Comment fonctionne un ransomware ?
L'attaque suit généralement 4 phases : accès initial (phishing, vulnérabilité exposée, RDP ouvert), mouvement latéral dans le réseau, exfiltration des données (double extorsion), puis chiffrement des fichiers et demande de rançon.
Coût moyen d'une attaque ransomware
Le coût moyen d'un incident ransomware pour une PME en France est estimé entre 50 000 € et 500 000 € (perte d'exploitation + remédiation + atteinte réputationnelle). Sans compter les sanctions RGPD en cas de fuite de données personnelles.
Comment se protéger ?
- Sauvegardes régulières, testées et hors ligne (3-2-1).
- Patch management rigoureux.
- Authentification multifacteur (MFA) sur tous les accès critiques.
- Segmentation réseau.
- Pentest régulier pour fermer les vecteurs d'accès initial.
Groupes ransomware actifs en France (2025-2026)
- LockBit 4.0 / LockBit Ransom : malgré Operation Cronos (Feb 2024, saisie Europol/FBI), une nouvelle infrastructure a émergé. Cible PME et ETI françaises via RDP/VPN exposés.
- Black Basta : successeur de Conti, responsable d'attaques contre plusieurs hôpitaux et ETI industrielles françaises en 2024-2025. RaaS très organisé, rançons 500 k - 5 M€.
- Akira : émergent 2023-2024, cible spécifiquement PME de 50-500 employés via Cisco ASA/AnyConnect non patchés. Demandes 200 k - 1 M€.
- Play / PlayCrypt : actif en Europe, spécialisé supply chain cloud (MSPs, éditeurs SaaS). Attaque MOVEit-style sur prestataires.
- Rhysida : attaques hôpitaux (British Library, hôpital de Corbeil-Essonnes en 2022 = prédécesseur Vice Society devenu Rhysida). Demandes moyennes 1,5 M€.
Selon le panorama CERT-FR 2024, les PME représentent 43 % des incidents traités. Le secteur le plus touché : industrie/manufacturing (Akira, Play), suivi du tertiaire et de la santé.
FAQ Ransomware
Faut-il payer la rançon ?
Position ANSSI + gouvernement français : ne jamais payer. Raisons : (1) financement de la cybercriminalité et sanctions éventuelles OFAC/UE si le groupe est sanctionné (LockBit l'est), (2) aucune garantie de récupération (30 % des entreprises qui paient ne récupèrent pas tout), (3) marquage comme cible « payante » pour futures attaques. En revanche, votre assurance cyber peut imposer ou interdire le paiement selon la police — à négocier au contrat.
Un pentest protège-t-il vraiment d'un ransomware ?
Pas d'une attaque en cours, mais d'une compromission initiale : les vecteurs d'entrée ransomware les plus fréquents (phishing avec payload, VPN/RDP avec faille, Active Directory mal configuré, application web avec RCE) sont tous testés en pentest externe + interne. Un pentest interne (Active Directory hardening, lateral movement) est particulièrement rentable : il simule ce que fait l'attaquant après access initial. Voir pentest interne vs externe.
Combien de temps pour remettre une PME en prod après un ransomware ?
Médiane 2024 (Coveware) : 22 jours entre chiffrement et reprise complète. Si sauvegardes 3-2-1 testées : 3-7 jours. Si pas de sauvegarde offline : 30-90 jours ou jamais (PME qui ferme). Le coût RH caché (CEO et équipe IT à 100 % sur l'incident, communication client/fournisseur) représente souvent plus que la rançon elle-même.
La double extorsion change-t-elle la donne ?
Oui radicalement. En 2020, 85 % des ransomware = chiffrement uniquement. En 2024, 95 % exfiltrent d'abord les données et menacent de les publier. Conséquence : même une sauvegarde parfaite ne neutralise pas le chantier GDPR + réputation. Il faut un plan de communication de crise et une prise en charge CNIL rapide (< 72 h Art. 33).