Un ransomware (rançongiciel) chiffre vos données et exige une rançon pour vous en rendre l'accès. C'est aujourd'hui l'une des menaces les plus coûteuses pour les organisations, parce qu'elle frappe au coeur : la disponibilité de vos fichiers et de vos services. Cette page explique comment fonctionne une attaque par rançongiciel, pourquoi elle a muté vers la double extorsion, ce qu'est le modèle RaaS, la question du paiement, et surtout les défenses qui tiennent. Elle s'adresse à toute personne qui veut comprendre cette menace, sans prérequis.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »Le rançongiciel n'est pas qu'un virus qui chiffre : c'est devenu une industrie criminelle structurée. Concrètement, vous saurez :
- Définir un ransomware et décrire le déroulé d'une attaque, de l'accès initial au chiffrement.
- Distinguer chiffrement simple, double et triple extorsion.
- Comprendre le modèle Ransomware-as-a-Service (RaaS) et son écosystème d'affiliés.
- Décider face à la question du paiement de la rançon.
- Déployer les défenses efficaces : sauvegardes 3-2-1 immuables, MFA, segmentation, plan de réponse.
- Relier cette menace au modèle de menaces SOCLE
(vecteur de rançongiciel cloud) et à la tactique Impact de
MITRE ATT&CK (
T1486).
Qu'est-ce qu'un ransomware
Section intitulée « Qu'est-ce qu'un ransomware »Un ransomware est un logiciel malveillant qui rend vos données inaccessibles, le plus souvent en les chiffrant avec une clé que seul l'attaquant détient. Un message réclame ensuite une rançon, généralement en cryptomonnaie, en échange de la clé de déchiffrement. Le nom vient de l'anglais ransom, la rançon.
L'analogie est celle d'un cambrioleur qui changerait toutes vos serrures et vous vendrait les nouvelles clés. Vos biens sont toujours là, mais vous ne pouvez plus y accéder. Pour une entreprise, cela signifie des services à l'arrêt, une production figée et une facture qui grimpe à chaque heure d'indisponibilité.
Dans le référentiel MITRE ATT&CK, le chiffrement destructeur porte
l'identifiant T1486 (Data Encrypted
for Impact), rangé dans la tactique Impact, celle des attaques qui visent à
détruire ou perturber plutôt qu'à voler discrètement.
Comment se déroule une attaque
Section intitulée « Comment se déroule une attaque »Contrairement à l'image d'un clic malheureux suivi d'un chiffrement immédiat, une attaque par rançongiciel moderne est une intrusion complète qui suit la kill chain. Le chiffrement n'est que la dernière étape, celle des actions sur objectifs.
Le schéma typique enchaîne un accès initial (souvent par hameçonnage ou exploitation d'un service exposé), une reconnaissance interne, une élévation de privilèges, un déplacement latéral pour toucher un maximum de machines, l'exfiltration des données sensibles, puis le chiffrement massif déclenché au pire moment (nuit, week-end). Cette phase de préparation peut durer des jours ou des semaines avant que la victime ne voie quoi que ce soit.
De l'extorsion simple à la triple extorsion
Section intitulée « De l'extorsion simple à la triple extorsion »Le modèle économique du rançongiciel s'est durci pour augmenter la pression.
- Extorsion simple : les données sont chiffrées, vous payez pour la clé. Une sauvegarde saine suffit alors à s'en sortir sans payer.
- Double extorsion : avant de chiffrer, l'attaquant exfiltre les données et menace de les publier. Même avec une bonne sauvegarde, la victime subit le chantage à la fuite. C'est aujourd'hui la norme.
- Triple extorsion : la pression s'étend aux clients, aux partenaires ou à l'opinion (contact direct des victimes, attaque par déni de service, signalement aux régulateurs). L'objectif est de rendre le non-paiement le plus douloureux possible.
Cette évolution change la parade : une sauvegarde ne protège plus contre la fuite de données. Il faut empêcher l'exfiltration en amont, pas seulement pouvoir restaurer.
Le modèle Ransomware-as-a-Service (RaaS)
Section intitulée « Le modèle Ransomware-as-a-Service (RaaS) »Le rançongiciel s'est professionnalisé en une chaîne de sous-traitance. Le Ransomware-as-a-Service (RaaS), décrit dans la phase d'armement, fonctionne comme un logiciel en location : un groupe développe le rançongiciel, le panneau de gestion et l'infrastructure de paiement, puis les loue à des affiliés qui se chargent de l'intrusion. Les gains se partagent entre les deux.
Cette division du travail abaisse la barrière d'entrée : un attaquant n'a plus besoin de savoir coder un chiffreur, seulement d'obtenir un accès. Elle explique aussi la multiplication des campagnes et la difficulté à attribuer une attaque à un groupe précis, puisque plusieurs affiliés utilisent le même outil.
Faut-il payer la rançon ?
Section intitulée « Faut-il payer la rançon ? »La recommandation des autorités, dont l'ANSSI en France, est claire : ne pas payer. Plusieurs raisons solides la fondent.
- Aucune garantie : payer n'assure ni la récupération des données, ni la suppression des copies exfiltrées. Vous dépendez de la parole de criminels.
- Financement du crime : chaque rançon finance les campagnes suivantes et entretient l'écosystème RaaS.
- Cible désignée : une victime qui paie signale qu'elle est solvable et se réexpose à de futures attaques.
Payer reste parfois envisagé en dernier recours face à un risque vital, mais c'est un pari perdant qui ne remplace jamais une capacité de restauration propre. La vraie réponse se prépare avant l'incident.
Comment se protéger
Section intitulée « Comment se protéger »Aucune mesure isolée ne suffit. La défense empile prévention, limitation de la propagation et capacité de reprise.
Pouvoir restaurer sans payer
Section intitulée « Pouvoir restaurer sans payer »- Sauvegardes selon la règle 3-2-1 : trois copies, sur deux supports différents, dont une hors site. C'est le socle de la reprise.
- Sauvegardes immuables ou hors-ligne : une copie que le rançongiciel ne peut ni chiffrer ni supprimer (stockage en écriture unique, coffre déconnecté). Voir par exemple la sauvegarde chiffrée avec plakar.
- Restauration testée : une sauvegarde jamais restaurée n'est pas une sauvegarde. L'exercice de restauration doit être régulier et chronométré.
Empêcher l'entrée et la propagation
Section intitulée « Empêcher l'entrée et la propagation »- MFA résistante au phishing sur les accès distants et privilégiés, car l'hameçonnage est la porte d'entrée la plus fréquente.
- Correctifs à jour sur les services exposés (VPN, bureau à distance), portes d'entrée classiques des affiliés.
- Segmentation réseau et moindre privilège pour freiner le déplacement latéral : un poste compromis ne doit pas donner accès à tout le parc.
- EDR et détection pour repérer la reconnaissance interne et le chiffrement de masse avant qu'il ne se propage.
Se préparer à l'incident
Section intitulée « Se préparer à l'incident »- Un plan de réponse écrit et répété : qui isole, qui communique, qui restaure, sous quel délai.
- Des sauvegardes des systèmes critiques identifiées et priorisées pour la reprise.
Ransomware, cloud et supply chain
Section intitulée « Ransomware, cloud et supply chain »Le rançongiciel ne touche plus seulement les postes : il vise le cloud et la chaîne logicielle. Le modèle de menaces SOCLE recense un vecteur dédié de rançongiciel cloud (destruction ou chiffrement des données et des sauvegardes hébergées), car un attaquant qui obtient des droits cloud peut détruire les sauvegardes en même temps que les données.
L'attaque Kaseya VSA illustre le croisement avec la supply chain : en exploitant un outil d'administration, les attaquants ont diffusé un rançongiciel à un grand nombre d'organisations d'un coup. Compromettre un fournisseur démultiplie la portée d'une seule intrusion.
À retenir
Section intitulée « À retenir »-
Un ransomware chiffre vos données contre une rançon, frappant la disponibilité au coeur de votre activité.
-
Le chiffrement arrive en dernier : c'est l'aboutissement d'une intrusion complète, souvent précédée d'une exfiltration.
-
La double extorsion est la norme : la fuite de données rend la seule sauvegarde insuffisante, il faut aussi empêcher l'exfiltration.
-
Le modèle RaaS a industrialisé la menace en séparant développeurs et affiliés, abaissant la barrière d'entrée.
-
Ne pas payer : aucune garantie, financement du crime, cible désignée. La vraie réponse est la capacité de restauration.
-
La défense empile 3-2-1 immuable, MFA, segmentation et plan de réponse, et le modèle de menaces SOCLE relie le rançongiciel cloud aux contrôles qui le neutralisent.