Comment fonctionne un ransomware
Un ransomware ne tombe pas du ciel. L’attaque suit un processus en plusieurs étapes, souvent étalé sur plusieurs jours ou semaines :
1. Accès initial
Le ransomware a besoin d’un point d’entrée. Les trois vecteurs principaux :
- Email de phishing (60-70 % des cas) : un employé ouvre une pièce jointe piégée (macro Word/Excel, fichier .zip contenant un .exe) ou clique sur un lien téléchargeant un loader
- Exploitation d’une vulnérabilité : serveur VPN, accès RDP (Remote Desktop) exposé sur Internet, logiciel non mis à jour
- Identifiants volés : mots de passe compromis lors de fuites de données, testés en masse via credential stuffing
2. Mouvement latéral
Une fois dans le réseau, l’attaquant ne lance pas immédiatement le chiffrement. Il prend le temps de :
- Élever ses privilèges : obtenir des droits administrateur sur le domaine Active Directory
- Cartographier le réseau : identifier les serveurs critiques, les sauvegardes, les bases de données
- Exfiltrer les données : copier les fichiers sensibles avant le chiffrement (pour la double extorsion)
- Désactiver les protections : supprimer les antivirus, désactiver les sauvegardes, effacer les shadow copies Windows
Cette phase dure en moyenne 5 à 15 jours. Pendant ce temps, l’entreprise ne sait pas qu’elle est compromise.
3. Chiffrement
Le ransomware se déploie simultanément sur tous les systèmes identifiés. En quelques heures, les fichiers sont chiffrés et inaccessibles. Un message apparaît sur chaque poste avec les instructions de paiement.
4. Double extorsion
La majorité des groupes de ransomware pratiquent désormais la double extorsion : en plus du chiffrement, ils menacent de publier les données exfiltrées sur leur site (leak site) si la rançon n’est pas payée. Même si l’entreprise restaure ses systèmes depuis une sauvegarde, elle fait face à un risque de fuite.
Incidents de ransomware en France
La France est l’un des pays les plus touchés par les ransomwares en Europe. Voici des cas documentés :
Hôpital de Corbeil-Essonnes (août 2022) : le groupe LockBit 3.0 a chiffré les systèmes informatiques de l’hôpital et exigé 10 millions de dollars. L’établissement a fonctionné en mode dégradé pendant des semaines : dossiers patients sur papier, transferts de patients vers d’autres hôpitaux, interventions reportées.
Mairie de Caen (septembre 2022) : un ransomware a paralysé les services municipaux. L’état civil, les inscriptions scolaires, les demandes d’urbanisme — tous les services numériques arrêtés. La restauration a pris plusieurs mois.
Groupe hospitalier de Dax (février 2021) : même scénario qu’à Corbeil-Essonnes. Les systèmes informatiques de l’hôpital bloqués, retour au papier, et des données de patients publiées en ligne.
LDLC (décembre 2021) : le distributeur informatique a vu ses données internes publiées par le groupe Ragnar Locker après un refus de payer.
Sopra Steria (octobre 2020) : le géant des ESN françaises touché par Ryuk. Coût estimé à 50 millions d’euros (remédiation + perte d’exploitation).
Au total, on compte plus de 45 incidents de ransomware documentés dans notre base de données des incidents, touchant tous les secteurs : santé, collectivités, industrie, commerce, tech.
Combien coûte un ransomware à une PME
Le coût réel d’un ransomware va bien au-delà de la rançon elle-même :
| Poste de coût | Fourchette PME |
|---|---|
| Rançon demandée | 20 000 - 500 000 € |
| Perte d’exploitation (1-3 semaines) | 30 000 - 200 000 € |
| Remédiation technique | 15 000 - 80 000 € |
| Expertise forensique | 10 000 - 40 000 € |
| Notification CNIL + communication de crise | 5 000 - 20 000 € |
| Sanctions RGPD (si données personnelles) | Variable |
| Perte de clients / réputation | Difficilement chiffrable |
Chiffre clé : 60 % des PME victimes de ransomware qui ne peuvent pas restaurer leurs systèmes en moins de 48h cessent leur activité dans les 18 mois — US National Cyber Security Alliance.
Comment protéger votre entreprise
Les sauvegardes : votre dernière ligne de défense
La règle 3-2-1 :
- 3 copies de vos données
- 2 supports différents (disque + cloud, par exemple)
- 1 copie hors-ligne (déconnectée du réseau, impossible à chiffrer par un ransomware)
Point critique : testez vos restaurations. Une sauvegarde qui n’a jamais été testée ne vaut rien. Planifiez un test de restauration complet au moins une fois par trimestre.
Réduire la surface d’attaque
- Mettre à jour tous les systèmes, en priorité les services exposés à Internet (VPN, serveurs web, accès distants)
- Désactiver RDP sur Internet ou le protéger par VPN + MFA
- MFA sur tous les comptes : Microsoft 365, Google Workspace, VPN, accès admin
- Principe du moindre privilège : personne n’a besoin de droits admin au quotidien
Bloquer le vecteur principal : le phishing
Puisque 60-70 % des ransomwares entrent par email :
- SPF, DKIM, DMARC correctement configurés sur votre domaine
- Filtrage email avec analyse des pièces jointes et des liens
- Simulations de phishing régulières pour entraîner les employés à détecter et signaler les emails suspects
- Blocage des macros Office par défaut (politique de groupe)
Plan de réponse à incident
Quand (pas si) un ransomware frappe, chaque minute compte :
- Isoler les machines infectées du réseau (déconnecter le câble Ethernet, pas éteindre)
- Prévenir le prestataire IT / RSSI
- Ne pas payer la rançon (recommandation ANSSI)
- Déposer plainte dans les 72h (obligatoire pour le remboursement assurance depuis la loi LOPMI)
- Notifier la CNIL si des données personnelles sont concernées (72h aussi)
- Contacter le CERT-FR (cert-fr@ssi.gouv.fr) pour assistance
- Restaurer depuis les sauvegardes après nettoyage complet
Ransomware as a Service (RaaS)
Les ransomwares ne sont plus l’affaire de hackers isolés. Le modèle Ransomware as a Service fonctionne comme une franchise :
- Les développeurs créent le ransomware et l’infrastructure (plateforme de paiement, site de leak, support technique)
- Les affiliés mènent les attaques (reconnaissance, accès initial, déploiement) et reversent 20-30 % de la rançon aux développeurs
Les groupes les plus actifs en France : LockBit, Cl0p, ALPHV/BlackCat, Play, 8Base. Certains ciblent spécifiquement les PME européennes car elles sont moins protégées que les grandes entreprises mais suffisamment solvables pour payer.
C’est un business industrialisé et rentable. La seule façon de le combattre : rendre l’attaque trop coûteuse pour l’attaquant en bloquant le point d’entrée (le phishing) et en rendant la récupération possible sans paiement (les sauvegardes).
Questions fréquentes
Qu'est-ce qu'un ransomware ?
Un ransomware (ou rançongiciel) est un programme malveillant qui chiffre les fichiers de votre ordinateur ou de votre réseau, les rendant inaccessibles. Les attaquants exigent ensuite le paiement d'une rançon (généralement en cryptomonnaie) en échange de la clé de déchiffrement. Même en payant, la récupération des données n'est jamais garantie.
Combien coûte un ransomware à une PME française ?
Le coût moyen total dépasse 150 000 euros pour une PME de moins de 250 salariés. Cela inclut : la rançon elle-même (médiane de 20 000 à 100 000 euros), la perte d'exploitation pendant l'arrêt (souvent 1 à 3 semaines), les frais de restauration et de remédiation, les éventuelles sanctions RGPD si des données personnelles sont concernées, et les dommages réputationnels.
Faut-il payer la rançon ?
L'ANSSI et les autorités recommandent de ne jamais payer. Raisons : le paiement ne garantit pas la récupération des données (30 % des payeurs ne reçoivent jamais de clé fonctionnelle), il finance le crime organisé, et il fait de vous une cible récurrente. Depuis la loi LOPMI de 2023, le paiement d'une rançon n'est remboursé par l'assureur que si un dépôt de plainte est effectué dans les 72 heures.
Comment un ransomware entre-t-il dans l'entreprise ?
Le vecteur principal reste l'email de phishing : un employé ouvre une pièce jointe piégée ou clique sur un lien malveillant. Les autres vecteurs sont l'exploitation de failles non corrigées (VPN, serveur RDP exposé), les identifiants volés (credential stuffing), et les attaques via la supply chain (fournisseur compromis).
Mon assurance cyber couvre-t-elle les ransomwares ?
Cela dépend de votre contrat et de vos mesures de protection. De plus en plus d'assureurs exigent des preuves de sensibilisation des employés, un MFA activé, et des sauvegardes testées comme conditions préalables à la couverture. Un programme de simulation de phishing régulier est devenu un critère quasi-standard dans les questionnaires de souscription.