévention : les 10 mesures essentielles

1. Sauvegardes deconnectees (la protection ultime)

La seule garantie contre un ransomware est une sauvegarde récente et HORS LIGNE :

# Stratégie de sauvegarde anti-ransomware

# Sauvegarde quotidienne vers un disque externe
# QUE VOUS DECONNECTEZ après la sauvegarde
# Le ransomware ne peut pas chiffrer un disque debranche

# Script de sauvegarde Windows (PowerShell)
$source = "C:\Données-Entreprise"
$dest = "E:\Sauvegardes\$(Get-Date -Format yyyy-MM-dd)"
robocopy $source $dest /MIR /XO /R:1 /W:1

# Sauvegarde base de données MySQL
mysqldump -u root -p --all-databases > "E:\Sauvegardes\db-$(Get-Date -Format yyyy-MM-dd).sql"

# IMPORTANT : debranchez le disque externe après la sauvegarde !
# Un ransomware chiffrera aussi les disques connectés

Stratégie 3-2-1 anti-ransomware :

• 3 copies de vos données critiques
• 2 supports différents (disque dur local + cloud ou NAS)
• 1 copie deconnectee (disque externe debranche ou bande magnetique)

2. Mises a jour systematiques

# Windows : activer les mises a jour automatiques
# Paramètres > Windows Update > Options avancées
# Activer "Recevoir les mises a jour des lors qu'elles sont disponibles"

# WordPress : mises a jour automatiques
# Dans wp-config.php :
define('WP_AUTO_UPDATE_CORE', true);

# Plugins et thèmes : activer les mises a jour auto
# Tableau de bord > Extensions > Activer les mises a jour auto pour chaque plugin

3. Protection email

• Bloquer les pieces jointes executables (.exe, .bat, .vbs, .js, .scr, .ps1)
• Désactiver les macros dans Office par défaut (Fichier > Options > Centre de gestion de la confidentialite > Désactiver toutes les macros avec notification)
• Utiliser un filtre anti-spam efficace (Google Workspace ou Microsoft 365 filtrent bien)
• Former les employes a reconnaitre le phishing

4. Eliminer les logiciels pirates

C’est spécifique mais crucial au Sénégal :

• Remplacez Microsoft Office pirate par Google Workspace (gratuit) ou LibreOffice (gratuit)
• Remplacez Photoshop pirate par GIMP (gratuit) ou Canva
• Utilisez les versions gratuites legales quand elles existent
• Le cout d’une licence est toujours inferieur au cout d’une attaque ransomware

5. Sécuriser RDP

# Si RDP est nécessaire, ne l'exposez JAMAIS directement
# Option 1 : le désactiver
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 1

# Option 2 : le restreindre a des IP spécifiques
# Via le pare-feu Windows
New-NetFirewallRule -DisplayName "RDP Bureau Only" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress "41.82.xxx.xxx" -Action Allow

# Bloquer RDP pour tout le reste
New-NetFirewallRule -DisplayName "RDP Block All" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

# Option 3 : utiliser un VPN pour accéder au RDP
# Le RDP n'est accessible qu'une fois connecté au VPN

6-10. Autres mesures essentielles

• 6. Antivirus a jour : Windows Defender est suffisant s’il est maintenu a jour. Activez la protection en temps réel et la protection contre les ransomwares (Accès contrôle aux dossiers)
• 7. Segmentation réseau : separez le réseau comptabilite du réseau général. Un ransomware dans le PC d’un commercial ne doit pas atteindre le serveur Sage
• 8. Moindre privilege : les employes ne doivent pas être administrateurs de leur PC. Un ransomware a les memes droits que l’utilisateur qui l’exécute
• 9. Filtrage web : bloquer les sites malveillants connus avec un DNS filtrant (CleanBrowsing, OpenDNS)
• 10. Plan de réponse : avoir une procedure ecrite de ce qu’il faut faire en cas d’attaque (voir section suivante)

Windows Defender : protection anti-ransomware integree

# Activer la protection contre les ransomwares dans Windows Defender
# Paramètres > Sécurité Windows > Protection contre les virus
# > Gérer la protection contre les ransomwares
# > Activer "Dispositif d'accès contrôle aux dossiers"

# Via PowerShell :
Set-MpPreference -EnableControlledFolderAccess Enabled

# Ajouter des dossiers protégés
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Données-Entreprise"
Add-MpPreference -ControlledFolderAccessProtectedFolders "D:\Comptabilite"

# Autoriser une application spécifique (ex: Sage)
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\Sage\sage.exe"

# Vérifier le statut
Get-MpPreference | Select-Object EnableControlledFolderAccess

Que faire en cas d’attaque ransomware

Les 60 premieres minutes (critiques)

1. DECONNECTEZ immédiatement les machines infectees du réseau (debranchez le cable Ethernet, désactivez le WiFi). Chaque seconde compte pour limiter la propagation
2. NE PAS eteindre les machines infectees (la RAM peut contenir des indices forensiques et parfois la clé de chiffrement)
3. Alertez la direction et le responsable IT immédiatement
4. Identifiez le type de ransomware : photographiez le message de rancon et l’extension des fichiers chiffres
5. Vérifiez l’etendue : quelles machines et quels partages réseau sont touches ?
6. Protegez les sauvegardes : deconnectez immédiatement les disques de sauvegarde du réseau

Étapes de remediation

1. Identifier le ransomware : utilisez id-ransomware.malwarehunterteam.com en uploadant le message de rancon ou un fichier chiffré. Cela identifie la variante et indique si un decrypteur gratuit existe
2. Chercher un decrypteur gratuit : consultez nomoreransom.org (projet europol). De nombreux decrypteurs gratuits y sont disponibles
3. Restaurer depuis les sauvegardes : si vos sauvegardes sont intactes, reformatez les machines infectees et restaurez
4. Analyser et corriger : identifiez comment le ransomware est entre (email ? logiciel pirate ? RDP ?) et corrigez la faille avant de remettre en ligne

Faut-il payer la rancon ?

La réponse est NON, sauf en tout dernier recours :

• 30% des victimes qui paient ne recoivent jamais la clé de déchiffrement
• Payer encourage les attaquants et finance la cybercriminalite
• Rien ne garantit que vos données n’ont pas ete copiees (double extorsion)
• Vous devenez une cible préférée pour de futures attaques (« ils paient »)
• Exception : si des vies ou la survie de l’entreprise en dependent ET qu’aucune sauvegarde n’existe, la décision revient a la direction

Cas pratiques au Sénégal

Cas 1 : Cabinet comptable touche via Sage pirate

Un cabinet comptable à Dakar a installé une version crackee de Sage. Le crack contenait un ransomware qui a chiffré toutes les bases de données comptables de 15 clients pendant la nuit. Aucune sauvegarde deconnectee. Rancon demandee : 2 Bitcoins (environ 50 millions FCFA). Le cabinet a perdu 3 mois de données comptables.

Lecon : n’utilisez jamais de logiciel pirate pour des données critiques. LibreOffice Calc ou Google Sheets sont gratuits pour la comptabilite de base.

Cas 2 : PME infectee par email

Un employe ouvre une piece jointe « Facture_Fournisseur.docx » qui contenait une macro malveillante. Le ransomware s’est propage via les partages réseau et a chiffré le serveur de fichiers. Mais l’entreprise avait un disque dur externe de sauvegarde debranche dans un tiroir, date de 3 jours. Restauration reussie avec perte minimale.

Lecon : les sauvegardes deconnectees sauvent des entreprises.

Outils gratuits anti-ransomware

Outil	Type	Fonction
Windows Defender	Antivirus + anti-ransomware	Protection en temps réel + accès contrôle aux dossiers
Malwarebytes (gratuit)	Anti-malware	Scan et suppression de malwares (version gratuite : scan a la demande)
No More Ransom	Site web	Decrypteurs gratuits pour de nombreux ransomwares
ID Ransomware	Site web	Identifier le type de ransomware a partir d’un echantillon
RansomFree (Cybereason)	Protection proactive	Detecte le comportement de chiffrement et le bloque

Erreurs fréquentes

1. Sauvegarde sur disque externe… toujours branché

Cause : on connecte un disque externe USB pour la sauvegarde quotidienne et on l’oublie branché. Le ransomware chiffre tous les disques accessibles, y compris la sauvegarde.

Solution : automatisez la sauvegarde puis débranchez physiquement le disque. Idéal : 2 disques alternés (impair/pair) toujours stockés ailleurs (chez le dirigeant, dans un coffre).

2. Payer la rançon en pensant tout récupérer

Cause : 30 à 40 % des victimes qui paient ne reçoivent jamais la clé. Et 80 % des entreprises qui paient sont re-attaquées dans les 12 mois (vous êtes désormais marqué « solvable »).

Solution : NE PAYEZ PAS. Consultez No More Ransom (projet Europol) — décrypteurs gratuits pour 200+ familles. Restaurez depuis sauvegarde et signalez à CERT-SN.

3. RDP exposé directement sur Internet

Cause : on configure le RDP (port 3389) accessible depuis l’extérieur « pour télétravailler ». Les bots scannent en permanence ce port et brute-forcent les mots de passe en quelques heures.

Solution : JAMAIS de RDP exposé. Imposez un VPN (WireGuard, OpenVPN) en amont, ou un service de type Cloudflare Access/Tailscale. Et changez le port par défaut + 2FA RDP.

4. Tester sa sauvegarde uniquement le jour de la crise

Cause : on a une sauvegarde mais on ne l’a jamais restaurée. Le jour de l’attaque, on découvre qu’elle est corrompue, incomplète, ou que le mot de passe de chiffrement est perdu.

Solution : faites un test de restauration trimestriel sur un environnement de test. Documentez la procédure, chronométrez le RTO (Recovery Time Objective). Une sauvegarde non testée n’est pas une sauvegarde.

5. Donner à tous les employés des droits administrateur

Cause : par facilité, tous les comptes Windows sont en local admin. Le ransomware lancé par un commercial peut alors chiffrer les partages réseau, désactiver Windows Defender et créer de la persistance.

Solution : moindre privilège : comptes utilisateurs simples par défaut, droits admin temporaires uniquement quand nécessaire (LAPS pour Windows). Bloque 80 % des techniques de propagation.

Checklist anti-ransomware pour PME

• Sauvegardes quotidiennes avec au moins une copie deconnectee physiquement
• Test de restauration des sauvegardes effectué ce trimestre
• Mises a jour automatiques activees sur tous les postes et serveurs
• Macros Office désactivées par défaut
• Aucun logiciel pirate sur les machines de l’entreprise
• RDP désactivé ou accessible uniquement via VPN
• Protection anti-ransomware Windows Defender activée
• Employes formes a reconnaitre le phishing
• Procedure de réponse aux incidents documentee et connue
• Numeros d’urgence IT accessibles rapidement

Dans la continuité

• Reconnaître un email de phishing — vecteur n°1 d’infection ransomware.
• Installer et configurer un antivirus efficacement — Defender + Controlled Folder Access.
• Créer des mots de passe inviolables — moindre privilège commence par des mots de passe forts.
• Configurer la 2FA partout — bloque la propagation sur les comptes admin.
• Référence officielle : No More Ransom et CISA — StopRansomware.
• Outils : ID Ransomware (identification), Veeam Backup Free ou restic (backup déconnecté).