Aller au contenu principal
appsec/ransomware.tsx

Ransomware (rançongiciel) : anatomie d'une attaque et comment protéger sa PME

Un ransomware chiffre vos fichiers et réclame une rançon. On décortique la chaîne d'attaque, on explique pourquoi les PME sont visées, et surtout comment se protéger d'un rançongiciel avant, pendant et après.

own2pwn··16 min de lecture

Un lundi matin, votre responsable informatique n'arrive pas à ouvrir un devis. Puis un deuxième fichier refuse de s'ouvrir. Puis la comptabilité appelle : plus rien ne fonctionne. Sur chaque écran, le même message : vos données sont chiffrées, comptez 72 heures, payez en bitcoin. En quelques minutes, une PME qui tournait très bien se retrouve à l'arrêt complet. C'est ça, une attaque par ransomware — un rançongiciel en français — et c'est aujourd'hui la première peur, justifiée, des dirigeants et des DSI de PME et d'ETI.

La bonne nouvelle, si l'on peut dire, c'est qu'une attaque ransomware ne tombe presque jamais du ciel. Elle suit un scénario connu, et elle entre le plus souvent par une porte que vous aviez laissée ouverte et visible depuis internet : un VPN non patché, un service exposé, un compte sans double authentification. On va décortiquer ce scénario de bout en bout, regarder des cas récents et datés, puis répondre à la seule question qui compte vraiment : comment se protéger d'un ransomware, avant, pendant et après.

L'ordre de grandeur, pour poser le décor
Dans son Panorama de la cybermenace 2025 (publié le 11 mars 2026), l'ANSSI recense 128 compromissions par rançongiciel traitées sur l'année. Et parmi les victimes, les PME, TPE et ETI arrivent en tête, avec 48 % des cas. Autrement dit : près d'une attaque sur deux vise une structure de votre taille, pas un grand groupe du CAC 40.

Qu'est-ce qu'un ransomware (rançongiciel) ?

Un ransomware est un logiciel malveillant qui rend vos données inaccessibles — en général en les chiffrant — puis exige une rançon en échange de la clé de déchiffrement. Le principe est vieux, mais la mécanique a beaucoup mûri. On est passé du virus opportuniste qui bloque un poste isolé à une industrie organisée, avec ses fournisseurs, ses sous-traitants et son service client.

Le moteur de cette industrie s'appelle le RaaS, pour Ransomware-as-a-Service. Un groupe développe et maintient le rançongiciel, l'infrastructure de paiement et le site de publication des données volées ; des affiliés louent cet outillage, mènent les intrusions et reversent une commission au groupe. Ce modèle explique la volumétrie : on n'a plus besoin d'être un développeur de génie pour lancer une attaque, il suffit de louer la plateforme et d'acheter un accès.

Autre bascule décisive de ces dernières années : la double extorsion. Avant de chiffrer, l'attaquant exfiltre vos données. S'il vous surprenait à restaurer vos sauvegardes sans payer, il garde un levier : publier ou revendre vos fichiers clients, vos contrats, vos données RH. La menace n'est plus seulement « vous ne récupérerez pas vos données », c'est aussi « tout le monde va les voir ». Certaines campagnes vont même jusqu'à la triple extorsion : harcèlement des clients de la victime, attaque par déni de service pour ajouter de la pression.

La chaîne d'une attaque ransomware, étape par étape

Contrairement à l'image d'Épinal du « clic sur une pièce jointe qui chiffre tout instantanément », une attaque ransomware moderne se déroule en plusieurs temps, souvent sur plusieurs jours. Entre le premier pied dans la place et le chiffrement final, l'attaquant explore, s'étend et vole. Ce délai est précisément votre fenêtre de détection.

kill-chain-ransomware
Étape 1
Accès initial
Un VPN vulnérable, un identifiant volé, un e-mail de phishing : un premier pied dans le réseau.
Étape 2
Élévation et mouvement latéral
L'attaquant récupère des comptes à privilèges, saute de machine en machine, vise l'Active Directory.
Étape 3
Exfiltration des données
Copie discrète des fichiers sensibles (clients, RH, contrats) vers un serveur externe. C'est le levier de la double extorsion.
Étape 4
Sabotage des sauvegardes
Suppression ou chiffrement des sauvegardes accessibles, pour vous priver de tout plan B.
Étape 5
Chiffrement et note de rançon
Déploiement simultané sur tout le parc, écrans bloqués, compte à rebours.
Le chiffrement n'est que la dernière étape. Tout se joue avant, souvent sur plusieurs jours.

Retenez la logique : le chiffrement est la fin de l'histoire, pas le début. Quand la note de rançon s'affiche, l'attaquant est dans votre réseau depuis un moment déjà, il a cartographié votre SI mieux que certains de vos prestataires, et il a probablement déjà une copie de vos données. C'est aussi pour ça qu'une bonne détection en amont vaut mieux qu'une bonne réaction en aval.

Pourquoi les PME sont des cibles privilégiées

On entend souvent « pourquoi nous ? on n'a rien d'intéressant ». C'est un contresens. Les attaquants ne vous ciblent pas malgré votre taille, ils vous ciblent à cause d'elle. Une PME concentre plusieurs qualités qui en font une proie idéale pour un affilié RaaS pressé de rentabiliser son accès.

  • Une surface d'attaque mal connue. Peu de PME savent exactement ce qu'elles exposent sur internet : un vieux portail extranet, un serveur de test oublié, un accès distant monté à la va-vite pendant le télétravail. L'attaquant, lui, le trouve en quelques minutes avec des outils gratuits.
  • Des moyens de défense limités. Rarement une équipe sécurité dédiée, souvent un prestataire informatique généraliste qui gère « quand il y a le temps ». Les correctifs prennent du retard, la double authentification n'est pas partout, la segmentation réseau est quasi inexistante.
  • Une dépendance totale à l'outil informatique. Quand la production, la facturation et les commandes s'arrêtent, une PME ne tient pas trois semaines. Cette fragilité, l'attaquant la connaît : elle augmente vos chances de payer vite.
  • Une porte vers de plus gros poissons. Vous êtes peut-être le sous-traitant, le fournisseur ou l'intégrateur d'un grand compte. Compromettre votre PME, c'est parfois le chemin le plus court vers sa cible finale — c'est toute la logique de l'attaque par la chaîne d'approvisionnement.

Le résultat est sans appel côté chiffres. L'ANSSI note que, parmi les organisations touchées par un rançongiciel en 2025, la moitié environ sont des structures de petite ou moyenne taille — une part en nette hausse. Vous n'êtes pas trop petit pour être une cible ; vous êtes exactement la bonne taille.

Par où ça entre vraiment : la porte connue et exposée

C'est le cœur du sujet, et c'est là qu'on peut vraiment agir. Quand on remonte le fil d'une attaque ransomware jusqu'à son accès initial, on tombe presque toujours sur une poignée de portes, et ce sont rarement des exploits de génie. Ce sont des portes connues, exposées et prévisibles.

acces-initial
Bordure
VPN et pare-feu vulnérables
Un équipement exposé, une CVE publique non corrigée.
Identité
Identifiants volés, sans MFA
Un compte VPN ou messagerie sans double authentification.
Ransomware
Accès initial
Le premier pied dans le réseau
Humain
Phishing
Un e-mail piégé qui livre un identifiant ou une charge.
Exposition
RDP ouvert sur internet
Un accès bureau à distance directement joignable.
Les vecteurs d'entrée les plus fréquents d'un rançongiciel : tous se réduisent ou se surveillent.

Les chiffres 2025 convergent tous vers le même constat. Les équipes de réponse à incident de Mandiant attribuent près d'un tiers des intrusions par rançongiciel à l'exploitation de vulnérabilités, le plus souvent sur des VPN et des pare-feu exposés. De son côté, l'ANSSI relevait déjà dans son Panorama 2024 que neuf des vulnérabilités les plus exploitées touchaient des équipements de bordure — Ivanti, Fortinet, Palo Alto Networks, Check Point — avec des scores de gravité parfois maximaux. Quant aux comptes exposés sans double authentification, ils restent le raccourci n°1 de l'attaquant : un mot de passe qui traîne dans une fuite suffit à ouvrir la porte.

Reste le vecteur humain, et il n'a rien perdu de sa vigueur : l'e-mail de phishing demeure la porte d'entrée la plus empruntée, parce qu'il ne coûte presque rien à l'attaquant et qu'il vise le maillon qu'aucun correctif ne patche. Un salarié qui saisit ses identifiants sur une fausse page, et le rançongiciel a son premier accès.

Le délai publication → exploitation se compte en heures
L'ANSSI s'alarme d'un phénomène qui change tout : le temps entre la publication d'une vulnérabilité et son exploitation en masse ne cesse de raccourcir. Un correctif appliqué « dans le mois » sur un équipement exposé, ce n'est plus assez rapide. Sur la bordure de votre SI, c'est une question de jours, parfois d'heures.

C'est exactement cette réalité qui donne son sens à la démarche de réduction de la surface d'attaque. La quasi-totalité de ces portes d'entrée sont visibles depuis internet, donc mesurables. Un VPN non patché, un RDP ouvert, un sous-domaine oublié, un identifiant qui a fuité : tout cela, un attaquant le découvre par un scan. La seule question, c'est de savoir si vous le découvrez avant lui. C'est précisément le métier de l'EASM (External Attack Surface Management) et du test d'intrusion.

Des cas récents, datés et sourcés

LockBit et l'opération Cronos (février 2024)

Pendant des années, LockBit a été le poids lourd du rançongiciel : à lui seul, le groupe aurait été derrière environ un quart des attaques ransomware sur 2023-2024. Son modèle était le RaaS pur — une plateforme louée à des centaines d'affiliés à travers le monde.

Le 19 février 2024, une coalition internationale menée par la National Crime Agency britannique et le FBI, baptisée opération Cronos, a démantelé son infrastructure. Trente-quatre serveurs saisis dans huit pays (dont la France), plus de mille clés de déchiffrement récupérées et remises aux victimes, des arrestations, et un pied de nez retentissant : les enquêteurs ont retourné le site de fuite du groupe pour y publier leurs propres révélations. La leçon utile pour une PME ? Même les plus gros groupes tombent — mais l'écosystème, lui, ne s'arrête pas. Les affiliés se sont simplement redéployés ailleurs.

2025 : Qilin en tête, un paysage éclaté

C'est justement ce qu'on observe. D'après le Panorama 2025 de l'ANSSI, la souche Qilin domine désormais avec 21 % des rançongiciels identifiés et plus de 700 victimes revendiquées sur l'année, devant Akira (9 %) et les restes de LockBit 3.0 (5 %). Le message est clair : abattre une marque ne tue pas la menace, un autre groupe prend la place. Se protéger ne consiste donc pas à surveiller « le » ransomware du moment, mais à fermer les portes quetous empruntent.

Le cas d'école : un pare-feu non corrigé

Dans son bilan 2024, l'ANSSI cite une intrusion emblématique : l'exploitation d'une faille sur des pare-feu Palo Alto (la CVE-2024-3400) pour pénétrer un opérateur télécoms, chiffrer ses données et provoquer plusieurs semaines de perturbations. Un seul équipement de bordure, une seule vulnérabilité connue, et des semaines d'arrêt. C'est la démonstration la plus concrète de l'angle de tout cet article : la porte était connue et exposée.

Avant l'attaque : réduire la surface et se préparer

Tout ce qui précède mène à une conclusion optimiste : comme le scénario est prévisible, la défense l'est aussi. On ne cherche pas à être inviolable, on cherche à fermer les portes faciles et à pouvoir se relever même si l'une cède. Voici les mesures qui rapportent le plus, dans l'ordre où je les prioriserais pour une PME.

  • Des sauvegardes 3-2-1, testées. C'est votre police d'assurance contre le chiffrement et contre le sabotage vu à l'étape 4. La règle : trois copies de vos données, sur deux supports différents, dont une hors ligne ou immuable (déconnectée, que le ransomware ne peut pas atteindre). Et surtout, une restauration qu'on a réellement testée : une sauvegarde jamais restaurée est une sauvegarde qu'on découvre corrompue le pire jour.
  • La double authentification (MFA) partout où ça expose. VPN, messagerie, accès distant, consoles d'administration, cloud. C'est la mesure au meilleur rapport effort/protection contre les identifiants volés — et elle neutralise à elle seule une bonne partie des accès initiaux.
  • Réduire et surveiller la surface d'attaque externe. On ne protège que ce qu'on connaît. Inventoriez en continu ce que vous exposez, fermez ce qui n'a rien à faire sur internet (RDP, interfaces d'admin), et traquez les identifiants et secrets qui ont fuité. C'est le rôle d'une surveillance de surface d'attaque et de la détection de fuites.
  • Patcher vite, en priorisant la bordure. Tout n'a pas la même urgence. Un correctif sur un équipement exposé (VPN, pare-feu, serveur en frontal) se traite en jours, pas en trimestres. Le reste peut suivre un rythme normal.
  • Segmenter le réseau. Un accès initial ne devient une catastrophe que s'il peut se propager. Cloisonner les zones, limiter les comptes à privilèges, durcir l'Active Directory : c'est ce qui casse le mouvement latéral de l'étape 2 et transforme une brèche en incident contenu.

Ces mesures se vérifient. Un test d'intrusion mené en conditions réelles rejoue le début de la chaîne — accès initial, élévation, mouvement latéral — et vous dit non pas si vous êtes « en règle », mais si un attaquant passerait. Et si le sujet vous concerne au titre de la conformité, la directive NIS2 élève précisément ces exigences (gestion des risques, sauvegardes, notification d'incident) pour un grand nombre de PME et d'ETI.

Pendant et après : les bons réflexes

Malgré tout, l'attaque a réussi. La panique est mauvaise conseillère, et l'improvisation coûte cher. Quelques principes qui font la différence.

Payer la rançon : à éviter, et voici pourquoi
L'ANSSI et les autorités sont constantes sur ce point : ne payez pas si vous pouvez l'éviter. Payer ne garantit rien — pas la récupération de vos données, pas la suppression des copies volées — finance directement l'écosystème criminel, et fait de vous une cible réputée « solvable » pour la prochaine fois. Le paiement doit rester l'ultime recours, décidé en connaissance de cause, jamais dans les premières heures de sidération.

Concrètement, la marche à suivre tient en quelques gestes, dans l'ordre :

  • Isoler, sans tout éteindre brutalement. Débranchez du réseau les machines touchées pour stopper la propagation, mais évitez d'effacer les traces : elles serviront à l'enquête et à comprendre par où c'est entré. Ne restaurez rien tant que la porte d'entrée n'est pas identifiée et fermée.
  • Se faire aider immédiatement. Le dispositif public cybermalveillance.gouv.fr oriente les victimes et met en relation avec des prestataires. Si vous avez un contrat de réponse à incident, c'est le moment de l'activer.
  • Notifier, parce que c'est souvent obligatoire. Portez plainte. Si des données personnelles sont concernées, le RGPD impose une notification à la CNIL sous 72 heures. Selon votre secteur et votre statut, un signalement à l'ANSSI peut aussi s'imposer, en particulier dans le cadre de NIS2.
  • Chercher une clé de déchiffrement légitime avant de céder. Le projet No More Ransom publie des déchiffreurs gratuits pour certaines familles ; les opérations de démantèlement comme Cronos en libèrent aussi. Ça vaut toujours la vérification.

Une fois la crise passée, le vrai travail commence : comprendre l'accès initial, le refermer définitivement, et s'assurer qu'il n'existe pas dix autres portes du même type. C'est là qu'un regard offensif — un pentest, une cartographie complète de la surface exposée — transforme un traumatisme en durcissement durable.

À retenir

  • Un ransomware (rançongiciel) chiffre vos données et exige une rançon ; le modèle RaaS et la double extorsion (vol des données avant chiffrement) en ont fait une industrie.
  • L'attaque suit une chaîne prévisible : accès initial, mouvement latéral, exfiltration, sabotage des sauvegardes, puis chiffrement. Le chiffrement est la fin, pas le début.
  • Les PME et ETI sont en première ligne (48 % des victimes selon l'ANSSI 2025), à cause d'une surface mal connue, de défenses limitées et d'une forte dépendance à l'informatique.
  • L'accès initial passe le plus souvent par une porte connue et exposée : VPN et pare-feu non patchés, comptes sans MFA, identifiants fuités, RDP ouvert, phishing. Tout cela se mesure et se réduit.
  • Avant : sauvegardes 3-2-1 testées, MFA partout, réduction et surveillance de la surface d'attaque, patch rapide de la bordure, segmentation. Après : isoler sans détruire les traces, ne pas payer, notifier (plainte, CNIL sous 72 h, ANSSI).

La plupart des attaques ransomware entrent par une porte que l'on aurait pu voir — et fermer — à l'avance. C'est tout l'objet de notre plateforme EASM, qui cartographie en continu ce qu'un attaquant voit de votre SI, et de nos pentests web qui rejouent l'intrusion pour de vrai. Envie d'en parler à un humain avant qu'un rançongiciel ne s'en charge ? La page contact est là pour ça.

Articles liés

    Ransomware (rançongiciel) : anatomie d'une attaque et comment protéger sa PME | own2pwn