Votre entreprise est hackée : combien de temps avant de redémarrer sans DRP ?

Imaginez : lundi matin, 8 h 30. Vos employés allument leurs postes et… rien. Écran noir, fichiers inaccessibles, un message inquiétant réclame une rançon en bitcoins. Votre comptabilité, vos commandes clients, vos devis en cours — tout est chiffré. Vous n’avez pas de plan. Le chronomètre est lancé, et chaque minute vous coûte de l’argent.

Ce scénario n’est pas de la science-fiction. En 2025, plus de 60 % des petites entreprises déclarent avoir été victimes d’une tentative de piratage. Et les conséquences sont brutales : selon les données compilées par Huntress et Sophos, le temps d’arrêt moyen après une attaque par ransomware est de 24 jours. Vingt-quatre jours sans accéder à vos systèmes, sans facturer, sans produire. Pour une PME, c’est souvent une sentence de mort.

Les chiffres qui font froid dans le dos

Commençons par le plus douloureux. Selon une étude BDEmerson citant plusieurs sources sectorielles, 75 % des PME ne pourraient tout simplement pas continuer à fonctionner si elles étaient frappées par un ransomware. Le rapport IBM Cost of a Data Breach 2025 estime le coût moyen d’une violation de données à 4,88 millions de dollars au niveau mondial, et il faut en moyenne 204 jours rien que pour identifier qu’on a été compromis.

Pour les petites structures, les chiffres sont tout aussi alarmants :

• Le coût moyen de récupération après un ransomware atteint 1,53 million de dollars, hors paiement de la rançon (Sophos, 2025).
• Les PME de moins de 100 employés subissent 350 % plus d’attaques de phishing que les grandes entreprises (Cisco Cybersecurity Readiness Index).
• 43 % de toutes les cyberattaques ciblent spécifiquement les PME, et 88 % des brèches dans ces structures impliquent un ransomware (Verizon DBIR 2025).
• Le temps de récupération moyen global après une attaque est estimé à 279 jours (BusinessDasher, 2026).

« Sans stratégie de reprise d’activité, 40 à 60 % des petites entreprises qui perdent l’accès à leurs systèmes et données ferment définitivement. » — KSL TV / TWC IT Solutions

Et si vous pensez que votre antivirus et votre mot de passe « complexe » suffisent : en 2025, les cybercriminels mettent désormais quelques heures seulement — et non plus des jours — pour passer de l’infiltration initiale au chiffrement complet de votre réseau. Certains opérateurs de ransomware y parviennent en moins de quatre heures.

Le DRP : votre plan de survie en langage clair

Le Disaster Recovery Plan (DRP), ou Plan de Reprise d’Activité (PRA) en français, c’est tout simplement le document qui répond à cette question : « Si tout tombe demain, que fait-on, dans quel ordre, et avec quoi ? »

Concrètement, un DRP définit :

• Le RTO (Recovery Time Objective) : en combien de temps maximum devez-vous être de nouveau opérationnel ? 4 heures ? 24 heures ? C’est votre objectif de redémarrage.
• Le RPO (Recovery Point Objective) : combien de données pouvez-vous vous permettre de perdre ? Les 15 dernières minutes ? Les dernières 24 heures ? C’est votre fréquence de sauvegarde minimale.
• Les rôles et responsabilités : qui appelle qui ? Qui a les accès aux sauvegardes ? Qui communique avec les clients ?
• Les procédures de restauration : étape par étape, comment on remet chaque système critique en route.

Selon une étude Gartner, les organisations qui disposent d’un DRP efficace réduisent le temps d’arrêt de leurs systèmes critiques de 75 % par rapport à celles qui n’en ont pas. Mieux encore : 96 % des entreprises disposant d’un plan de sauvegarde et de reprise fiable survivent à une attaque par ransomware.

Le contraste est saisissant : un rapport Cockroach Labs de 2025, réalisé auprès de 1 000 dirigeants technologiques dans le monde, révèle que 100 % des entreprises interrogées ont subi des pertes de revenus dues à des pannes informatiques l’année précédente. Le coût du temps d’arrêt pour les petites structures peut dépasser 25 000 dollars par heure.

Pourquoi presque personne ne le fait (vraiment)

Voici le paradoxe : tout le monde sait qu’il faudrait un DRP, mais presque personne ne s’y met sérieusement.

Selon une enquête de Riverbank IT Management, 46 % des PME n’ont tout simplement aucun plan de sauvegarde et de reprise d’activité. Et parmi celles qui en ont un, les chiffres restent inquiétants :

• 7 % des entreprises ne testent jamais leur plan de reprise (Unitrends / InvenioIT).
• Parmi celles qui testent, la moitié ne le fait qu’une fois par an ou moins.
• 25 % des organisations qui ferment après un désastre majeur ne rouvrent jamais (FEMA).

« Un DRP qui n’est pas testé, c’est comme un extincteur dont on n’a jamais vérifié la pression : il vous donne un faux sentiment de sécurité. »

Un rapport Gartner de 2023 enfonçait le clou : 72 % des organisations ne sont pas correctement préparées en matière de reprise après sinistre, et 63 % souffrent de ce que les analystes appellent des « mirages de surconfiance » — elles pensent être prêtes, mais ne le sont pas.

5 étapes concrètes pour créer votre DRP dès cette semaine

La bonne nouvelle ? Vous n’avez pas besoin d’un budget de multinationale. Voici un plan d’action réaliste pour une PME :

• Identifiez vos actifs critiques : quels systèmes, quelles données sont absolument vitaux pour votre activité ? Votre ERP, votre messagerie, votre base clients ? Listez-les par ordre de priorité.

• Définissez vos RTO et RPO : pour chaque système critique, fixez un temps de redémarrage acceptable et une perte de données tolérable. Soyez réaliste, pas idéaliste.

• Mettez en place la règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud sécurisé ou coffre physique déconnecté). Les organisations qui maintiennent des sauvegardes hors ligne réduisent leurs coûts de récupération de 44 % par rapport à celles qui paient la rançon.

• Documentez et distribuez : rédigez les procédures pas à pas. Imprimez-les (oui, sur papier — si vos systèmes sont chiffrés, votre wiki interne l’est aussi). Assurez-vous que 2 à 3 personnes clés savent où trouver ce document.

• Testez, testez, testez : simulez une panne au moins deux fois par an. Chronométrez la restauration. Corrigez ce qui ne marche pas. Un DRP testé régulièrement, c’est la différence entre 24 jours d’arrêt et quelques heures.

Aujourd’hui, les solutions de DRaaS (Disaster Recovery as a Service) rendent ces stratégies accessibles même aux plus petites structures. Selon IDC, plus de 75 % des moyennes et grandes organisations utilisent déjà une forme de DRaaS, avec l’avantage de ne payer que les ressources réellement consommées.

À retenir

• Le temps d’arrêt moyen après une attaque ransomware est de 24 jours — une éternité pour une PME.
• 75 % des PME ne survivraient pas à un ransomware sans préparation adéquate.
• Un DRP efficace réduit le temps d’indisponibilité des systèmes critiques de 75 % et 96 % des entreprises avec un plan de reprise fiable survivent à un ransomware.
• 46 % des PME n’ont aucun plan de sauvegarde ni de reprise — ne soyez pas dans cette moitié.
• La règle 3-2-1 (3 copies, 2 supports, 1 hors site) et des tests réguliers sont vos meilleures armes.
• Le DRP n’est pas un projet IT : c’est une assurance-vie pour votre entreprise. Commencez simple, mais commencez maintenant.

Photo : Christina Morillo via Pexels