Cas pratique : “On s’est fait chiffrer” — timeline d’une PME romande face à un ransomware

Cas pratique : “On s’est fait chiffrer” — timeline d’une PME romande

Introduction

Un lundi matin, le directeur d’une PME romande découvre que ses serveurs sont inaccessibles. Les fichiers sont chiffrés. Un message de rançon apparaît.

Selon l’Office fédéral de la cybersécurité, les attaques par ransomware font partie des incidents régulièrement signalés par les entreprises suisses (Office fédéral de la cybersécurité OFCS, Rapport semestriel, https://www.ncsc.admin.ch).

Que se passe-t-il concrètement dans les premières heures ? Quelles décisions incombent au dirigeant ? Quel est le rôle de l’assureur ? Et quels sont les coûts typiques d’un tel événement ?

Voici une timeline structurée, basée sur des pratiques observées en gestion d’incidents.

1. Heure 0 à 4 : détection et premières décisions

1.1 Constat de l’infection

Les systèmes sont bloqués. Les postes affichent un message de rançon. La production est à l’arrêt.

Décisions immédiates :

• Isoler les systèmes du réseau

• Suspendre les accès distants

• Informer la direction

1.2 Activer la cellule de crise

Le dirigeant doit désigner :

• Un responsable technique

• Un responsable communication

• Un interlocuteur assureur

L’OFCS recommande de signaler les cyberincidents et met à disposition des canaux de déclaration (OFCS, Signalement d’incidents, https://www.ncsc.admin.ch).

2. Heure 4 à 24 : experts et assureur

2.1 Notification à l’assureur cyber

Si une assurance cyber est en place, la notification rapide est essentielle. Elle permet l’activation :

• Des experts forensiques

• Des avocats spécialisés

• Des consultants en communication de crise

2.2 Intervention forensique

Les experts analysent :

• Point d’entrée

• Étendue du chiffrement

• Exfiltration éventuelle de données

L’objectif est de déterminer si des données personnelles ont été compromises. En cas de violation de données présentant un risque élevé, la loi fédérale sur la protection des données impose une notification au Préposé fédéral (PFPDT, art. 24 nLPD, https://www.fedlex.admin.ch).

Mini-cas pratique 1

La PME découvre que des données clients ont été exfiltrées avant chiffrement. L’avocat mandaté par l’assurance évalue l’obligation de notification au PFPDT et la communication aux clients.

3. Jour 2 à 5 : arbitrages stratégiques

3.1 Payer ou ne pas payer ?

Les autorités suisses déconseillent le paiement des rançons, notamment car il n’offre aucune garantie de récupération complète (OFCS, Ransomware – recommandations, https://www.ncsc.admin.ch).

Le dirigeant doit arbitrer :

• Capacité de restauration via sauvegardes

• Impact d’une interruption prolongée

• Risque réputationnel

3.2 Reprise progressive

Les équipes techniques procèdent :

• À la restauration des sauvegardes

• À la réinstallation des postes

• Au renforcement des accès

La perte d’exploitation devient un sujet central.

4. Coûts typiques d’un incident ransomware

Les postes de coûts observés incluent :

• Intervention forensique

• Assistance juridique

• Communication de crise

• Interruption d’activité

• Remise en état des systèmes

Selon le rapport « Cost of a Data Breach » d’IBM Security (IBM, 2023, https://www.ibm.com/reports/data-breach), les incidents de violation de données génèrent des coûts multiples, comprenant investigation, notification et interruption d’activité. Les montants varient fortement selon la taille et le secteur ; aucune moyenne spécifique aux PME romandes n’est publiée par une source officielle suisse à ce jour.

Il est donc prudent d’aborder la question de manière méthodologique plutôt que de s’appuyer sur un chiffre générique.

Mini-cas pratique 2

La PME n’a pas testé ses sauvegardes depuis plusieurs mois. La restauration prend plus de temps que prévu. L’interruption d’activité s’allonge, générant un impact financier significatif. La garantie perte d’exploitation cyber est activée.

5. Relation assureur et gouvernance

5.1 Rôle de l’assureur

L’assurance cyber n’est pas uniquement un remboursement financier. Elle coordonne souvent :

• Experts techniques

• Avocats spécialisés

• Conseillers en communication

5.2 Rôle du dirigeant

Le dirigeant reste décisionnaire :

• Arbitrage stratégique

• Communication interne

• Priorisation de la reprise

La responsabilité de gouvernance peut également concerner les administrateurs, notamment sous l’angle D&O.

Encadré – Ce qu’il faut documenter

• Chronologie précise des événements

• Logs et éléments techniques

• Décisions prises et motivations

• Échanges avec l’assureur

• Communication aux parties prenantes

Repères et check-list actionnable

Phase Action clé Responsable

Détection Isolation systèmes IT

Notification Assureur et autorités si requis Direction

Analyse Mandat forensique Assureur / IT

Décision Payer ou restaurer Direction

Reprise Restauration contrôlée IT

Post-mortem Analyse et amélioration Direction

Erreurs fréquentes et comment les éviter

1. Attendre avant d’isoler les systèmes.

2. Ne pas notifier l’assureur immédiatement.

3. Sous-estimer la durée réelle de reprise.

4. Négliger la communication interne.

5. Omettre l’analyse post-incident.

Questions à poser à son assureur/courtier

1. Quel est le délai maximal de notification ?

2. Qui mandate les experts forensiques ?

3. La perte d’exploitation est-elle couverte sans dommage matériel ?

4. Les frais juridiques sont-ils inclus ?

5. L’assureur coordonne-t-il la communication de crise ?

6. Existe-t-il une hotline 24/7 ?

7. Comment est calculée la perte d’exploitation ?

8. Y a-t-il des sous-limites spécifiques au ransomware ?

9. La garantie inclut-elle l’extorsion numérique ?

10. Comment améliorer notre profil au renouvellement ?

Conclusion

Un ransomware PME Suisse n’est pas uniquement un incident IT. C’est une crise de gouvernance.

Les premières heures conditionnent l’impact financier et réputationnel. Une assurance cyber structurée apporte coordination et expertise, mais ne remplace ni la préparation ni la décision stratégique du dirigeant.

Prochaine étape : formaliser un plan de réponse incident clair et tester vos

sauvegardes avant d’en avoir besoin.