Ransomware : comment les attaquants choisissent leurs cibles et comment sortir de leur liste
Les ransomwares ne frappent pas au hasard. Ils ciblent un profil précis, et il y a de bonnes chances que votre organisation y corresponde sans le savoir.

Chez Computis, nous réalisons chaque semaine des audits de sécurité pour des PME romandes, des communes et des institutions publiques. Et l'une des idées les plus tenaces que nous rencontrons est celle-ci : "Nous sommes trop petits pour intéresser les pirates." C'est exactement l'inverse. Les petites structures ne sont pas ignorées, elles sont préférées. Parce qu'elles correspondent au profil de cible le plus rentable pour un attaquant.
En 2025, la majorité des victimes de ransomware ne sont pas de grandes entreprises, ce sont des PME de moins de 100 collaborateurs. Pas parce qu'elles ont plus de valeur, mais parce qu'elles sont plus faciles à atteindre et plus susceptibles de payer rapidement pour reprendre leur activité.
Le profil de la cible idéale
Les groupes de ransomware modernes fonctionnent comme des entreprises. Ils ont des processus, des outils automatisés, et des critères de sélection. Ils ne choisissent pas leurs victimes une par une, ils scannent Internet en permanence à la recherche de signaux qui indiquent une cible facile et rentable.
Le profil recherché est précis : une organisation suffisamment grande pour avoir des données critiques et de quoi payer une rançon, mais suffisamment petite pour ne pas disposer d'une équipe de sécurité dédiée. Une PME de 20 à 100 collaborateurs, une commune, une institution, c'est exactement le cœur de cible.
Les signaux qu'ils recherchent sont techniques : un port RDP exposé sur Internet, un VPN sans MFA, un logiciel non mis à jour avec une vulnérabilité connue, des identifiants présents dans une fuite de données antérieure. Chacun de ces signaux est détectable automatiquement, à grande échelle, sans aucune intervention humaine. Vous n'êtes pas visé personnellement, vous êtes détecté par un script.
Ce qu'on observe sur le terrain
Lors d'un audit pour une PME industrielle vaudoise de 70 collaborateurs, nous avons constaté que l'organisation présentait simultanément trois des signaux les plus recherchés : un port RDP exposé, un serveur Windows non mis à jour depuis 14 mois avec une vulnérabilité critique connue, et des identifiants d'employés présents dans
des fuites publiques. Du point de vue d'un attaquant automatisé, cette PME était une cible de premier choix.
Dans une commune romande, le constat était similaire : un accès distant configuré en 2020 sans MFA, jamais audité depuis. La commune pensait être protégée parce qu'elle "n'avait rien d'intéressant à voler". Mais un ransomware ne vole pas, il chiffre. Et il rend l'administration communale incapable de fonctionner jusqu'au paiement.
🇨🇭 Ce que ça veut dire pour votre organisation
Un ransomware qui chiffre des données personnelles déclenche une obligation de notification au sens de la nLPD, même si les données ne sont pas exfiltrées. L'indisponibilité des données est une violation. Par ailleurs, la décision de payer ou non une rançon soulève des questions juridiques complexes en droit suisse. La meilleure stratégie reste de ne jamais se retrouver dans cette situation.
Les 3 façons de sortir de leur liste
1. Réduire votre surface d'exposition externe
La première chose qu'un attaquant voit, c'est ce qui est exposé sur Internet. Fermer les ports inutiles, mettre le RDP derrière un VPN, activer le MFA partout, maintenir les systèmes à jour, chacune de ces mesures vous retire des résultats de leurs scans automatisés. Vous ne devenez pas invulnérable : vous devenezmoins rentable à attaquer que la cible d'à côté.
2. Rendre une attaque non rentable
Le modèle économique du ransomware repose sur votre incapacité à récupérer vos données sans payer. Une stratégie de sauvegarde testée, isolée et restaurable change radicalement le calcul : si vous pouvez restaurer en quelques heures, la rançon perd tout son pouvoir. La sauvegarde n'est pas qu'une protection, c'est votre meilleur levier de négociation, celui de ne pas avoir à négocier.
3. Détecter avant que ça ne se propage
Un ransomware ne chiffre pas tout instantanément. Il y a souvent un délai entre l'intrusion initiale et le déclenchement du chiffrement, des heures, parfois des jours. Une détection précoce (activité réseau anormale, connexions inhabituelles, alertes sur les accès) permet d'intervenir avant que les dégâts ne soient irréversibles. C'est la différence entre un incident contenu et une catastrophe.
L'approche Computis
Sortir de la liste des cibles faciles n'est pasun projet de grande envergure. C'est une série de mesures ciblées qui, ensemble, vous rendent significativement moins rentable à attaquer que la moyenne, ce qui, face à des attaquants opportunistes, fait toute la différence.
Chez Computis, notre approche pour les PME et communes romandes fonctionne en trois temps. D'abord, un audit préliminaire : vue de l'extérieur (ce qu'un attaquant voit), test d'exposition, revue des accès et des mises à jour, vérification de votre capacité de restauration. Ensuite, la réduction de surface : fermeture des expositions, MFA, mises à jour, durcissement des accès. Enfin, la résilience : sauvegardes testées et isolées, détection des anomalies, plan de réponse en cas d'incident.
Passez à l'action
Du point de vue d'un attaquant automatisé, à quoi ressemble votre organisation en ce moment ? Chez Computis, nous réalisons un audit préliminaire qui regarde votre organisation comme un attaquant la verrait, pour les PME et communes romandes sans équipe IT dédiée. Surface d'exposition, accès, capacité de restauration et rapport documenté.
✅ Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous.
👤 Cybersécurité, cloud ou réseau, chez Computis, vous avez un interlocuteur unique qui maîtrise les trois domaines. Pas de transfert de dossier, pas de prestataire tiers.
Ce qu'il faut retenir
Vous n'avez pas besoin d'être imprenable. Vous avez besoin d'être moins rentable à attaquer que la cible d'à côté. Les attaquants opportunistes suivent le chemin de moindre résistance, et quelques mesures ciblées suffisent à vous faire sortir de leur liste. C'est précisément ce que nous faisons.
FAQ
Nous sommes une petite structure, sommes-nous vraiment une cible pour les ransomwares ?
Oui, et c'est même l'inverse de ce qu'on croit. Les PME sont préférées par les attaquants : assez de valeur pour payer, pas assez de moyens pour se défendre. La majorité des victimes de ransomware en 2025 sont des structures de moins de 100 personnes.
Si nous sommes attaqués, payer la rançon ne règle-t-il pas le problème ?
Payer ne garantit rien : ni la récupération des données, ni l'absence de seconde attaque. Cela finance et encourage le modèle. Et en droit suisse, le paiement soulève
des questions juridiques complexes. La seule stratégie fiable est de pouvoir restaurer sans payer, donc des sauvegardes testées et isolées.
Un ransomware déclenche-t-il une obligation nLPD même sans vol de données ?
Oui. Le chiffrement de données personnelles les rend indisponibles, et l'indisponibilité est une forme de violation au sens de la nLPD. L'obligation de notification peut s'appliquer même si aucune donnée n'a été exfiltrée vers l'extérieur.
Nous n'avons pas d'équipe IT interne, Computis peut-il gérer cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe, vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : vue externe de votre exposition, test des accès, état des mises à jour, vérification de votre capacité de restauration, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.
Abonnez-vous chaque mardi, un éclairage concret sur l’IT et la cybersécurité pour les PME et institutions suisses.


