Rançongiciel en entreprise: ce que l’attaque contre CHOC FM nous apprend

Le samedi 14 février 2026, vers 20h, l’équipe de CHOC FM à Portneuf a ouvert ses ordinateurs pour découvrir un écran rouge. Tous les systèmes cryptés. Un message avec une adresse courriel et une demande: 100 000$ pour récupérer l’accès à leurs données.

Les fichiers audio, les archives, les publicités des annonceurs, les bandes sonores accumulées au fil des années. Tout était parti.

Ce qui s’est passé

Le principe est simple: un logiciel malveillant s’installe, chiffre toutes vos données, puis exige un paiement pour les débloquer. C’est ce qu’on appelle un rançongiciel. Selon le rapport Verizon 2025 sur les brèches de données, 88% des brèches de sécurité dans les PME impliquent ce type d’attaque. CHOC FM en est un exemple concret.

Michel Cloutier, le directeur de la station, l’a bien résumé: « On est une station régionale. On n’a pas les budgets des grands groupes comme Bell Média ou Cogeco. »

Vicky Beaudoin, vice-présidente de Rhesus: « Nous sommes toujours à l’étape d’évaluation, mais il est fort à parier que les ravisseurs avaient jadis installé sous silence l’attaque il y a déjà plusieurs semaines, voire plusieurs mois. »

C’est exactement ce qui rend les PME vulnérables. Les cybercriminels ne ciblent pas nécessairement les plus grosses entreprises. Ils ciblent celles qui sont les moins préparées.

Ce que le cas de CHOC FM révèle

Michel Cloutier a été transparent avec les médias sur ce qui s’est passé, et son témoignage illustre une réalité que beaucoup de PME partagent sans le savoir.

La dernière sauvegarde complète datait de 2022. Quatre ans sans backup utilisable. Les données administratives ont survécu parce qu’elles étaient gérées par une entreprise externe, mais tout le reste – la musique, les publicités, les archives – n’avait pas cette protection. Comme l’a dit M. Cloutier en entrevue au Soleil: « C’est comme si on devait repartir la station flambant neuve, comme en 2020. »

Cloutier l’a reconnu lui-même: il ne croyait pas que sa station pouvait être une cible. C’est une réaction qu’on entend souvent. « On est trop petits pour intéresser les pirates. » Sauf que les cybercriminels ne choisissent pas leurs cibles en fonction de leur taille. Ils cherchent les portes qui ne sont pas verrouillées.

Les finances étaient déjà serrées. La station, ouverte en 2020, a survécu à la pandémie mais le prêt initial n’est toujours pas remboursé. Quand une cyberattaque frappe dans ces conditions, les 50 000$ et plus de remise en état deviennent un coup très dur. M. Cloutier a lancé un message clair: « J’invite toutes les entreprises à se protéger et à toujours avoir une deuxième copie de sauvegarde. »

Ce que les PME peuvent faire maintenant

On ne parle pas d’investir des centaines de milliers de dollars. On parle de mesures concrètes qui auraient changé le cours des choses pour beaucoup d’organisations qu’on a aidées.

• Éliminez les systèmes d’exploitation désuets. Les anciens systèmes sont dépourvus de mises à jour de sécurité. Ce sont des failles extrêmement faciles à exploiter pour les pirates.
• Entretiens réguliers et rigoureux. Éliminez les failles de votre infrastructure réseau avant que quelqu’un d’autre ne les trouve.
• Sauvegardez vos données à l’externe avec détection de rançongiciel. Les solutions d’aujourd’hui proposent des détections automatiques de rançongiciels par intelligence artificielle. Testez vos sauvegardes régulièrement et vérifiez l’intégrité de vos données. Les sauvegardes internes ne sont plus recommandées. C’est possible, mais il faut avoir un plan B.
• Mots de passe complexes. Un mot de passe complexe et différent pour chaque application. Ne réutilisez pas le même mot de passe à deux endroits.
• Authentification multi-facteur. Téléchargez une application d’authentification pour valider que c’est bien vous qui vous connectez. Si votre mot de passe est compromis, les pirates devront réussir à obtenir votre code à 6 chiffres. Petit truc: ce code ne devrait jamais être partagé à qui que ce soit qui prétend être d’une compagnie tierce.
• Sensibilisez et formez vos équipes. Développez des réflexes organisationnels en formant vos équipes sur la cybersécurité, en participant à des ateliers et simulations et en leur offrant des campagnes d’hameçonnage personnalisées. Ça permet d’élever la cybersécurité en passant par les humains.
• Quand ça arrive, c’est trop tard pour improviser. Un document simple, accessible, qui dit clairement: voici quoi faire si on se fait attaquer. Les numéros à appeler, les étapes à suivre dans les 30 premières minutes, qui communique quoi à qui. On a vu des entreprises limiter considérablement les dommages simplement parce qu’elles avaient un plan et que tout le monde savait où le trouver.
• Segmentez votre réseau. Si un poste est compromis, est-ce que l’attaquant a accès à tout? Dans beaucoup de PME, la réponse est oui. Séparer les environnements (administratif, production, backups) limite la propagation.
• Mettez en place un antispam. Les courriels sont le plus grand vecteur de cyberattaque.
• Remplacez votre routeur par une console de sécurité. La porte d’entrée entre votre infrastructure et internet, c’est votre routeur. Terminé les routeurs à usage résidentiel dans les entreprises. Les PME doivent se prémunir d’une solution pour sécuriser leurs systèmes.

La question qu’on nous pose toujours: est-ce qu’on devrait payer?

C’est la première chose que les gens demandent. La réponse courte: non.

Payer ne garantit rien. Comme le souligne Sami Khoury, agent supérieur pour la cybersécurité du gouvernement du Canada, dans La Presse: « Il n’y a aucune garantie que les criminels vont tenir parole quand vous payez la rançon. » Certains groupes prennent l’argent sans fournir la clé de déchiffrement. D’autres reviennent avec une deuxième, voire une troisième demande de rançon.

Le Centre canadien pour la cybersécurité recommande de ne pas payer et de signaler l’incident aux autorités policières.