{"id":7058,"date":"2022-06-15T08:48:01","date_gmt":"2022-06-15T08:48:01","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-2461\/"},"modified":"2026-05-10T19:10:46","modified_gmt":"2026-05-10T19:10:46","slug":"attaques-par-ransomware-comment-elles-se-deroulent-pour-la-victime","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2022\/06\/15\/attaques-par-ransomware-comment-elles-se-deroulent-pour-la-victime\/","title":{"rendered":"Attaques par ransomware – Comment elles se d\u00e9roulent pour la victime"},"content":{"rendered":"

La r\u00e9ponse g\u00e9r\u00e9e par fil est particuli\u00e8rement efficace contre les attaques par ransomware. Gr\u00e2ce \u00e0 cet outil, les processus r\u00e9els d’une cyberattaque peuvent \u00eatre observ\u00e9s avec pr\u00e9cision. Du point de vue de la victime, la ransomware est souvent non pas le d\u00e9but, mais la pointe de l’iceberg des attaques.<\/strong><\/p>\n

Aucune organisation ne souhaite devenir victime de la cybercriminalit\u00e9. Mais si des failles de s\u00e9curit\u00e9 existent, il est probable que les attaquants les trouvent et les exploitent. Et il peut s’\u00e9couler des mois, voire plus, avant que la victime ne remarque l’\u00e9tat de la situation.<\/p>\n

Les Incident Responder aident les entreprises \u00e0 identifier, bloquer et att\u00e9nuer les attaques et leurs effets. Ce suivi par des sp\u00e9cialistes permet \u00e9galement une analyse pr\u00e9cise des sch\u00e9mas d’attaque et, par cons\u00e9quent, une observation d\u00e9taill\u00e9e de la mani\u00e8re dont la cybercriminalit\u00e9 frappe r\u00e9ellement les victimes.<\/p>\n

Le v\u00e9ritable ennemi est l’homme, pas la machine<\/h2>\n

Les attaquants deviennent de plus en plus habiles \u00e0 se dissimuler pour ne pas \u00e9veiller les soup\u00e7ons des \u00e9quipes de s\u00e9curit\u00e9 et rester ind\u00e9tectables. Par cons\u00e9quent, diff\u00e9rents niveaux de s\u00e9curit\u00e9 sont n\u00e9cessaires pour interrompre la cha\u00eene d’attaque \u00e0 divers endroits. Alors que l’intrusion initiale se d\u00e9roule de mani\u00e8re automatis\u00e9e, les pirates utilisent ensuite des outils informatiques l\u00e9gitimes, tels que des scanneurs de r\u00e9seau, pour contourner les technologies de s\u00e9curit\u00e9 et se d\u00e9placer lat\u00e9ralement dans le r\u00e9seau.<\/p>\n

Le d\u00e9fi pour les victimes r\u00e9side dans le fait que les \u00e9quipes de s\u00e9curit\u00e9 informatique doivent \u00eatre particuli\u00e8rement vigilantes lors de l’\u00e9valuation des outils qui sont l\u00e9gitimes et donc \u00e9galement populaires et fr\u00e9quemment utilis\u00e9s par les attaquants. De plus, les attaquants compromettent r\u00e9guli\u00e8rement les comptes d’administrateur existants pour se cacher \u00e0 la vue de tous. Si leurs attaques sont arr\u00eat\u00e9es, ils tentent autre chose. Et c’est l\u00e0 que se r\u00e9v\u00e8le l’un des aspects les plus significatifs et encore trop souvent sous-estim\u00e9s de la cybercriminalit\u00e9 par les victimes : on ne lutte pas contre du code malveillant, on lutte contre des humains.<\/p>\n

\"\"

Les intentions malveillantes des attaquants ont souvent \u00e0 voir avec la sensibilit\u00e9 des donn\u00e9es qu’il y a potentiellement \u00e0 \u00ab piller \u00bb. Source : iStock \/ Ja_Inter<\/p><\/div>\n

La ransomware est la conclusion d’une cyberattaque<\/h2>\n

Selon les Incident Responder, de nombreuses victimes pensent qu’une attaque se produit peu avant qu’elle ne devienne visible – par exemple par un message de ransomware. Cependant, cela est tr\u00e8s rarement le cas. En r\u00e9alit\u00e9, les attaquants se trouvent g\u00e9n\u00e9ralement dans le r\u00e9seau depuis un certain temps avant ce moment.<\/p>\n

Ils agissent de mani\u00e8re cach\u00e9e sous le radar, scannent le syst\u00e8me, installent des portes d\u00e9rob\u00e9es et volent des informations. Toutes ces activit\u00e9s sont des marqueurs qui doivent \u00eatre v\u00e9rifi\u00e9s pour faciliter une restauration compl\u00e8te apr\u00e8s l’attaque.<\/p>\n

La partie de l’attaque qui fait le plus sonner les alarmes est le lancement de la ransomware. \u00c0 ce stade, l’attaquant a r\u00e9ussi toutes les m\u00e9thodes mentionn\u00e9es ci-dessus dans le r\u00e9seau de la victime, de sorte qu’il peut sortir de sa cachette et \u00eatre pr\u00e9sent. En d’autres termes : la mise en \u0153uvre de la ransomware marque la conclusion d’une attaque, et non son d\u00e9but.<\/p>\n

Les victimes et les attaquants sont soumis \u00e0 un grand stress<\/h2>\n
\"ransomware-stress\"

Pour la victime d’une attaque par ransomware, cela signifie du stress et de la surcharge. Source : iStock \/ PRImageFactory<\/p><\/div>\n

Environ quatre-vingt-dix pour cent des attaques observ\u00e9es par les Incident Responder impliquent de la ransomware, et les cons\u00e9quences de ces attaques sont souvent d\u00e9vastatrices.<\/p>\n

Cela est particuli\u00e8rement vrai pour les organisations essentielles, telles que les \u00e9tablissements de sant\u00e9, o\u00f9 une attaque r\u00e9ussie peut entra\u00eener des op\u00e9rations annul\u00e9es, des radiographies disparues, des r\u00e9sultats de d\u00e9pistage du cancer chiffr\u00e9s et plus encore.<\/p>\n

 <\/p>\n

 <\/p>\n

Certaines victimes se sentent impuissantes et consid\u00e8rent le paiement d’une ran\u00e7on comme la seule option pour r\u00e9cup\u00e9rer l’acc\u00e8s aux sauvegardes de donn\u00e9es, qui ont \u00e9t\u00e9 captur\u00e9es par les attaquants. D’autres organisations d\u00e9cident de ne pas payer. D’autres encore se pr\u00e9occupent davantage des dommages \u00e0 leur r\u00e9putation que du paiement d’une ran\u00e7on pour des codes de d\u00e9chiffrement.<\/p>\n

La ransomware elle-m\u00eame varie de professionnelle et raffin\u00e9e \u00e0 m\u00e9diocre et b\u00e2cl\u00e9e. Les analyses de ransomware ont montr\u00e9 que les attaques ne sont pas seulement stressantes et intimidantes pour les victimes, mais que les criminels sont \u00e9galement de plus en plus soumis \u00e0 un \u00ab stress de succ\u00e8s \u00bb : ils mettent de plus en plus la pression sur les entreprises qui refusent de payer.<\/p>\n

D\u00e9fi de la reconstruction : Trouver la source<\/h2>\n

Les donn\u00e9es des Incident Responder indiquent \u00e9galement qu’il est difficile pour de nombreuses victimes de suivre le mouvement de la ransomware \u00e0 travers l’organisation. Il existe l’id\u00e9e g\u00e9n\u00e9rale qu’elle se propage automatiquement dans toutes les directions du r\u00e9seau \u00e0 partir de son point de d\u00e9part – alors qu’en r\u00e9alit\u00e9, elle se concentre strat\u00e9giquement sur une liste pr\u00e9d\u00e9termin\u00e9e d’appareils et de zones r\u00e9seau. De plus, il appara\u00eet que les attaquants ne visent pas seulement les documents et autres donn\u00e9es, mais qu’ils veulent tout simplement rendre les appareils et syst\u00e8mes aussi inop\u00e9rants que possible, de sorte qu’ils ne disposent que des ressources n\u00e9cessaires pour lancer la notification de ransomware.<\/p>\n

Pour les victimes d’une attaque, cela signifie : la restauration du syst\u00e8me ne commence pas par la r\u00e9installation d’une sauvegarde et la recherche de ce que les attaquants ont encore fait. Le processus de restauration commence souvent par le d\u00e9fi significatif de reconstruire toutes les machines affect\u00e9es. Et avec lui, la t\u00e2che difficile de l’identification : d’o\u00f9 l’attaque a-t-elle commenc\u00e9 et les criminels sont-ils peut-\u00eatre encore dans le syst\u00e8me ?<\/p>\n

La lutte contre les menaces n\u00e9cessite \u00e0 la fois l’homme et la machine<\/h2>\n
\"\"

Souvent, la faille de s\u00e9curit\u00e9 est l’homme et ses habitudes. Source : iStock \/ dusanpetkovic<\/p><\/div>\n

Les cam\u00e9ras de surveillance peuvent enregistrer des crimes, peut-\u00eatre m\u00eame dissuader les criminels, mais elles ne peuvent pas arr\u00eater l’effraction. D\u00e9cisif est l’intervention de la force de s\u00e9curit\u00e9 qui suit en direct les enregistrements et entreprend les actions appropri\u00e9es.<\/p>\n

Depuis que les cybercriminels se d\u00e9placent de plus en plus souvent en mode furtif et ont am\u00e9lior\u00e9 leurs capacit\u00e9s \u00e0 utiliser des outils et des processus l\u00e9gitimes, la valeur du facteur humain dans la chasse aux menaces augmente.<\/p>\n

Cette m\u00e9thode combine des algorithmes avanc\u00e9s de logiciels de s\u00e9curit\u00e9 modernes avec une expertise humaine quotidienne capable d’\u00e9valuer les nuances d’une attaque – une capacit\u00e9 que le logiciel (encore) ne poss\u00e8de pas.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Faits cl\u00e9s<\/h2>\n

Dommages caus\u00e9s par la ransomware dans le monde :<\/strong> Plus de 20 milliards d\u2019euros par an – tendance \u00e0 la hausse.<\/p>\n

Temps d\u2019arr\u00eat moyen :<\/strong> Les entreprises perdent en moyenne 22 jours de productivit\u00e9 apr\u00e8s une attaque par ransomware.<\/p>\n

Questions fr\u00e9quentes<\/h2>\n

Que faut-il faire en premier lieu lors d\u2019une attaque par ransomware ?<\/h3>\n

Isoler imm\u00e9diatement les syst\u00e8mes concern\u00e9s du r\u00e9seau, activer le plan d\u2019urgence informatique et mobiliser l\u2019\u00e9quipe de r\u00e9ponse aux incidents. Ne versez surtout pas de ran\u00e7on pr\u00e9cipitamment – selon l\u2019Office f\u00e9d\u00e9ral pour la s\u00e9curit\u00e9 de l\u2019information (BSI), cela augmente la probabilit\u00e9 de nouvelles attaques.<\/p>\n

Une sauvegarde prot\u00e8ge-t-elle de fa\u00e7on fiable contre la ransomware ?<\/h3>\n

Seulement si les sauvegardes sont stock\u00e9es hors ligne ou dans un r\u00e9seau isol\u00e9. La ransomware moderne recherche d\u00e9lib\u00e9r\u00e9ment les syst\u00e8mes de sauvegarde et les chiffre. La r\u00e8gle des \u00ab 3-2-1 \u00bb (3 copies, 2 supports, 1 externe) constitue le minimum requis.<\/p>\n

Faut-il verser une ran\u00e7on ?<\/h3>\n

L\u2019Office f\u00e9d\u00e9ral pour la s\u00e9curit\u00e9 de l\u2019information (BSI) et l\u2019Office f\u00e9d\u00e9ral de police criminelle (BKA) d\u00e9conseillent formellement cette pratique. Le versement d\u2019une ran\u00e7on finance des structures criminelles et ne garantit pas le d\u00e9chiffrement des donn\u00e9es. Selon Cybereason, 77 % des entreprises ayant pay\u00e9 ont \u00e9t\u00e9 attaqu\u00e9es \u00e0 nouveau. Pr\u00e9f\u00e9rez plut\u00f4t porter plainte et faire appel \u00e0 une assistance professionnelle en r\u00e9ponse aux incidents.<\/p>\n

Articles connexes<\/h2>\n