Attaques par ransomware – Comment elles se déroulent pour la victime

La réponse gérée par fil est particulièrement efficace contre les attaques par ransomware. Grâce à cet outil, les processus réels d’une cyberattaque peuvent être observés avec précision. Du point de vue de la victime, la ransomware est souvent non pas le début, mais la pointe de l’iceberg des attaques.

Aucune organisation ne souhaite devenir victime de la cybercriminalité. Mais si des failles de sécurité existent, il est probable que les attaquants les trouvent et les exploitent. Et il peut s’écouler des mois, voire plus, avant que la victime ne remarque l’état de la situation.

Les Incident Responder aident les entreprises à identifier, bloquer et atténuer les attaques et leurs effets. Ce suivi par des spécialistes permet également une analyse précise des schémas d’attaque et, par conséquent, une observation détaillée de la manière dont la cybercriminalité frappe réellement les victimes.

Le véritable ennemi est l’homme, pas la machine

Les attaquants deviennent de plus en plus habiles à se dissimuler pour ne pas éveiller les soupçons des équipes de sécurité et rester indétectables. Par conséquent, différents niveaux de sécurité sont nécessaires pour interrompre la chaîne d’attaque à divers endroits. Alors que l’intrusion initiale se déroule de manière automatisée, les pirates utilisent ensuite des outils informatiques légitimes, tels que des scanneurs de réseau, pour contourner les technologies de sécurité et se déplacer latéralement dans le réseau.

Le défi pour les victimes réside dans le fait que les équipes de sécurité informatique doivent être particulièrement vigilantes lors de l’évaluation des outils qui sont légitimes et donc également populaires et fréquemment utilisés par les attaquants. De plus, les attaquants compromettent régulièrement les comptes d’administrateur existants pour se cacher à la vue de tous. Si leurs attaques sont arrêtées, ils tentent autre chose. Et c’est là que se révèle l’un des aspects les plus significatifs et encore trop souvent sous-estimés de la cybercriminalité par les victimes : on ne lutte pas contre du code malveillant, on lutte contre des humains.

Les intentions malveillantes des attaquants ont souvent à voir avec la sensibilité des données qu’il y a potentiellement à « piller ». Source : iStock / Ja_Inter

La ransomware est la conclusion d’une cyberattaque

Selon les Incident Responder, de nombreuses victimes pensent qu’une attaque se produit peu avant qu’elle ne devienne visible – par exemple par un message de ransomware. Cependant, cela est très rarement le cas. En réalité, les attaquants se trouvent généralement dans le réseau depuis un certain temps avant ce moment.

Ils agissent de manière cachée sous le radar, scannent le système, installent des portes dérobées et volent des informations. Toutes ces activités sont des marqueurs qui doivent être vérifiés pour faciliter une restauration complète après l’attaque.

La partie de l’attaque qui fait le plus sonner les alarmes est le lancement de la ransomware. À ce stade, l’attaquant a réussi toutes les méthodes mentionnées ci-dessus dans le réseau de la victime, de sorte qu’il peut sortir de sa cachette et être présent. En d’autres termes : la mise en œuvre de la ransomware marque la conclusion d’une attaque, et non son début.

Les victimes et les attaquants sont soumis à un grand stress

Pour la victime d’une attaque par ransomware, cela signifie du stress et de la surcharge. Source : iStock / PRImageFactory

Environ quatre-vingt-dix pour cent des attaques observées par les Incident Responder impliquent de la ransomware, et les conséquences de ces attaques sont souvent dévastatrices.

Cela est particulièrement vrai pour les organisations essentielles, telles que les établissements de santé, où une attaque réussie peut entraîner des opérations annulées, des radiographies disparues, des résultats de dépistage du cancer chiffrés et plus encore.

Certaines victimes se sentent impuissantes et considèrent le paiement d’une rançon comme la seule option pour récupérer l’accès aux sauvegardes de données, qui ont été capturées par les attaquants. D’autres organisations décident de ne pas payer. D’autres encore se préoccupent davantage des dommages à leur réputation que du paiement d’une rançon pour des codes de déchiffrement.

La ransomware elle-même varie de professionnelle et raffinée à médiocre et bâclée. Les analyses de ransomware ont montré que les attaques ne sont pas seulement stressantes et intimidantes pour les victimes, mais que les criminels sont également de plus en plus soumis à un « stress de succès » : ils mettent de plus en plus la pression sur les entreprises qui refusent de payer.

Défi de la reconstruction : Trouver la source

Les données des Incident Responder indiquent également qu’il est difficile pour de nombreuses victimes de suivre le mouvement de la ransomware à travers l’organisation. Il existe l’idée générale qu’elle se propage automatiquement dans toutes les directions du réseau à partir de son point de départ – alors qu’en réalité, elle se concentre stratégiquement sur une liste prédéterminée d’appareils et de zones réseau. De plus, il apparaît que les attaquants ne visent pas seulement les documents et autres données, mais qu’ils veulent tout simplement rendre les appareils et systèmes aussi inopérants que possible, de sorte qu’ils ne disposent que des ressources nécessaires pour lancer la notification de ransomware.

Pour les victimes d’une attaque, cela signifie : la restauration du système ne commence pas par la réinstallation d’une sauvegarde et la recherche de ce que les attaquants ont encore fait. Le processus de restauration commence souvent par le défi significatif de reconstruire toutes les machines affectées. Et avec lui, la tâche difficile de l’identification : d’où l’attaque a-t-elle commencé et les criminels sont-ils peut-être encore dans le système ?

La lutte contre les menaces nécessite à la fois l’homme et la machine

Souvent, la faille de sécurité est l’homme et ses habitudes. Source : iStock / dusanpetkovic

Les caméras de surveillance peuvent enregistrer des crimes, peut-être même dissuader les criminels, mais elles ne peuvent pas arrêter l’effraction. Décisif est l’intervention de la force de sécurité qui suit en direct les enregistrements et entreprend les actions appropriées.

Depuis que les cybercriminels se déplacent de plus en plus souvent en mode furtif et ont amélioré leurs capacités à utiliser des outils et des processus légitimes, la valeur du facteur humain dans la chasse aux menaces augmente.

Cette méthode combine des algorithmes avancés de logiciels de sécurité modernes avec une expertise humaine quotidienne capable d’évaluer les nuances d’une attaque – une capacité que le logiciel (encore) ne possède pas.

Faits clés

Dommages causés par la ransomware dans le monde : Plus de 20 milliards d’euros par an – tendance à la hausse.

Temps d’arrêt moyen : Les entreprises perdent en moyenne 22 jours de productivité après une attaque par ransomware.

Questions fréquentes

Que faut-il faire en premier lieu lors d’une attaque par ransomware ?

Isoler immédiatement les systèmes concernés du réseau, activer le plan d’urgence informatique et mobiliser l’équipe de réponse aux incidents. Ne versez surtout pas de rançon précipitamment – selon l’Office fédéral pour la sécurité de l’information (BSI), cela augmente la probabilité de nouvelles attaques.

Une sauvegarde protège-t-elle de façon fiable contre la ransomware ?

Seulement si les sauvegardes sont stockées hors ligne ou dans un réseau isolé. La ransomware moderne recherche délibérément les systèmes de sauvegarde et les chiffre. La règle des « 3-2-1 » (3 copies, 2 supports, 1 externe) constitue le minimum requis.

Faut-il verser une rançon ?

L’Office fédéral pour la sécurité de l’information (BSI) et l’Office fédéral de police criminelle (BKA) déconseillent formellement cette pratique. Le versement d’une rançon finance des structures criminelles et ne garantit pas le déchiffrement des données. Selon Cybereason, 77 % des entreprises ayant payé ont été attaquées à nouveau. Préférez plutôt porter plainte et faire appel à une assistance professionnelle en réponse aux incidents.

Articles connexes

• Ces conseils vous protègent contre une faille de sécurité de smartphone en vacances
• Les CIOs sont préoccupés par la sécurité logicielle de leur entreprise
• La ransomware est de plus en plus utilisée pour des attaques ciblées

Plus du réseau MBF Media

• Stratégies informatiques pour les décideurs sur digital-chiefs.de
• Plus de tendances en matière de sécurité informatique sur mybusinessfuture.com

Source de l’image : iStock / glegorly

Fait : Selon le Allianz Risk Barometer 2025, les cyberattaques sont le plus grand risque commercial au niveau mondial.

Fait : Le dommage moyen d’une attaque par ransomware en 2024 était de 1,54 million de dollars selon Coveware.

L’essentiel

• Les intentions malveillantes des attaquants ont souvent à voir avec la sensibilité des données qu’il y a potentiellement à « piller ».
• Les victimes et les attaquants sont soumis à un grand stress Pour la victime d’une attaque par ransomware, cela signifie du stress et de la surcharge.
• La lutte contre les menaces nécessite à la fois l’homme et la machine Souvent, la faille de sécurité est l’homme et ses habitudes.
• Les Incident Responder aident les entreprises à identifier, bloquer et atténuer les attaques et leurs effets.

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow