Il y a une phrase que j’entends régulièrement chez les dirigeants de PME : « On est trop petits pour intéresser les hackers. » L’histoire d’Octave prouve exactement le contraire. Et elle ne s’est pas terminée par un simple week-end de galère — elle s’est terminée au tribunal de commerce.
Ce qui s’est passé
Octave était un éditeur de logiciels basé à Angers. Une entreprise établie, 38 salariés, rachetée en 2023 par le groupe canadien Valsoft. Pas une startup fragile — une société qui tournait.
Dans la nuit du 15 au 16 août 2024, un ransomware frappe et paralyse environ la moitié de son système d’information. Les outils essentiels — hébergement des sites e-commerce clients, solutions de gestion — deviennent inaccessibles du jour au lendemain.
L’équipe technique réagit vite. En six semaines environ, les systèmes sont partiellement restaurés. Mais le mal est fait. Les clients d’Octave, qui dépendaient de ses solutions pour gérer leur trésorerie et leurs boutiques en ligne, se sont retrouvés sans outil pendant près d’un mois. Certains ont cherché des alternatives. La confiance était rompue.
En novembre 2024, Octave est placée en redressement judiciaire. Le 19 mars 2025, c’est la liquidation. 38 emplois supprimés.
Ce que ce cas révèle
En tant que DSI externalisé, ce qui me frappe dans cette histoire, ce n’est pas l’attaque elle-même — les ransomwares touchent des entreprises de toutes tailles, tous les jours. Ce qui me frappe, c’est l’enchaînement qui va de la panne technique à la mort de l’entreprise.
Octave a restauré ses systèmes en six semaines. Techniquement, c’est plutôt correct. Mais six semaines sans service pour les clients, c’est une éternité. Et c’est là que le problème de fond apparaît : la reprise technique ne suffit pas si la reprise d’activité n’a pas été anticipée.
Quand je gérais l’informatique d’un groupe multi-sociétés (4 entités, plus de 100 postes), la question n’était jamais “est-ce qu’on va subir un incident ?” mais “quand ça arrivera, combien de temps faut-il pour que l’activité reparte ?”. C’est toute la différence entre avoir des sauvegardes et avoir un vrai Plan de Reprise d’Activité.
Ce qu’Octave aurait pu faire différemment
Je ne connais pas le détail de l’infrastructure d’Octave, donc je ne vais pas jouer au commentateur de canapé. Mais d’un point de vue général, pour une entreprise de cette taille et avec ce niveau de criticité (les clients dépendaient directement de leurs services), voici ce qui fait la différence :
Un PRA testé, pas juste écrit. Beaucoup d’entreprises ont un document intitulé “Plan de Reprise d’Activité” quelque part dans un tiroir. La question qui compte, c’est : est-ce qu’il a été testé ? Est-ce que l’équipe sait le dérouler en situation de crise ? Chez Octave, la restauration a pris six semaines. Avec un PRA testé et des procédures rodées, l’objectif réaliste pour une PME de cette taille serait de remettre les services critiques en ligne en quelques jours, pas en quelques semaines.
Des sauvegardes isolées du réseau principal. Un ransomware chiffre tout ce qu’il peut atteindre. Si les sauvegardes sont sur le même réseau que les serveurs de production, elles tombent avec le reste. La règle de base — qu’on appelle la règle 3-2-1 — impose trois copies des données, sur deux supports différents, dont une hors site et déconnectée. C’est un principe simple, mais il demande de la rigueur dans l’exécution.
Une segmentation du réseau. Quand un ransomware touche “la moitié du système d’information”, ça indique souvent un réseau insuffisamment cloisonné. Séparer les environnements (production, développement, administration, sauvegardes) limite la propagation. Le ransomware entre par une porte, mais il ne devrait pas pouvoir se promener dans toute la maison.
Une détection plus précoce. L’attaque a eu lieu “dans la nuit”. Les ransomwares ne chiffrent pas tout instantanément — il y a souvent une phase de reconnaissance et de propagation qui peut durer des heures, voire des jours. Des outils de supervision qui alertent sur des comportements anormaux (accès massifs inhabituels, chiffrement de fichiers en série) peuvent permettre d’intervenir avant que les dégâts soient irréversibles.
Le parallèle avec les PME locales
On pourrait se dire qu’Octave est un cas particulier — un éditeur de logiciels, c’est une cible naturelle. Mais les PME “classiques” ne sont pas à l’abri, loin de là. Les rapports de l’ANSSI et de la CPME montrent que les TPE et PME représentent une part croissante des victimes de cyberattaques en France. Précisément parce qu’elles sont souvent moins bien protégées que les grands groupes.
Dans les PME que j’accompagne en Charente, je rencontre régulièrement des situations similaires à ce qu’Octave a probablement vécu avant l’attaque : des sauvegardes qui n’ont pas été vérifiées depuis des mois, un antivirus installé mais jamais supervisé, aucun plan en cas de sinistre majeur. L’informatique “fonctionne”, donc on n’y pense pas. Jusqu’au jour où elle ne fonctionne plus.
La bonne nouvelle, c’est que les mesures de base ne sont ni complexes ni hors de portée financièrement pour une PME. Un audit de sécurité permet d’identifier les failles les plus critiques. La mise en place d’un PRA adapté à la taille de l’entreprise protège contre le scénario catastrophe. La sensibilisation des équipes au phishing — qui reste le premier vecteur d’entrée des ransomwares — réduit considérablement le risque.
Ce n’est pas une question de moyens. C’est une question de priorité.
Ce qu’il faut retenir
Le cas Octave n’est pas une exception. C’est un avertissement.
38 salariés. Une équipe technique compétente qui a réagi vite. Et malgré ça, l’entreprise n’a pas survécu. Parce que la préparation à l’incident n’était pas au niveau de la criticité du service rendu.
Pour une PME, la cybersécurité n’est pas un sujet technique réservé à l’informaticien. C’est un sujet de direction, au même titre que l’assurance ou la trésorerie. Et comme pour l’assurance, le meilleur moment pour s’en occuper, c’est avant d’en avoir besoin.