Ransomware : définition, fonctionnement et protection pour les entreprises

Ransomware : définition, fonctionnement et protection pour les entreprises

En 2024, l'ANSSI a traité 144 compromissions par rançongiciel sur le territoire français. Les PME, TPE et ETI représentent 37 % de ces victimes, une part en hausse par rapport aux 34 % enregistrés en 2023. Hors paiement de rançon, le coût moyen de récupération après une attaque atteint désormais 2,73 millions de dollars (Sophos, 2024), soit une hausse de près d'un million de dollars en un an.

Pour un DSI ou un responsable IT, le ransomware n'est plus une menace théorique. C'est un risque opérationnel, financier et juridique qui exige une réponse structurée : prévention, détection, réponse et conformité réglementaire.

Qu'est-ce qu'un ransomware ?

Un ransomware est un logiciel malveillant (malware) conçu pour chiffrer les données d'une organisation et exiger une rançon en échange de la clé de déchiffrement. Sans cette clé, les fichiers chiffrés sont inaccessibles définitivement, si aucune sauvegarde valide n'existe en dehors du périmètre infecté.

Ransomware, rançongiciel : deux termes pour la même menace

Ransomware est le terme anglais, largement adopté dans le secteur IT. Rançongiciel est sa traduction officielle française, recommandée par l'Académie française et utilisée par les autorités comme l'ANSSI et la CNIL. Les deux termes désignent exactement le même type d'attaque.

L'ANSSI utilise "rançongiciel" dans ses publications institutionnelles. Dans les discussions professionnelles, "ransomware" reste le terme dominant. 

Objectif des attaquants : l'extorsion financière

Le ransomware est avant tout un modèle économique criminel. Les attaquants cherchent à monétiser l'accès qu'ils ont obtenu à votre système d'information : en bloquant l'accès à vos données, en menaçant de les publier, ou les deux à la fois.

La rançon est systématiquement demandée en cryptomonnaie (Bitcoin, Monero) pour réduire la traçabilité des paiements. Les délais imposés sont calculés pour maximiser la pression : 48 à 72 heures dans la plupart des cas, avec des compteurs à rebours affichés sur des interfaces de négociation dédiées.

Comment fonctionne un ransomware ? Les 5 phases d'une attaque

Une attaque par ransomware n'est pas un événement instantané. Elle suit un processus structuré qui peut prendre plusieurs semaines entre la première intrusion et le déclenchement visible du chiffrement.

Phase 1 : Infiltration initiale

L'attaquant entre dans votre système par l'un de ces trois vecteurs principaux :

  • Phishing ciblé : un email contient une pièce jointe piégée ou un lien vers une page de collecte d'identifiants. Les emails sont de plus en plus personnalisés et difficiles à distinguer d'une communication légitime.
  • Exploitation de vulnérabilités : un équipement exposé sur Internet (VPN, pare-feu, serveur web) présentant une faille non corrigée permet un accès direct sans interaction utilisateur.
  • RDP exposé : les accès Bureau à distance (Remote Desktop Protocol) mal sécurisés ou avec des mots de passe faibles constituent une porte d'entrée classique, particulièrement dans les environnements hybrides.

Phase 2 : Latéralisation et reconnaissance réseau

Une fois à l'intérieur, l'attaquant ne déclenche pas immédiatement le chiffrement. Il passe des jours ou des semaines à explorer le réseau, élever ses privilèges, identifier les ressources critiques (contrôleur de domaine Active Directory, serveurs de sauvegarde, partages réseau) et désactiver les solutions de sécurité.

Cette phase est la plus dangereuse : l'attaquant est présent mais invisible. Une détection à ce stade permet d'évincer l'intrus avant que le chiffrement soit déclenché.

Phase 3 : Chiffrement des données

Le chiffrement est déclenché lorsque l'attaquant estime avoir maximisé sa position. Il utilise un algorithme asymétrique (RSA ou ECC) pour chiffrer les fichiers sur les postes de travail, les serveurs, les partages réseau et les sauvegardes accessibles depuis le réseau.

La clé de déchiffrement n'est jamais stockée localement : elle est conservée par l'attaquant. Sans cette clé, aucun outil de "décryptage" ne peut restaurer vos données, sauf pour les familles de ransomware dont une faille a été identifiée et documentée.

Phase 4 : Demande de rançon

Un message apparaît sur les écrans infectés avec les instructions de paiement, un montant en cryptomonnaie, un délai et un moyen de contact. Certains groupes proposent même un "support client" pour guider la victime dans le processus de paiement.

Phase 5 : Exfiltration et double extorsion

Depuis 2020, la majorité des groupes ransomware actifs pratiquent la double extorsion : avant de chiffrer, ils exfiltrent une copie de vos données sensibles. Si vous refusez de payer ou tentez de restaurer depuis les sauvegardes, ils menacent de publier ces données sur leur site de fuite (DLS, Data Leak Site).

Cette deuxième pression est particulièrement sérieuse pour les entreprises soumises au RGPD, car la publication de données personnelles de clients ou collaborateurs déclenche des obligations légales immédiates.

Les différents types de ransomwares

Tous les ransomwares ne fonctionnent pas sur le même mécanisme. Quatre familles se distinguent par leur mode opératoire.

Crypto-ransomware

C'est le type le plus répandu. Il chiffre les fichiers du système (documents, bases de données, images, emails) tout en laissant le système d'exploitation fonctionner pour afficher la demande de rançon. WannaCry (2017) et CryptoLocker sont les exemples les plus connus de cette catégorie.

Locker ransomware

Le locker ransomware verrouille l'accès à l'ensemble du système ou de l'interface utilisateur sans nécessairement chiffrer les fichiers. L'écran est remplacé par un message de rançon. Moins sophistiqué techniquement que le crypto-ransomware, il reste tout aussi bloquant pour l'utilisateur et pour la continuité d'activité.

Ransomware-as-a-Service (RaaS) : la menace industrialisée

Le RaaS est le modèle économique qui a profondément transformé la menace ransomware. Des groupes criminels développent une infrastructure d'attaque complète (code malveillant, interface de négociation, système d'encaissement) et la louent à des "affiliés" contre une commission sur les rançons perçues, généralement entre 20 et 30 %.

Ce modèle a rendu les attaques accessibles à des acteurs sans compétences techniques avancées. Selon l'ANSSI, les trois groupes RaaS les plus actifs en France en 2024 étaient LockBit 3.0 (15 % des cas), RansomHub (7 %) et Akira (7 %). Le démantèlement partiel de LockBit en février 2024 a accéléré l'émergence de nouveaux entrants dans l'écosystème, sans réduire le niveau global de la menace.

Double extorsion et leakware

Le leakware (ou doxware) combine chiffrement et exfiltration des données. L'attaquant dispose de deux leviers : bloquer l'accès à vos données et menacer de les divulguer publiquement. Pour une entreprise qui gère des données clients sensibles (données médicales, données bancaires, informations contractuelles), le second levier est souvent plus dévastateur que le premier.

Type Mécanisme Impact principal Exemple
Crypto-ransomware Chiffrement des fichiers Perte d'accès aux données WannaCry, CryptoLocker
Locker ransomware Blocage de l'accès système Arrêt de la production Reveton
RaaS Loué à des affiliés Multiplication des attaquants LockBit, RansomHub, Akira
Double extorsion Chiffrement + exfiltration Perte d'accès + risque de fuite RGPD Akira, Cl0p

Pourquoi les ETI et grandes entreprises sont des cibles prioritaires ?

59 % des organisations mondiales ont subi une attaque par ransomware en 2024, selon Sophos. Ce chiffre est légèrement en recul par rapport aux deux années précédentes (66 %), mais le ransomware reste la menace la plus coûteuse pour les entreprises.

Le "Big Game Hunting" : quand les attaquants ciblent les grandes prises

Les groupes ransomware professionnels ont abandonné la stratégie du volume cibler un maximum de particuliers et de PME avec de petites rançons au profit du "Big Game Hunting" : viser des organisations capables de payer des rançons élevées. ETI, grandes entreprises et opérateurs d'importance vitale sont devenus les cibles prioritaires.

La logique est économique. Une ETI avec 200 millions d'euros de chiffre d'affaires peut payer une rançon de plusieurs centaines de milliers d'euros pour récupérer son système d'information en quelques jours, plutôt que de subir plusieurs semaines de paralysie opérationnelle.

Les ETI présentent par ailleurs des caractéristiques qui les exposent : des infrastructures IT complexes souvent hybrides (on-premise et cloud), des ressources de sécurité limitées par rapport aux grands groupes, et des processus de mise à jour parfois moins rigoureux.

Secteurs les plus touchés en France 

Le Panorama de la cybermenace 2024 de l'ANSSI détaille la répartition des 144 compromissions par rançongiciel traitées sur le territoire français en 2024 :

Secteur Part des victimes 2024 Évolution vs 2023
PME / TPE / ETI 37 % +3 pts (vs 34 %)
Collectivités territoriales 17 % −7 pts (vs 24 %)
Enseignement supérieur 12 % +7 pts (vs 5 %)

La baisse des attaques contre les collectivités reflète les investissements en cybersécurité réalisés dans ces secteurs depuis les incidents marquants de 2021-2022. La hausse des attaques contre les ETI et l'enseignement supérieur confirme que les attaquants adaptent leurs cibles selon le rapport effort/rendement.

Ransomware et obligations légales : ce que votre entreprise doit faire

Une attaque par ransomware n'est pas seulement une crise technique. C'est un incident qui déclenche des obligations légales strictes, dont le non-respect expose votre entreprise à des sanctions supplémentaires.

Notification CNIL obligatoire dans les 72 heures (RGPD)

Si votre entreprise traite des données personnelles (clients, collaborateurs, prospects), une attaque par ransomware constitue très probablement une violation de données personnelles au sens du RGPD. L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation.

Cette obligation s'applique même si vous n'avez pas connaissance d'une exfiltration de données : le simple chiffrement des données constitue une violation de disponibilité.

Si la violation présente un risque élevé pour les droits et libertés des personnes concernées (données de santé, données financières, données d'identité), l'article 34 impose en outre de notifier directement les personnes affectées.

La notification à la CNIL doit contenir : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les données affectées, les mesures prises ou envisagées pour y remédier.

NIS2 : nouvelles obligations pour les opérateurs essentiels

La directive NIS2, transposée en droit français, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité renforcées. Les "entités essentielles" (santé, énergie, transports, finance, infrastructures numériques) et les "entités importantes" sont désormais soumises à des exigences de déclaration d'incident : alerte initiale à l'ANSSI sous 24 heures, notification complète sous 72 heures.

Si votre entreprise est concernée par NIS2, un incident ransomware déclenche une procédure de reporting spécifique auprès de l'ANSSI, distincte de la notification CNIL.

Dépôt de plainte et signalement Cybermalveillance.gouv.fr

Deux démarches complémentaires sont recommandées par les autorités :

  • Dépôt de plainte auprès des services de police ou de gendarmerie (Brigade nationale de lutte contre la cybercriminalité). C'est une condition pour bénéficier de l'aide des autorités et, dans la plupart des cas, pour activer votre assurance cyber.
  • Signalement sur https://www.cybermalveillance.gouv.fr : la plateforme met en relation les victimes avec des prestataires de cybersécurité qualifiés (PRIS) et centralise les données sur les menaces actives en France.

Comment protéger votre entreprise contre les ransomwares ?

La protection contre les ransomwares repose sur une combinaison de mesures techniques, organisationnelles et humaines. Aucune mesure isolée ne suffit.

Règle de sauvegarde 3-2-1

La sauvegarde est votre dernier filet de sécurité. La règle 3-2-1 est le standard du secteur :

- 3 copies des données (production + 2 sauvegardes)

- 2 supports différents (disque local + stockage externe)

- 1 copie hors ligne ou hors site, physiquement déconnectée du réseau

Le point critique : les sauvegardes connectées au réseau, y compris les solutions cloud synchronisées en temps réel,  peuvent elles-mêmes être chiffrées lors d'une attaque. Une copie hors ligne, non accessible depuis le réseau infecté, est indispensable.

Segmentation réseau et architecture Zero Trust

La segmentation réseau limite la propagation d'une attaque. Si un poste de travail est compromis, un réseau correctement segmenté empêche l'attaquant d'accéder directement aux serveurs critiques, aux systèmes de sauvegarde et aux équipements de production.

L'architecture Zero Trust pousse cette logique plus loin : aucun utilisateur, aucun équipement n'est considéré comme fiable par défaut, même à l'intérieur du réseau. Chaque accès est authentifié et autorisé selon le principe du moindre privilège. Cette approche réduit considérablement la surface d'attaque exploitable lors de la phase de latéralisation.

Gestion des vulnérabilités et mises à jour

La majorité des intrusions ransomware exploitent des vulnérabilités connues pour lesquelles des correctifs existent mais n'ont pas été appliqués. Un processus de gestion des correctifs (patch management) structuré, avec des délais maximum de déploiement définis selon la criticité des vulnérabilités, réduit drastiquement votre exposition.

Les équipements exposés sur Internet (VPN, pare-feu, passerelles RDP) méritent une priorité absolue dans ce processus.

Authentification forte (MFA) et gestion des accès

L'authentification multifacteur (MFA) sur tous les accès distants (VPN, portails web, accès cloud, messagerie) est aujourd'hui un prérequis de base. Un identifiant et un mot de passe volés via phishing ne suffisent plus à entrer dans votre système si le MFA est actif.

Complétez cette mesure par une revue régulière des comptes à privilèges (administrateurs, comptes de service) et la suppression des comptes inutilisés. Les comptes dormants avec des droits élevés constituent une cible de choix pour l'élévation de privilèges lors de la phase de latéralisation.

Sensibilisation et formation des équipes

Le phishing reste le vecteur d'entrée le plus fréquent. La sensibilisation régulière des collaborateurs, avec des simulations d'attaques phishing contrôlées, permet de réduire le taux de clics sur des liens malveillants. La culture de sécurité ne se construit pas avec une session de formation annuelle : c'est un programme continu, intégré dans les processus RH et IT.

Le rôle de l'infogérance et des services managés de sécurité

Pour les ETI qui ne disposent pas d'une équipe de sécurité interne dédiée, l'externalisation de la surveillance du SI à un partenaire infogéreur certifié ISO 27001 apporte deux avantages concrets.

Le premier est la détection proactive : un SOC (Security Operations Center) managé surveille en continu les événements de sécurité du réseau et identifie les comportements anormaux : élévation de privilèges, latéralisation réseau, communication vers des serveurs de commande et contrôle, avant que l'attaquant n'ait déclenché le chiffrement. Le second est la réactivité : en cas d'incident, des équipes spécialisées sont disponibles immédiatement, sans le délai de montée en compétence qu'implique une réponse purement interne.

Chez Ozitem, la gestion de la sécurité réseau s'appuie sur cette logique : audit de l'architecture existante, déploiement de solutions de détection comportementale, surveillance continue et capacité de réponse sur incident. La certification ISO 27001 du Groupe Ozitem garantit que ces processus sont formalisés, audités et maintenus selon un référentiel international reconnu. C'est une garantie concrète pour les DSI qui soumettent leurs partenaires IT à des due diligences de sécurité.

Que faire si votre entreprise est victime d'un ransomware ?

La réponse à un incident ransomware se joue dans les premières heures. Une réaction rapide et structurée fait la différence entre un incident contenu et une paralysie totale de l'organisation.

Les premières 24-72 heures : checklist de réponse

Dans les premières heures :

  • Isolez immédiatement les systèmes affectés du réseau (déconnectez les câbles réseau, désactivez le Wi-Fi) sans les éteindre : l'extinction peut effacer des preuves forensiques indispensables à l'analyse post-incident.
  • Alertez votre RSSI ou votre prestataire de sécurité. Si vous faites appel à des services managés IT externalisés, contactez votre équipe dédiée.
  • Préservez les preuves : ne reformatez pas les systèmes avant l'analyse forensique. Les logs d'événements, les traces réseau et les fichiers chiffrés permettent d'identifier le groupe attaquant et d'évaluer l'étendue de l'exfiltration.
  • Identifiez l'étendue : quels systèmes sont touchés ? Des sauvegardes sont-elles accessibles et intactes ?

Dans les 72 heures :

  • Notifiez la CNIL si des données personnelles sont concernées (obligation légale RGPD, délai de 72 heures).
  • Déposez plainte auprès des services de police ou de gendarmerie.
  • Signalez l'incident sur https://www.cybermalveillance.gouv.fr.
  • Activez votre plan de continuité d'activité (PCA) et votre plan de reprise d'activité si vous en disposez.

Faut-il payer la rançon ? La position des autorités

La réponse des autorités françaises et de l'ANSSI est claire : ne payez pas. Cette position repose sur trois arguments.

Le premier est économique : payer finance les groupes criminels et encourage de nouvelles attaques. Votre organisation devient une cible privilégiée pour de futures extorsions, soit par le même groupe, soit par un autre informé de votre disposition à payer.

Le second est opérationnel : payer ne garantit pas la récupération des données. Selon le rapport de Sophos, les organisations qui ont payé ont versé en moyenne 2 millions de dollars en 2024 (contre 400 000 dollars en 2023), sans garantie de récupération complète ni d'absence d'une seconde demande.

Le troisième est légal : depuis la loi LOPMI de 2023, les assurances cyber ne peuvent rembourser le paiement d'une rançon qu'après dépôt de plainte. Et dans certains cas, payer une rançon à un groupe sanctionné par des autorités peut exposer l'entreprise à des risques juridiques supplémentaires.

{{cta-modernisez-votre-it-network-and-security="/cta"}}

FAQ

Quelle est la différence entre ransomware et rançongiciel ?

Aucune. "Rançongiciel" est la traduction française officielle de "ransomware". L'ANSSI utilise "rançongiciel" dans ses publications institutionnelles ; le secteur IT utilise couramment "ransomware". Les deux termes désignent le même type de logiciel malveillant.

Qu'est-ce que le Ransomware-as-a-Service (RaaS) ?

Le RaaS est un modèle criminel dans lequel des développeurs construisent et maintiennent une infrastructure d'attaque ransomware (code malveillant, système de paiement, interface de négociation) et la louent à des "affiliés" en échange d'une commission sur les rançons perçues (20 à 30 % généralement). Ce modèle a démocratisé les attaques ransomware : des acteurs sans compétences techniques avancées peuvent lancer des attaques sophistiquées en s'appuyant sur l'infrastructure de groupes comme LockBit ou RansomHub.

Quels secteurs français sont les plus ciblés par les ransomwares ?

Les PME, TPE et ETI représentent 37 % des victimes de compromissions par rançongiciel en France, devant les collectivités territoriales (17 %) et les établissements d'enseignement supérieur (12 %).

Quelles obligations légales s'appliquent après une attaque ransomware ?

Trois obligations principales : notification à la CNIL dans les 72 heures si des données personnelles sont concernées (article 33 du RGPD) ; notification à l'ANSSI sous 24 heures (alerte initiale) si votre entreprise est soumise à NIS2 ; dépôt de plainte auprès des services de police ou de gendarmerie. La notification aux personnes concernées peut également être requise si le risque pour leurs droits et libertés est élevé (article 34 du RGPD).

Comment un infogéreur certifié ISO 27001 réduit-il le risque ransomware ?

Un partenaire infogéreur certifié ISO 27001 apporte trois éléments concrets : une surveillance continue du SI via un SOC managé (les comportements anormaux sont détectés avant le chiffrement) ; un processus de gestion des vulnérabilités structuré qui garantit l'application des correctifs critiques dans des délais définis ; et une capacité de réponse sur incident immédiate, sans le délai de mobilisation qu'implique une réponse purement interne. La certification ISO 27001 garantit que ces processus sont formalisés, maintenus et audités selon un référentiel international.

Sommaire
Aucun titre dans cet article
Example H3
Example H4
Example H4
Example H4
Inscrivez-vous à la newsletter
Votre adresse de messagerie sera uniquement utilisée pour vous envoyer la newsletter d'Ozitem ainsi que nos communications marketing. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Plus de contenus

Qu’est-ce que les services managés ?

Catégorie

Découvrir
Découvrir

Qu'est-ce que l'IaaS (infrastructure as a service) ?

Catégorie

Découvrir
Découvrir

Qu’est-ce que l’Edge Computing ?

Catégorie

Découvrir
Découvrir