Faut-il payer la rançon pour récupérer ses fichiers ?

Non — les autorités et les experts en cybersécurité le déconseillent unanimement. Payer ne garantit pas la récupération : entre 20 % et 40 % des victimes qui paient ne reçoivent jamais de clé fonctionnelle. Payer finance également les attaquants, les incite à cibler d'autres victimes, et vous identifie comme une cible solvable pour de futures attaques. Commencez toujours par vérifier No More Ransom (nomoreransom.org) pour un outil de déchiffrement gratuit avant d'envisager quoi que ce soit d'autre.

Le projet No More Ransom est-il vraiment efficace ?

Oui, significativement. Lancé en 2016 par Europol, la police néerlandaise et des partenaires privés, No More Ransom regroupe plus de 160 outils de déchiffrement gratuits couvrant des centaines de familles de ransomwares. À ce jour, il a aidé plus de 6 millions de victimes à récupérer leurs données sans payer. L'outil Crypto Sheriff identifie automatiquement le ransomware en analysant deux fichiers chiffrés et la note de rançon, puis vérifie si un déchiffreur est disponible. Le service est gratuit, multilingue, et officiel.

Comment savoir quel ransomware a chiffré mes fichiers ?

Deux méthodes principales. Première méthode : rendez-vous sur id.ransomware.org ou nomoreransom.org/crypto-sheriff et uploadez deux fichiers chiffrés ainsi que la note de rançon — l'outil identifie automatiquement la souche. Deuxième méthode manuelle : notez l'extension ajoutée à vos fichiers (ex. : .locky, .cerber, .wannacry, .lockbit) et le nom ou l'adresse email présents dans la note de rançon, puis recherchez ces informations sur les forums spécialisés (BleepingComputer, forums ID Ransomware). L'identification est cruciale : elle détermine si un outil gratuit existe.

Puis-je récupérer mes fichiers si aucun outil ne fonctionne ?

Peut-être, mais pas forcément maintenant. Conservez impérativement une copie de vos fichiers chiffrés sur un support externe mis de côté : des clés de déchiffrement sont publiées régulièrement par les chercheurs et les forces de l'ordre, parfois plusieurs mois ou années après l'attaque initiale. Si la valeur des données le justifie, des laboratoires forensics spécialisés peuvent parfois récupérer des fichiers partiels ou exploiter des failles dans l'implémentation cryptographique du ransomware. En dernier recours, Coveware propose une analyse gratuite et peut négocier si le paiement est inévitable.

Windows Defender me protège-t-il contre les ransomwares ?

Partiellement. Microsoft Defender Antivirus offre une protection de base satisfaisante, mais sa force réelle contre les ransomwares est la fonctionnalité Accès contrôlé aux dossiers (désactivée par défaut). Activez-la dans Sécurité Windows > Protection contre les virus et menaces > Paramètres de protection contre les ransomwares. Elle bloque tout programme non approuvé qui tente de modifier vos fichiers dans les dossiers protégés. Complétez par des mises à jour Windows régulières, la protection cloud de Defender activée, et surtout une stratégie de sauvegarde offline — car aucun antivirus n'est infaillible contre les nouvelles souches.

Que faire des fichiers chiffrés que je ne peux pas récupérer maintenant ?

Ne les supprimez pas. Copiez-les sur un disque externe dédié que vous mettrez de côté, déconnecté de tous vos appareils. L'histoire du ransomware montre que des solutions apparaissent régulièrement : les opérations de démantèlement par les forces de l'ordre libèrent parfois les clés maîtresses (comme lors du démantèlement de LockBit en 2024), et les chercheurs en sécurité trouvent parfois des failles dans les implémentations cryptographiques qui permettent de déchiffrer sans la clé. TeslaCrypt, Shade et Petya ont tous eu des outils de déchiffrement publiés longtemps après les premières infections.

Récupérer ses fichiers après ransomware : 10 outils gratuits efficaces en 2026

Vous venez de découvrir que vos fichiers sont chiffrés et inaccessibles. Un ransomware a frappé. Avant de paniquer ou de sortir votre carte bancaire pour payer la rançon, lisez cet article : il existe aujourd'hui plus de 160 outils de déchiffrement gratuits, dont plusieurs sont capables de récupérer vos données sans débourser un centime. Ce guide vous explique comment identifier le ransomware, utiliser les meilleurs outils gratuits dans l'ordre, et surtout comment ne plus jamais vous retrouver dans cette situation.

Comment utiliser cet article selon votre situation

Déjà infecté ? → Allez directement à « Identifier le ransomware » puis « Les 10 outils »
À risque (sauvegarde insuffisante) ? → Lisez « Comment éviter la prochaine attaque »
Veut protéger son système ? → Commencez par « Avant tout » puis « Comment éviter »

Avant tout : ne payez pas et ne redémarrez pas

C'est le conseil le plus important de tout ce guide, et il doit être appliqué dans les premières secondes qui suivent la découverte de l'attaque. Deux réflexes naturels — payer pour en finir, ou redémarrer l'ordinateur — sont précisément ce qu'il ne faut pas faire.

Pourquoi ne pas payer

La raison la plus évidente est financière : les rançons demandées oscillent généralement entre 300 € et plusieurs milliers d'euros pour les particuliers, et jusqu'à plusieurs millions pour les entreprises. Mais l'argument économique est loin d'être le seul.

Premièrement, payer ne garantit absolument pas la récupération de vos données. Les statistiques compilées par des chercheurs en cybersécurité montrent que 20 à 40 % des victimes qui paient ne reçoivent jamais de clé fonctionnelle — soit parce que le groupe criminel a disparu, soit parce que leur infrastructure a été démantelée entre-temps, soit simplement parce qu'ils mentent. Vous feriez confiance à des criminels pour tenir parole : c'est une loterie à très fort enjeu.

Deuxièmement, payer finance directement les opérations criminelles. Les groupes de ransomware réinvestissent les rançons perçues dans le développement de nouvelles variantes plus sophistiquées, le recrutement d'affiliés, et la corruption de fonctionnaires dans les pays qui les hébergent. Chaque paiement contribue à rendre les prochaines vagues d'attaques plus puissantes.

Troisièmement, payer vous identifie comme une cible solvable et coopérative. Des victimes ont rapporté avoir été attaquées à nouveau peu après avoir réglé une première rançon. Le groupe criminel sait que vous avez payé : vous entrez dans une liste de « bons payeurs » qui circule sur les forums clandestins.

Pourquoi ne pas redémarrer

Le redémarrage peut sembler logique — comme on le ferait pour un bug ordinaire. C'est une erreur pour plusieurs raisons. Certains ransomwares utilisent une chiffrement en mémoire vive dont la clé partielle est encore accessible avant le redémarrage. Des outils forensics spécialisés peuvent parfois l'extraire, ce qui deviendrait impossible après extinction de la machine.

De plus, de nombreuses souches de ransomware installent un composant de persistance qui se relance au démarrage. Redémarrer peut déclencher une deuxième phase de chiffrement sur les fichiers qui auraient été épargnés lors de la première passe.

Les actions immédiates à effectuer

Déconnecter du réseau immédiatement : débranchez le câble Ethernet, désactivez le Wi-Fi, déconnectez le Bluetooth. L'objectif est d'empêcher la propagation vers d'autres machines sur le réseau local (NAS, autres ordinateurs, partages réseau) et d'interrompre la communication du ransomware avec ses serveurs de contrôle.

Déconnecter les supports de stockage externes : débranchez tous les disques durs externes, clés USB et disques optiques. Les ransomwares parcourent systématiquement tous les lecteurs accessibles, y compris les sauvegardes sur disque externe si elles sont connectées au moment de l'attaque.

Photographier la note de rançon : avant de faire quoi que ce soit d'autre, photographiez avec votre téléphone l'écran affichant la note de rançon. Elle contient des informations cruciales pour l'identification du ransomware : adresses e-mail des attaquants, identifiant de victime, extension des fichiers chiffrés, nom du groupe criminel. Ces éléments seront nécessaires pour les étapes suivantes. Si vous envisagez de porter plainte — ce qui est recommandé en France via cybermalveillance.gouv.fr — ces preuves seront indispensables.

Identifier le ransomware : première étape obligatoire

Avant d'utiliser n'importe quel outil de déchiffrement, vous devez savoir précisément à quelle souche de ransomware vous avez affaire. Un outil de déchiffrement est toujours spécifique à une famille donnée : utiliser le mauvais outil ne sert à rien — et dans de rares cas, peut même corrompre davantage les fichiers. L'identification prend cinq minutes et est absolument indispensable.

ID Ransomware : l'outil d'identification de référence

Rendez-vous sur id.ransomware.org (ou directement via nomoreransom.org/crypto-sheriff). Cet outil, créé et maintenu par Michael Gillespie, est la base de données d'identification la plus complète qui existe. Il reconnaît plus de 1 000 souches différentes.

Pour l'utiliser, vous devez fournir deux éléments. D'abord, uploadez deux ou trois fichiers chiffrés représentatifs — évitez les fichiers système, prenez des documents ou des photos dont vous connaissez le contenu original. Ensuite, uploadez ou copiez-collez le contenu de la note de rançon (généralement un fichier texte nommé README.txt, HELP_DECRYPT.txt, DECRYPT_MY_FILES.html ou similaire, présent dans chaque dossier affecté).

L'outil analyse les en-têtes des fichiers chiffrés, l'extension ajoutée, et le contenu de la note pour identifier la famille de ransomware. En quelques secondes, il vous indique le nom de la souche et, si un outil de déchiffrement est disponible, vous redirige directement vers lui.

Ce que révèle l'identification

L'identification ne se limite pas à trouver un outil. Elle vous donne aussi des informations cruciales sur ce à quoi vous faites face : certaines souches sont connues pour supprimer les copies d'ombre Windows (empêchant la restauration système), d'autres pour exfiltrer les données avant de chiffrer (double extorsion), d'autres encore pour avoir une implémentation cryptographique défaillante qui permet le déchiffrement même sans la clé officielle.

Si l'outil ne reconnaît pas la souche, notez manuellement l'extension des fichiers chiffrés et les informations de contact dans la note de rançon, puis effectuez une recherche sur BleepingComputer (bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/) — un forum communautaire où des chercheurs répondent souvent dans les heures qui suivent.

Les 10 meilleurs outils de déchiffrement gratuits en 2026

Une fois le ransomware identifié, consultez les outils ci-dessous dans l'ordre. Le premier est votre point d'entrée obligatoire — il agrège la plupart des autres. Les suivants sont des sources complémentaires spécialisées pour des familles spécifiques. Pour un contexte plus large sur la protection et la récupération, consultez notre guide complet de protection contre les ransomwares.

1. No More Ransom Project

URL : nomoreransom.org (disponible en français)
Qui peut l'utiliser : tout le monde, particuliers et entreprises
Familles couvertes : 160+ outils, plus de 130 partenaires institutionnels

C'est le point de départ incontournable, et de loin la ressource la plus complète disponible gratuitement. Lancé en 2016 par Europol, la police nationale des Pays-Bas, Kaspersky et Intel Security (désormais McAfee), le projet regroupe aujourd'hui plus de 130 partenaires — forces de l'ordre de 40 pays, éditeurs de sécurité, universités — qui mutualisent leurs outils de déchiffrement.

Le Crypto Sheriff intégré au site fait le travail d'identification et d'orientation automatiquement. Si votre ransomware figure dans la base, vous êtes redirigé vers l'outil approprié avec les instructions d'utilisation. La liste s'enrichit régulièrement suite aux opérations de démantèlement d'infrastructures criminelles, qui libèrent parfois des milliers de clés maîtresses : c'est ainsi que des outils pour Dharma, Shade, et plusieurs variantes de LockBit ont été publiés.

Fait important : les outils distribués via No More Ransom sont systématiquement vérifiés par les équipes partenaires. Méfiez-vous des sites tiers qui prétendent distribuer des « outils de déchiffrement » — certains sont des malwares déguisés.

2. Emsisoft Decryptor

URL : emsisoft.com/ransomware-decryption-tools/
Qui peut l'utiliser : particuliers et PME
Familles couvertes : 20+ familles dont AutoIt, Avaddon, BigBobRoss, Crypt888, CryptoDefense, DarkSide (partiel), GandCrab (versions 4 et 5), HermeticRansom, Hive (versions 1 à 4), Maze

Emsisoft est l'un des éditeurs les plus actifs dans le développement d'outils de déchiffrement gratuits pour les victimes de ransomware. Leur équipe de chercheurs analyse régulièrement de nouvelles souches pour identifier des faiblesses cryptographiques ou exploiter les clés obtenues lors des démantèlements. Leurs outils sont parmi les plus fiables techniquement — ils incluent des vérifications d'intégrité pour s'assurer que les fichiers déchiffrés sont corrects avant d'écraser les originaux.

Un avantage concret : les déchiffreurs Emsisoft proposent systématiquement une option « garder les fichiers chiffrés en copie de sauvegarde » activée par défaut — ce qui vous permet de récupérer si quelque chose se passe mal pendant le déchiffrement.

3. Avast Ransomware Decryption Tools

URL : avast.com/ransomware-decryption-tools
Qui peut l'utiliser : particuliers et entreprises
Familles couvertes : AES_NI, Alcatraz Locker, Apocalypse, AtomSilo, Babuk, BadBlock, Bart, BigBobRoss, BTCWare, Crypt888, CryptoMix (hors ligne), CrySIS, EncrypTile, FindZip, Globe, HiddenTear, Jigsaw, LambdaLocker, Legion, LockFile, MaMoCrypt, MegaLocker, NoobCrypt, Prometheus, Ragnarok, Ransomware71, SZFLocker, Stampado, TeslaCrypt, TargetCompany, Venus

Avast maintient l'une des listes les plus étendues d'outils de déchiffrement individuels, chacun dédié à une famille spécifique. La page de téléchargement est organisée par nom de famille de ransomware, ce qui facilite la navigation une fois l'identification faite. Les outils sont gratuits sans nécessité d'avoir un produit Avast installé.

Avast collabore étroitement avec les forces de l'ordre lors des opérations de démantèlement. Lors de l'opération contre les infrastructures de LockBit en février 2024, leur équipe a été parmi les premières à analyser les clés récupérées pour produire un déchiffreur.

4. Kaspersky Free Ransomware Decryptor

URL : kaspersky.fr/ransomware-decryptor
Qui peut l'utiliser : particuliers et entreprises
Familles couvertes : Rakhni, Rannoh, CoinVault, Bitcryptor, Wildfire, Shade (Troldesh), Yatron, FortuneCrypt, Fonix, Dharma, Cryakl

Kaspersky, l'un des partenaires fondateurs de No More Ransom, distribue ses propres outils de déchiffrement directement sur son site. L'outil RakhniDecryptor est particulièrement notable : il couvre une famille de ransomwares particulièrement répandue dans les attaques ciblant les particuliers, avec de nombreuses variantes toutes traitables par un unique exécutable.

Le déchiffreur Shade mérite une mention spéciale : en 2020, les opérateurs eux-mêmes ont fermé leurs serveurs et publié plus de 750 000 clés de déchiffrement — une situation rare où Kaspersky a pu rapidement produire un outil couvrant toutes les variantes. C'est un exemple concret de pourquoi conserver les fichiers chiffrés peut valoir la peine d'attendre.

5. Michael Gillespie / ID Ransomware

URL : id.ransomware.org
Qui peut l'utiliser : particuliers et professionnels
Rôle : identification avancée + nombreuses clés obtenues de manière indépendante

Michael Gillespie est l'un des chercheurs indépendants les plus prolifiques dans la communauté anti-ransomware. En plus d'avoir créé ID Ransomware (l'outil d'identification décrit plus haut), il a développé de nombreux déchiffreurs pour des souches dont les failles cryptographiques lui ont permis de reconstituer les clés sans intervention des autorités.

Son travail est particulièrement précieux pour les souches plus anciennes ou moins connues qui ne figurent pas dans les grandes bases comme No More Ransom. Le forum de BleepingComputer, auquel il contribue activement, est la meilleure ressource communautaire pour les cas non couverts par les outils officiels.

6. Trend Micro Ransomware File Decryptor

URL : trendmicro.com/en_us/forHome/products/decryptor.html
Qui peut l'utiliser : particuliers et entreprises
Familles couvertes : 27 familles dont CryptXXX (versions 1, 2, 3), CrySIS, DXXD, MirCop, MirCop, Petya (version mai 2016), RANSOM_CERBER, RANSOM_MIRCOP, SNSLocker, StupidDecryptor, TeslaCrypt (versions 1, 2, 3, 4), WannaCry, XORIST, XORBAT, ZCRYPT

L'outil de Trend Micro se distingue par une interface graphique simple qui guide l'utilisateur pas-à-pas dans le processus de déchiffrement. Il intègre également un mode de scan qui parcourt automatiquement tous les lecteurs disponibles pour identifier les fichiers chiffrés et les déchiffrer en une passe. Pour les familles couvertes — notamment les variantes de TeslaCrypt et WannaCry —, c'est l'un des outils les plus pratiques d'utilisation.

Note concernant WannaCry : bien que l'attaque massive de 2017 soit derrière nous, des variantes continuent de circuler et d'infecter des machines Windows non mises à jour. Si vous avez un vieux système sans les correctifs post-2017, la vulnérabilité EternalBlue exploitée par WannaCry est toujours active.

7. Malwarebytes Anti-Ransomware

URL : malwarebytes.com
Qui peut l'utiliser : particuliers
Rôle : protection temps réel + détection comportementale + nettoyage post-infection

Malwarebytes occupe une place particulière dans cette liste : c'est moins un outil de déchiffrement qu'un outil de nettoyage et de protection comportementale. Sa valeur post-infection réside dans sa capacité à détecter et supprimer les composants résiduels du ransomware (rootkits, droppers, modules de persistance) qui peuvent subsister après le chiffrement, et qui doivent absolument être éliminés avant toute tentative de restauration depuis sauvegarde.

La version gratuite de Malwarebytes effectue le scan et la suppression des malwares. Sa protection comportementale en temps réel (version Premium) détecte les patterns d'activité typiques des ransomwares — accès en masse à des fichiers, modification d'extensions en série — et peut stopper certaines infections avant qu'elles ne complètent le chiffrement. Pour une protection complète, envisagez de l'associer à Windows Defender plutôt que de le substituer.

8. SentinelOne Ransomware ID

URL : sentinelone.com/cybersecurity-101/ransomware/ransomware-id/
Qui peut l'utiliser : particuliers et entreprises
Rôle : identification avancée des variantes récentes, notamment des ransomwares-as-a-service

SentinelOne, éditeur de solutions EDR professionnelles, met gratuitement à disposition un outil d'identification complémentaire qui excelle sur les souches récentes, notamment celles issues des plateformes ransomware-as-a-service (RaaS) comme les variantes de LockBit, ALPHV/BlackCat et leurs successeurs apparus en 2025-2026.

L'outil analyse les caractéristiques des fichiers chiffrés avec des algorithmes de détection entraînés sur les bases de données forensics de SentinelOne, qui traitent des milliers d'incidents par an à l'échelle mondiale. Pour les infections récentes non reconnues par ID Ransomware ou Crypto Sheriff, c'est une deuxième opinion précieuse.

9. Coveware

URL : coveware.com
Qui peut l'utiliser : entreprises et particuliers avec données à haute valeur
Rôle : analyse gratuite + négociation si paiement inévitable (dernier recours absolu)

Coveware est un cas à part dans cette liste : c'est un cabinet spécialisé dans la gestion des incidents ransomware qui propose une consultation initiale gratuite. Ils fournissent une analyse technique de votre infection, déterminent si la récupération est possible par d'autres moyens, et vous informent des risques réels associés au ransomware qui vous a touché — notamment s'il y a eu exfiltration de données.

Si absolument tous les autres recours ont été épuisés et que les données sont d'une valeur critique, Coveware peut gérer la négociation de manière professionnelle, réduire le montant de la rançon (leur expertise leur permet souvent d'obtenir des réductions de 50 à 80 %), et s'assurer que la transaction est gérée d'une façon qui minimise le risque de réinfection. Ce n'est pas une recommandation de payer : c'est le dernier recours quand tout le reste a échoué et que les enjeux sont suffisamment élevés.

10. Shadow Copies Windows (vssadmin)

URL : fonctionnalité intégrée à Windows (Win+R → vssadmin)
Qui peut l'utiliser : utilisateurs Windows 10/11
Rôle : récupération des versions antérieures depuis les points de restauration système

Les Copies Shadow de Volume (VSS) sont une fonctionnalité Windows souvent méconnue qui crée automatiquement des instantanés de vos fichiers à chaque point de restauration système. Si le ransomware n'a pas spécifiquement ciblé et supprimé ces copies — ce que font malheureusement la plupart des souches modernes, mais pas toutes —, vous pouvez récupérer vos fichiers sans aucun outil tiers.

Pour vérifier, faites un clic droit sur un dossier contenant des fichiers chiffrés, sélectionnez « Propriétés », puis l'onglet « Versions précédentes ». Si des versions antérieures apparaissent, vous pouvez restaurer les fichiers à un état antérieur à l'infection. Cette méthode fonctionne indépendamment du type de ransomware — c'est pourquoi les développeurs de ransomwares s'acharnent à supprimer ces copies. Vérifiez toujours en premier : si les copies sont intactes, c'est la méthode la plus simple et la plus rapide.

Pour une récupération plus avancée des copies shadow, l'outil gratuit ShadowExplorer (shadowexplorer.com) offre une interface graphique plus complète que le menu contextuel natif.

Et si aucun outil ne fonctionne ?

Vous avez vérifié No More Ransom, ID Ransomware, les outils d'Emsisoft, d'Avast, de Kaspersky et de Trend Micro. Aucun ne couvre votre souche. C'est décourageant, mais ce n'est pas nécessairement définitif.

Conserver impérativement les fichiers chiffrés

C'est la règle la plus importante de cette section : ne supprimez jamais vos fichiers chiffrés. Copiez-les intégralement sur un disque dur externe dédié, étiquetez-le avec la date et le nom du ransomware, et rangez-le dans un tiroir. Cette règle peut vous sembler absurde — conserver des fichiers inutilisables — mais l'histoire du ransomware est jalonnée d'exemples de victimes qui ont pu récupérer leurs données des mois ou des années après l'infection initiale.

TeslaCrypt a eu ses clés maîtresses publiées par ses propres opérateurs en 2016. Shade (Troldesh) a publié plus de 750 000 clés en 2020 avant de fermer. L'opération Tovar en 2014 a permis de récupérer les clés de CryptoLocker et de proposer un service de déchiffrement gratuit à toutes les victimes. Lors du démantèlement de LockBit en février 2024, des milliers de clés ont été récupérées par les autorités. Une souche sans solution aujourd'hui peut en avoir une demain.

Laboratoires forensics spécialisés

Si la valeur des données justifie un investissement significatif, des laboratoires forensics spécialisés en récupération de données post-ransomware peuvent parfois obtenir des résultats là où les outils automatiques échouent. Ils exploitent notamment les failles dans l'implémentation cryptographique de certaines souches — erreurs dans la génération des clés, réutilisation de nombres aléatoires, ou implémentations AES déficientes qui créent des patterns exploitables.

En France, des prestataires certifiés par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) proposent ces services. L'ANSSI publie une liste de prestataires qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité) sur son site — c'est la référence pour éviter les arnaques dans ce secteur. Pour les questions de cybersécurité des PME, le site de la société JTH Informatique offre des ressources pratiques sur les démarches à suivre après une attaque.

L'état des grandes menaces en 2026 : LockBit et ALPHV/BlackCat

En février 2024, l'opération Cronos menée par le FBI, Europol et la NCA britannique a démantelé une grande partie de l'infrastructure de LockBit — à l'époque le groupe de ransomware le plus actif au monde, responsable de plus de 2 000 victimes confirmées dans 60 pays. Les autorités ont récupéré 1 000 clés de déchiffrement et mis en ligne un portail de déchiffrement gratuit pour les victimes. Une partie de l'infrastructure de LockBit 4.0 a cependant survécu, et des variantes continuent d'être actives en 2026.

ALPHV/BlackCat, l'autre grand groupe de ransomware, a été démantelé par le FBI en décembre 2023 — mais certains affiliés ont migré vers de nouveaux groupes. Le paysage des menaces en 2026 est fragmenté : les grands groupes monolithiques ont cédé la place à de nombreux acteurs plus petits utilisant des plateformes RaaS. Cette fragmentation complique l'obtention de clés de déchiffrement par les autorités, mais elle signifie aussi que les groupes sont souvent moins sophistiqués techniquement, parfois avec des implémentations cryptographiques défaillantes.

Comment éviter la prochaine attaque

La meilleure récupération d'un ransomware est celle qu'on n'a pas besoin de faire. Après avoir traversé une infection — ou pour s'en prémunir —, voici les mesures concrètes qui changent réellement le rapport de force entre vous et les attaquants.

La règle 3-2-1 : votre meilleure défense

Aucun outil de déchiffrement, aucun antivirus, aucun pare-feu ne vous protège aussi efficacement qu'une sauvegarde correctement conçue. La règle 3-2-1 est le standard de l'industrie : 3 copies de vos données, sur 2 types de supports différents, dont 1 copie hors site (dans un autre lieu physique). Pour une protection spécifique contre les ransomwares, on ajoute une quatrième contrainte : 1 copie air-gap, c'est-à-dire physiquement déconnectée de tout réseau et de tout ordinateur lorsqu'elle n'est pas en cours de sauvegarde.

Un disque externe débranché dans un tiroir est inaccessible au ransomware, quelle que soit sa sophistication. C'est la protection la plus simple et la plus efficace qui soit. La règle 3-2-1 : votre meilleure défense est détaillée dans notre guide complet de stratégie de sauvegarde, qui explique comment l'adapter à votre situation concrète (particulier, famille, indépendant, PME).

Les sauvegardes immuables (WORM)

Pour une protection maximale, les sauvegardes immuables utilisent la technologie WORM (Write Once, Read Many) : une fois écrites, ces sauvegardes ne peuvent être ni modifiées ni supprimées pendant une période définie — même par un attaquant disposant de vos accès administrateur. Des services comme Backblaze B2 avec Object Lock permettent d'activer cette protection pour quelques euros par mois. C'est la protection la plus robuste contre les souches de ransomware avancées qui ciblent spécifiquement les sauvegardes. Notre interview d'un consultant sur la stratégie 3-2-1 aborde en détail la mise en place des sauvegardes immuables.

L'Accès contrôlé aux dossiers Windows

Windows 10 et 11 intègrent une fonctionnalité de sécurité puissante et gratuite, activée par défaut uniquement sur les éditions Famille et Professionnel récentes. L'Accès contrôlé aux dossiers, accessible via Sécurité Windows > Protection contre les virus et menaces > Paramètres de protection contre les ransomwares, empêche tout programme non approuvé de modifier les fichiers dans vos dossiers protégés (Documents, Images, Vidéos, Bureau).

Si un ransomware tente d'accéder à ces dossiers, Windows le bloque et vous notifie. Vous pouvez ajouter des programmes légitimes à la liste blanche si nécessaire. Activez cette fonctionnalité immédiatement — c'est l'une des protections les plus efficaces contre les ransomwares qui ne nécessite aucun abonnement ni logiciel tiers.

Les mises à jour système : la mesure la plus sous-estimée

WannaCry en 2017, NotPetya en 2017, WannaCry en 2021 (oui, à nouveau, sur des machines non corrigées) — les attaques ransomware les plus dévastatrices de l'histoire exploitaient toutes des vulnérabilités pour lesquelles des correctifs existaient. La mise à jour de Windows, des navigateurs, des suites Office et des lecteurs PDF est la mesure préventive la plus efficace et la plus systématiquement ignorée.

Activez les mises à jour automatiques sur tous vos appareils. Si vous utilisez Windows 7 ou Windows 8.1 — qui ne reçoivent plus de mises à jour de sécurité depuis 2020 et 2023 respectivement — migrez vers Windows 10 ou 11 maintenant : ces systèmes sont des portes ouvertes pour les exploits automatisés.

Automatiser les sauvegardes pour ne jamais être pris au dépourvu

La sauvegarde manuelle a un défaut fondamental : elle dépend d'une discipline humaine constante. La sauvegarde automatique, elle, fonctionne que vous y pensiez ou non. Des outils comme Veeam Agent (gratuit pour les particuliers), Macrium Reflect Free, ou les solutions cloud avec synchronisation automatique permettent de programmer des sauvegardes régulières sans intervention manuelle. Pour choisir la solution adaptée à votre configuration, consultez notre comparatif : sauvegarder automatiquement pour ne jamais être pris au dépourvu.

Authentification à deux facteurs sur tous les accès critiques

De nombreuses infections par ransomware commencent par la compromission d'un compte : accès Bureau à distance (RDP) avec un mot de passe faible, compromission de compte Microsoft ou Google utilisé pour synchroniser des fichiers, ou accès VPN d'entreprise. L'authentification à deux facteurs (2FA) ajoute une couche de protection qui bloque ces vecteurs d'entrée même si votre mot de passe est compromis. Activez-la sur votre compte Microsoft, Google, votre VPN, et tout accès distant à vos machines.