Ransomware : définition, fonctionnement et protection PME
Un ransomware (rançongiciel) est un logiciel malveillant qui chiffre les fichiers d’une entreprise et exige une rançon pour les restituer. Les PME sont devenues la cible prioritaire des groupes de ransomware : selon l’ANSSI, 40 % des incidents signalés en France concernent des structures de moins de 250 salariés.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Comment fonctionne un ransomware ?
Coût moyen d'une attaque ransomware
Comment se protéger ?
- Sauvegardes régulières, testées et hors ligne (3-2-1).
- Patch management rigoureux.
- Authentification multifacteur (MFA) sur tous les accès critiques.
- Segmentation réseau.
- Pentest régulier pour fermer les vecteurs d’accès initial.
Groupes ransomware actifs en France (2025-2026)
- LockBit 4.0 / LockBit Ransom : malgré Operation Cronos (Feb 2024, saisie Europol/FBI), une nouvelle infrastructure a émergé. Cible PME et ETI françaises via RDP/VPN exposés.
- Black Basta : successeur de Conti, responsable d'attaques contre plusieurs hôpitaux et ETI industrielles françaises en 2024-2025. RaaS très organisé, rançons 500k-5M€.
- Akira : émergent 2023-2024, cible spécifiquement PME de 50-500 employés via Cisco ASA/AnyConnect non patchés. Demandes 200k-1M€.
- Play / PlayCrypt : actif en Europe, spécialisé supply chain cloud (MSPs, éditeurs SaaS). Attaque MOVEit-style sur prestataires.
- Rhysida : attaques hôpitaux (British Library, hôpital de Corbeil-Essonnes en 2022 = prédécesseur Vice Society devenu Rhysida). Demandes moyennes 1.5M€.
Selon le panorama CERT-FR 2024, les PME représentent 43% des incidents traités. Le secteur le plus touché : industrie/manufacturing (Akira, Play), suivi du tertiaire et de la santé.
FAQ Ransomware
Faut-il payer la rançon ?
Position ANSSI + gouvernement français : ne jamais payer. Raisons : (1) financement de la cybercriminalité et sanctions éventuelles OFAC/UE si le groupe est sanctionné (LockBit l'est), (2) aucune garantie de récupération (30% des entreprises qui paient ne récupèrent pas tout), (3) marquage comme cible "payante" pour futures attaques. En revanche, votre assurance cyber peut imposer ou interdire le paiement selon la police — à négocier au contrat.
Un pentest protège-t-il vraiment d'un ransomware ?
Pas d'une attaque en cours, mais d'une compromission initiale : les vecteurs d'entrée ransomware les plus fréquents (phishing avec payload, VPN/RDP avec faille, Active Directory mal configuré, application web avec RCE) sont tous testés en pentest externe + interne. Un pentest interne (Active Directory hardening, lateral movement) est particulièrement rentable : il simule ce que fait l'attaquant après access initial.
Combien de temps pour remettre une PME en prod après un ransomware ?
Médiane 2024 (Coveware) : 22 jours entre chiffrement et reprise complète. Si sauvegardes 3-2-1 testées : 3-7 jours. Si pas de sauvegarde offline : 30-90 jours ou jamais (PME qui ferme). Le coût RH caché (CEO et équipe IT à 100% sur l'incident, communication client/fournisseur) représente souvent plus que la rançon elle-même.
La double extorsion change-t-elle la donne ?
Oui radicalement. En 2020, 85% des ransomware = chiffrement uniquement. En 2024, 95% exfiltrent d'abord les données et menacent de les publier. Conséquence : même une sauvegarde parfaite ne neutralise pas le chantier GDPR + réputation. Il faut un plan de communication de crise et une prise en charge CNIL rapide (<72h Art. 33).
Besoin d'un pentest ?
Chez Laucked, nous testons vos applications web, API et intégrations sensibles avec une méthodologie OWASP/PTES. Diagnostic de surface gratuit, rapport sous 48-72h.
Demander un diagnostic gratuit