Le ransomware : une menace qui évolue sans cesse
Les attaques par ransomware (rançongiciel) continuent de représenter l'une des menaces les plus dévastatrices pour les organisations de toutes tailles. Si les grandes entreprises et les hôpitaux font régulièrement la une des journaux, les PME et ETI sont en réalité des cibles de plus en plus fréquentes : elles cumulent des données précieuses et des défenses souvent moins matures.
Les nouvelles tactiques observées
La double extorsion
Les groupes criminels ne se contentent plus de chiffrer vos données pour demander une rançon. Ils les exfiltrent d'abord, puis menacent de les publier si la rançon n'est pas payée. Cela contourne l'argument "nous avons des sauvegardes donc nous ne paierons pas".
Le Ransomware-as-a-Service (RaaS)
Le ransomware est devenu une industrie criminelle structurée. Des plateformes RaaS permettent à des individus sans compétences techniques avancées de lancer des attaques en louant les outils et l'infrastructure de groupes spécialisés. Cela a considérablement multiplié le nombre d'acteurs malveillants actifs.
Ciblage des sauvegardes
Les attaquants prennent maintenant le temps de cartographier le réseau de leurs victimes avant de déclencher le chiffrement. Ils ciblent spécifiquement les systèmes de sauvegarde pour les détruire ou les chiffrer en premier, rendant la récupération impossible sans payer.
Living off the Land (LotL)
Les attaquants utilisent de plus en plus les outils légitimes déjà présents sur les systèmes (PowerShell, WMI, outils d'administration) pour se déplacer latéralement et préparer l'attaque. Cela complique leur détection par les antivirus traditionnels.
Secteurs particulièrement ciblés en 2025
- Santé et cliniques : données sensibles, pression maximale pour payer rapidement
- Collectivités territoriales : systèmes souvent anciens, budgets sécurité limités
- Cabinets d'avocats et comptables : données client très précieuses et confidentielles
- Industrie et logistique : impact opérationnel immédiat incite au paiement
- PME sous-traitantes : utilisées comme point d'entrée vers des grandes entreprises clientes
Comment se protéger : stratégie défensive en couches
Sauvegardes immuables et hors ligne
C'est votre filet de sécurité ultime. Appliquez la règle 3-2-1-1 : 3 copies, sur 2 supports différents, dont 1 hors site, et 1 hors ligne (air-gapped) ou immuable (non modifiable). Testez régulièrement la restauration.
Réduction de la surface d'attaque
- Désactiver RDP (Bureau à distance) sur Internet ou le protéger derrière un VPN + MFA
- Appliquer le principe du moindre privilège : aucun utilisateur standard ne doit avoir de droits administrateur
- Patcher rapidement les vulnérabilités critiques
- Désactiver les macros Office par défaut
Détection et réponse
- Déployer un EDR (Endpoint Detection and Response) sur tous les postes et serveurs
- Activer la journalisation avancée (logs PowerShell, accès aux fichiers)
- Définir un plan de réponse aux incidents testé et connu de tous
Faut-il payer la rançon ?
Les autorités françaises (ANSSI, CNIL) et internationales déconseillent formellement de payer les rançons pour plusieurs raisons :
- Le paiement finance la criminalité organisée et encourage de nouvelles attaques
- Il n'y a aucune garantie que les données seront effectivement restituées
- Les victimes ayant payé sont souvent reciblées ultérieurement
- Le paiement peut être illégal si les attaquants sont sous sanctions internationales
En cas d'attaque, contactez immédiatement l'ANSSI (pour les entités critiques) et déposez plainte auprès des autorités. Des spécialistes en réponse aux incidents peuvent parfois récupérer des données sans paiement.
Ressources utiles
- No More Ransom (nomoreransom.org) : outils de déchiffrement gratuits pour certaines familles de ransomware
- ANSSI : guides et recommandations pour la réponse aux incidents ransomware
- cybermalveillance.gouv.fr : assistance pour les victimes de cyberattaques en France