Qu'est-ce qu'un ransomware ?
Un ransomware — ou rançongiciel en français — est un logiciel malveillant qui chiffre les fichiers d'un système informatique et réclame le paiement d'une rançon en échange de la clé de déchiffrement. En clair : votre ordinateur est pris en otage, vos données deviennent illisibles, et un message s'affiche vous indiquant combien vous devez payer, et dans quel délai, pour espérer récupérer l'accès. Les victimes vont du particulier peu méfiant aux hôpitaux publics, en passant par les multinationales et les collectivités locales. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
Pour comprendre pourquoi ce type d'attaque est devenu l'une des menaces numériques les plus redoutées de la décennie, il faut décortiquer chaque étape : comment le malware entre dans un système, ce qu'il fait une fois en place, et — surtout — comment s'en prémunir avant qu'il ne soit trop tard.
- Mettre en place des sauvegardes automatiques déconnectées du réseau
- Former les employés à reconnaître les emails de phishing
- Maintenir tous les logiciels à jour avec les derniers correctifs de sécurité
- Déployer un EDR capable de détecter les comportements suspects
- Préparer un plan de réponse à incident avec les coordonnées de l'ANSSI
Comment fonctionne un ransomware techniquement ?
L'infection silencieuse
Le ransomware ne s'annonce pas. Il s'installe discrètement, souvent sans déclencher la moindre alerte visible. La première phase est dite de reconnaissance : le malware cartographie le réseau, identifie les lecteurs partagés, les sauvegardes accessibles, les comptes à privilèges. Cette phase peut durer des jours, parfois des semaines. L'attaquant attend le bon moment — souvent un week-end, une nuit ou un jour férié, quand les équipes IT sont en effectif réduit.
Le chiffrement asymétrique
Vient ensuite l'étape centrale : le chiffrement. Les ransomwares modernes utilisent une combinaison de chiffrement symétrique (AES-256, rapide pour chiffrer de gros volumes) et asymétrique (RSA-2048 ou courbes elliptiques) pour sécuriser la clé symétrique. Concrètement : chaque fichier est chiffré avec une clé unique, elle-même chiffrée avec la clé publique de l'attaquant. Résultat — seule la clé privée de l'attaquant permet le déchiffrement, et cette clé ne vous sera transmise (peut-être) qu'après paiement.
Cette architecture rend le brute-force mathématiquement impossible dans un délai raisonnable. Il n'existe pas de raccourci : sans la clé privée, les données sont perdues.
La double extorsion : une évolution redoutable
Jusqu'en 2019, la logique était simple : payer ou perdre ses données. Depuis, les groupes les plus avancés ont introduit ce qu'on appelle la double extorsion. Avant de chiffrer, ils exfiltrent une copie des données sensibles. Puis ils menacent de les publier sur des sites dédiés (les "leak sites") si la rançon n'est pas versée. Certains groupes poussent même jusqu'à la triple extorsion : contacter directement les clients ou partenaires de la victime pour maximiser la pression.
Cette évolution a profondément changé la nature de la menace. Même une organisation dotée de sauvegardes impeccables peut se retrouver contrainte de payer pour éviter une fuite de données personnelles qui l'exposerait à des sanctions RGPD.
Les vecteurs d'infection les plus courants
Le phishing : vecteur numéro un
L'email reste la porte d'entrée préférée. Un message soigneusement crafté — imitation d'un fournisseur, d'un collègue ou d'un service public — incite l'utilisateur à ouvrir une pièce jointe piégée (document Office avec macro malveillante, PDF exploitant une faille PDF Reader) ou à cliquer sur un lien menant vers un kit d'exploitation. Les campagnes de spear-phishing ciblent des individus précis après avoir étudié leur activité sur LinkedIn ou les sites institutionnels de leur organisation.
Les accès RDP exposés
Le protocole RDP (Remote Desktop Protocol) a été massivement ouvert pendant la période Covid pour permettre le télétravail. Des millions de ports 3389 sont restés exposés sur Internet, accessibles avec des identifiants faibles ou recyclés. Des marketplaces clandestins vendent des accès RDP compromis pour quelques dizaines de dollars. Un attaquant achète l'accès, élève ses privilèges, dépose le ransomware. Affaire réglée en quelques heures.
Les vulnérabilités non patchées
EternalBlue — la faille SMB utilisée par WannaCry en 2017 — avait été patchée par Microsoft deux mois avant l'attaque. Des centaines de milliers de systèmes n'avaient toujours pas appliqué le correctif. Ce scénario se répète régulièrement : Log4Shell, ProxyLogon sur Exchange, les failles Citrix ou Fortinet. Les ransomware operators scrutent les CVE publiées et développent des exploits en quelques jours. La fenêtre entre la publication d'un patch et son déploiement chez les organisations est souvent le moment choisi pour lancer les campagnes d'exploitation.
Les attaques emblématiques qui ont marqué l'histoire
WannaCry (2017) : le premier séisme mondial
WannaCry reste la référence absolue. En mai 2017, ce ransomware exploitant EternalBlue s'est propagé comme un ver à travers 150 pays en quelques heures. Plus de 230 000 systèmes touchés, des usines Toyota arrêtées au Japon, le NHS britannique paralysé (des opérations reportées, des patients réorientés), Renault contraint de stopper plusieurs lignes de production en France. Le coût total a été estimé à plusieurs milliards de dollars. Un chercheur en sécurité a découvert un "kill switch" codé dans le malware, ce qui a limité les dégâts — mais le signal d'alarme était lancé.
Colonial Pipeline (2021) : quand les infrastructures critiques capitulent
En mai 2021, le groupe DarkSide frappe Colonial Pipeline, opérateur du plus grand oléoduc des États-Unis approvisionnant la côte Est en carburant. Par précaution, la direction décide d'arrêter les opérations le temps d'évaluer l'étendue de la compromission. Résultat : pénuries de carburant dans plusieurs États, files d'attente aux stations-service, état d'urgence décrété dans 17 États. Colonial Pipeline a payé environ 4,4 millions de dollars en bitcoin. Le FBI a ensuite réussi à récupérer une partie de la rançon. Cette attaque a définitivement inscrit les ransomwares dans l'agenda des gouvernements comme menace pour la sécurité nationale.
Les hôpitaux français sous pression
La France n'a pas été épargnée. L'hôpital de Dax en 2021, le CHU de Rouen en 2019, le Centre Hospitalier Sud Francilien de Corbeil-Essonnes en 2022 — dans ce dernier cas, le groupe LockBit a publié 11 Go de données après que l'hôpital a refusé de payer les 10 millions d'euros demandés. Des dossiers patients, des données RH, des contrats. Ces attaques ne sont pas anodines : des soins reportés, des systèmes de monitoring débranchés, du personnel contraint de revenir aux procédures papier en pleine période de tension hospitalière. L'ANSSI a multiplié les alertes et les ressources dédiées aux établissements de santé depuis 2021.
Que faire si vous êtes victime d'une attaque ?
Les premières minutes sont critiques
Dès la détection — souvent le message de rançon ou des alertes SIEM — la priorité absolue est l'isolation. Déconnecter immédiatement les machines compromises du réseau (câble Ethernet débranché, Wi-Fi désactivé) pour stopper la propagation latérale. Ne pas éteindre les machines si possible : la mémoire vive peut contenir des artefacts forensiques précieux (clés de chiffrement partielles, processus actifs).
Alerter immédiatement l'équipe sécurité ou votre MSSP. Identifier le périmètre exact : quels systèmes sont touchés, quelles sauvegardes sont accessibles et intactes, quels comptes ont été compromis.
Payer ou ne pas payer ?
La question qui fâche. Les autorités françaises (ANSSI, cybermalveillance.gouv.fr) et internationales déconseillent formellement de payer. Raisons : le paiement finance les groupes criminels, ne garantit pas la récupération des données (environ 20 % des victimes ayant payé ne récupèrent pas tout), et signale la victime comme une cible payante pour de futures attaques. Cela dit, pour certaines organisations — un hôpital avec des patients en danger, une PME sans sauvegardes avec 20 ans de données — le calcul est plus complexe. La décision doit être prise avec un accompagnement juridique et technique spécialisé, pas dans la panique des premières heures.
Déposer plainte et notifier
Déposer plainte auprès de la police ou gendarmerie est obligatoire pour activer certaines garanties d'assurance cyber. Pour les organisations traitant des données personnelles, la notification à la CNIL dans les 72 heures de la découverte est une obligation RGPD. Contacter cybermalveillance.gouv.fr permet d'être mis en relation avec des prestataires certifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité).
Comment se protéger efficacement
La règle 3-2-1 pour les sauvegardes
Trois copies de vos données, sur deux supports différents, dont une hors ligne (offline ou air-gapped). La sauvegarde hors ligne est le seul rempart réellement efficace contre le chiffrement : un ransomware ne peut pas atteindre ce qu'il ne peut pas voir sur le réseau. Tester régulièrement la restauration — une sauvegarde dont on n'a jamais vérifié la restauration n'est pas une sauvegarde.
Maintenir les systèmes à jour
La majorité des intrusions exploitent des vulnérabilités connues et patchées. Un programme de gestion des correctifs rigoureux — avec des délais de déploiement définis selon la criticité des CVE — réduit drastiquement la surface d'attaque. Les systèmes en fin de vie (Windows 7, Server 2008, vieux équipements réseau sans support) doivent être isolés ou remplacés.
Segmentation réseau et principe du moindre privilège
Un ransomware se propage sur ce à quoi il a accès. Segmenter le réseau en zones étanches (VLAN, firewalls internes) limite la propagation latérale. Appliquer le principe du moindre privilège : chaque compte utilisateur ne dispose que des droits strictement nécessaires à sa fonction. Les comptes administrateurs ne servent pas à naviguer sur Internet ou lire des emails.
Sensibilisation et simulation
La technique la plus efficace reste l'humain averti. Des formations régulières sur la reconnaissance du phishing, des simulations d'attaques (campagnes de phishing internes), des procédures claires en cas de doute (à qui signaler un email suspect ?) réduisent significativement le taux de succès des vecteurs humains. Les tests de simulation révèlent souvent des taux de clics alarmants — mieux vaut le découvrir en interne qu'après une vraie attaque.
Outils de détection et réponse (EDR/XDR)
Les antivirus traditionnels ne suffisent plus face aux ransomwares modernes qui utilisent des techniques de living-off-the-land (LOLBins), du chiffrement de leurs propres payloads et des méthodes d'évasion avancées. Les solutions EDR (Endpoint Detection and Response) analysent les comportements suspects en temps réel — un processus qui chiffre massivement des fichiers sera détecté et bloqué avant d'avoir terminé son travail. Pour aller plus loin dans le choix de votre solution, consultez notre comparatif des antivirus entreprise 2026.
Plan de réponse aux incidents
Disposer d'un plan de réponse aux incidents (PRI) testé et à jour avant d'en avoir besoin est la différence entre une organisation qui surmonte une attaque en 48 heures et une autre qui met six mois à s'en remettre. Ce plan définit les rôles, les contacts d'urgence (MSSP, assureur cyber, avocat spécialisé, communicant de crise), les procédures d'isolation, les critères de décision concernant la rançon et les obligations légales de notification.
Pour une vision complète de la sécurité numérique en entreprise et les bonnes pratiques à mettre en place dès aujourd'hui, consultez notre guide complet de la cybersécurité 2026.
| Type de ransomware | Méthode | Rançon moyenne | Récupération possible |
|---|---|---|---|
| Crypto-ransomware | Chiffre les fichiers | 10 000-200 000 € | Avec backup uniquement |
| Locker | Bloque l'accès | 1 000-5 000 € | Souvent oui |
| Double extorsion | Chiffre + vole données | 50 000-500 000 € | Données publiées si refus |
Ce qu'il faut retenir
Le ransomware n'est plus un risque théorique réservé aux grandes entreprises : les PME, les collectivités et les établissements de santé sont aujourd'hui les cibles prioritaires, souvent moins bien protégées et plus susceptibles de payer rapidement. La double extorsion a rendu obsolète la stratégie "j'ai des sauvegardes donc je ne risque rien". Et les groupes comme LockBit, BlackCat ou Cl0p opèrent désormais comme de véritables entreprises, avec des programmes d'affiliation, du support client et des portails de négociation.
La résilience face aux ransomwares repose sur quatre piliers indissociables : des sauvegardes testées et hors ligne, des systèmes maintenus à jour, des utilisateurs formés et une capacité de détection adaptée aux menaces modernes. Aucun de ces piliers seul ne suffit — c'est leur combinaison qui détermine si une attaque devient une anecdote ou une catastrophe.