BRIEFING SÉCURITÉ · 10.07.2026 DEENFRES

Lexique de sécurité

Ransomware : definition, fonctionnement et protection

Par Benedikt Langer · 8 juillet 2026 · 7 min de lecture

Qu’est-ce que les ransomwares ? Les ransomwares sont des logiciels malveillants qui bloquent l’accès aux données et aux systèmes, généralement par le biais d’un chiffrement. Les cybercriminels ne libèrent les fichiers qu’en échange d’une rançon. L’Office fédéral allemand de la sécurité des systèmes d’information (BSI) les classe comme une atteinte à la disponibilité des systèmes et comme une forme d’extorsion numérique. Les attaques modernes associent souvent le chiffrement au vol de données et à la menace de publication.

Points clés

  • Fonctionnement : Le chiffrement paralyse les systèmes ; les attaquants exigent une rançon en échange de la clé de déchiffrement. Les données volées servent de second levier de pression.
  • Déroulement : Les pirates s’infiltrent via des campagnes de phishing, des vulnérabilités logicielles ou des accès distants non sécurisés, se propagent dans le réseau, puis déclenchent le chiffrement en dernier lieu.
  • Protection : Des sauvegardes hors ligne testées, une segmentation du réseau, l’authentification multifacteur (MFA) et une application rigoureuse des correctifs réduisent le risque de manière optimale.

Comment se déroule une attaque en pratique

Un incident par ransomware commence bien avant le chiffrement visible. Les voies d’intrusion les plus fréquentes sont les e-mails d’hameçonnage contenant des pièces jointes malveillantes, les vulnérabilités exploitables sur des systèmes accessibles depuis l’extérieur, et les accès distants mal sécurisés comme le protocole RDP. L’Office fédéral allemand de la sécurité des systèmes d’information (BSI) place ces trois vecteurs en tête de ses rapports depuis des années.

Une fois l’accès obtenu, les attaquants s’assurent d’un accès permanent et étendent leurs privilèges, souvent via des identifiants et des comptes administrateur récupérés. Ils se déplacent ensuite latéralement au sein du réseau, généralement via des services comme SMB ou RDP. Le cadre MITRE ATT&CK qualifie ces phases de « mouvement latéral ».

950 signalements

Attaques par ransomware en Allemagne pour la période 2024/2025

Source : Rapport de situation 2025 du BSI

Avant le chiffrement, les cybercriminels exfiltrent des données dans la majorité des cas. Ce n’est qu’ensuite que débute le véritable chiffrement, référencé par MITRE ATT&CK sous la technique T1486. La demande de rançon apparaît donc à l’issue d’une opération qui a souvent duré des jours, voire des semaines. C’est précisément dans cette fenêtre temporelle qu’une détection efficace peut encore limiter l’impact.

L’extorsion double comme modèle économique

L’extorsion double consiste à exiger une rançon pour le déchiffrement des données tout en menaçant de publier les informations volées. L’Office fédéral allemand de la sécurité des technologies de l’information (BSI) observe ce double levier dans la majorité des attaques par ransomware. Le paiement ne garantit en rien la sécurité des données ni ne prévient leur fuite.

Ces attaques reposent sur une criminalité organisée et spécialisée. Dans le modèle « Ransomware-as-a-Service » (RaaS), les opérateurs fournissent le logiciel malveillant et l’infrastructure, tandis que les partenaires exécutent les attaques et se partagent les bénéfices. Selon le rapport de situation du BSI, environ 80 % des attaques signalées en Allemagne ciblent des petites et moyennes entreprises (PME). Les cybercriminels privilégient des cibles accessibles, dotées d’une défense insuffisante, plutôt que des entreprises de renom.

Ce que les entreprises doivent vérifier dès maintenant

La protection la plus efficace s’applique avant le chiffrement. Les sauvegardes déterminent la capacité à restaurer les données : elles doivent donc être conservées hors du réseau de production et testées régulièrement pour vérifier leur restaurabilité. La segmentation limite la propagation des attaques, tandis que l’authentification multifactorielle (MFA) sécurise les accès, souvent ciblés par les cybercriminels.

À vérifier dès maintenant

  • Appliquer la règle de sauvegarde 3-2-1 : conserver une copie hors ligne et tester régulièrement la restauration
  • Segmenter le réseau pour éviter qu’un terminal compromis ne compromette l’ensemble du système
  • Rendre obligatoire l’authentification multifactorielle (MFA) pour tous les accès à distance et les comptes privilégiés
  • Prioriser l’application des correctifs de sécurité sur les systèmes accessibles depuis l’extérieur
  • Documenter un plan de réponse aux incidents, clarifier les procédures de signalement et s’entraîner à gérer une crise

Différenciation avec des concepts apparentés

Les ransomwares visent l’extorsion : les cybercriminels proposent une clé de déchiffrement en échange d’un paiement. Les malwares de type *wiper* (effaceurs), en revanche, détruisent les données de manière irréversible, sans aucune possibilité de restauration, même contre rançon. Les logiciels malveillants classiques, tels que les *spyware* (logiciels espions) ou les chevaux de Troie bancaires, poursuivent quant à eux des objectifs distincts, allant de l’espionnage à l’accès frauduleux aux comptes bancaires.

Une mécompréhension fréquente concerne les sauvegardes. Celles-ci permettent de rétablir la disponibilité des données, mais la confidentialité des informations volées reste compromise. En cas de double extorsion (extorsion classique + menace de fuite des données), une entreprise qui ne s’appuie que sur ses sauvegardes reste sous pression. Par ailleurs, des sauvegardes mal isolées sont régulièrement chiffrées en même temps que les données principales.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

Faut-il payer une rançon ?

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) déconseille fortement cette pratique. Le paiement ne garantit ni le déchiffrement des données ni leur suppression, et alimente en outre de nouvelles attaques. Les victimes sont invitées à déposer plainte.

Les sauvegardes suffisent-elles comme protection ?

Les sauvegardes sont essentielles pour la restauration, mais ne résolvent pas le problème des données volées. En cas de double extorsion, la menace de publication des données persiste. Par ailleurs, les sauvegardes doivent être hors ligne et testées, sinon elles risquent d’être chiffrées en même temps que les autres données.

Comment les attaquants pénètrent-ils dans le réseau ?

Les méthodes les plus courantes sont les e-mails d’hameçonnage, les vulnérabilités exploitables sur des systèmes accessibles depuis l’extérieur, ainsi que les accès à distance mal sécurisés comme le protocole RDP.

Qu’est-ce que l’extorsion en double ?

Les cybercriminels chiffrent les systèmes et exfiltrent des données au préalable. En plus de la rançon exigée pour le déchiffrement, ils menacent de publier les données volées. L’Office fédéral allemand de la sécurité des systèmes d’information (BSI) observe ce schéma dans la majorité des cas.

Quelles sont les obligations de déclaration en cas d’incident ?

Les entités régies par la directive NIS2 doivent signaler les incidents importants à l’BSI en trois étapes : alerte précoce dans les 24 heures, rapport de suivi dans les 72 heures, et rapport final au plus tard un mois après l’incident. Si des données à caractère personnel sont concernées, le règlement général sur la protection des données (RGPD) impose également une notification à l’autorité de protection des données.

Les choix de la rédaction

À lireSüdwestfalen-IT : la leçon de l’IT communaleÀ lireÀ partir de quand l’horloge du délai de déclaration commence-t-elle vraiment à ticter ?

Plus du réseau MBF Media

cloudmagazinGemini-CLI CVSS 10 RCE : ce que les architectes cloud doivent corriger dans le CI/CDMyBusinessFutureMois de l’IA : analyses cyber pour les PME sans équipe ITDigital ChiefsMandat technologique au conseil de surveillance : NIS2, EU AI Act et déficit de compétences

Pour aller plus loin

Un magazine d'Evernine Media GmbH