Malware Extorsion Menace majeure Mis à jour · Avril 2026

Ransomware

Aussi appelé : rançongiciel · cryptolocker · logiciel de rançon
En une phrase — Un ransomware est un logiciel malveillant qui chiffre les fichiers d'une victime — ou bloque l'accès à son système — et exige le paiement d'une rançon, généralement en cryptomonnaie, en échange de la clé de déchiffrement.
Catégorie
Logiciel malveillant (malware)
Vecteur principal
Phishing (≈55%), failles non corrigées, credentials volés
Coût moyen FR
250 000 € pour une PME (hors rançon)
Cible
Toutes organisations, en particulier santé et collectivités
Référence
ANSSI · CERT-FR · No More Ransom

01 — DéfinitionQu'est-ce qu'un ransomware ?

Un ransomware, traduit officiellement en français par rançongiciel, est un type de logiciel malveillant (malware) dont la finalité est l'extorsion financière. Il s'introduit sur un système informatique, chiffre tout ou partie des données qu'il contient, et affiche une demande de rançon — généralement payable en cryptomonnaie — en échange de la clé de déchiffrement.

Depuis 2020, la majorité des ransomwares pratiquent la double extorsion : avant de chiffrer les fichiers, les attaquants les exfiltrent vers leurs propres serveurs. Si la victime refuse de payer — par exemple parce qu'elle a des sauvegardes — les attaquants menacent de publier les données volées sur un « site de fuite » accessible sur le dark web. Certaines familles ajoutent une troisième couche : attaque en déni de service (DDoS) pour empêcher la victime de communiquer pendant la négociation.

Le ransomware est aujourd'hui la menace cyber la plus coûteuse pour les entreprises françaises, devant les fuites de données et les fraudes au président. L'ANSSI le qualifie de première menace pour les collectivités et les établissements de santé.

02 — ChronologieAnatomie d'une attaque par ransomware

Une attaque par ransomware réussie n'est jamais le fait d'un simple clic sur un email. C'est une opération méthodique qui s'étale souvent sur plusieurs semaines, divisée en six phases bien identifiées — un modèle calqué sur la kill chain militaire.

1. Intrusion initiale (J0)

L'attaquant obtient un premier accès : via un email de phishing réussi, l'exploitation d'une vulnérabilité non corrigée sur un service exposé (VPN Fortinet, Pulse, Citrix, RDP), ou en achetant des identifiants valides auprès d'un initial access broker sur le dark web.

2. Reconnaissance (J+1 à J+10)

L'attaquant cartographie discrètement le réseau : Active Directory, serveurs de fichiers, sauvegardes, comptes à privilèges. Il identifie les données les plus sensibles et les systèmes critiques. À ce stade, il est souvent indétectable pour un antivirus classique.

3. Élévation de privilèges (J+5 à J+15)

L'attaquant cherche à obtenir des droits administrateur, souvent via des outils légitimes détournés (Mimikatz, BloodHound, Cobalt Strike) — une technique appelée living off the land. Une fois administrateur du domaine, il contrôle tout.

4. Exfiltration (J+10 à J+25)

Avant le chiffrement, les attaquants téléchargent les données les plus précieuses vers leur infrastructure. Cette étape peut durer des jours et porter sur plusieurs téraoctets. C'est elle qui permet la double extorsion.

5. Déploiement du chiffrement (Jour J)

Le binaire de chiffrement est déployé massivement via les outils d'administration (GPO, scripts, SCCM). En quelques heures, l'intégralité du parc est chiffré : fichiers, bases de données, sauvegardes en ligne, parfois jusqu'aux hyperviseurs eux-mêmes. Une note de rançon apparaît sur chaque machine.

6. Extorsion et négociation

La victime est dirigée vers un portail de négociation, souvent accessible uniquement via Tor. La rançon initiale peut s'élever à plusieurs millions d'euros pour les grandes entreprises. Une négociation débute, menée par la victime ou un spécialiste mandaté. En parallèle, un compte à rebours et la publication progressive d'échantillons de données volées augmentent la pression.

03 — VecteursPar où entre un ransomware ?

Contrairement à une idée reçue, les attaquants ne choisissent pas leurs cibles au hasard : ils exploitent les portes qu'on laisse ouvertes. Trois vecteurs dominent largement.

  • Phishing (≈55%) — un email amène un utilisateur à ouvrir une pièce jointe malveillante, cliquer sur un lien qui télécharge un loader, ou saisir ses identifiants sur une fausse page. C'est la méthode la plus économique pour les attaquants.
  • Failles non corrigées (≈25%) — VPN avec CVE critique non patché, RDP exposé sur Internet, serveur mail vulnérable, ESXi directement accessible. Les attaquants scannent Internet en continu à la recherche de systèmes affichant des versions vulnérables connues.
  • Identifiants volés (≈15%) — des credentials valides achetés sur un marché cybercriminel, ou obtenus par credential stuffing après une fuite de données, donnent un accès direct sans aucune vulnérabilité à exploiter.
  • Attaque via prestataire (≈5%, en croissance) — l'attaquant compromet d'abord un prestataire (MSP, éditeur logiciel, hébergeur) puis utilise cet accès pour atteindre ses clients. L'attaque Kaseya en 2021 a illustré l'ampleur que peut atteindre ce vecteur.

04 — FamillesLes principaux ransomwares actifs

Le paysage des ransomwares fonctionne majoritairement sur un modèle Ransomware-as-a-Service (RaaS) : un groupe développe le code malveillant et l'infrastructure, puis le loue à des affiliés qui réalisent les intrusions et se partagent les gains (typiquement 70/30). Les familles les plus actives évoluent rapidement — voici celles qui dominent en 2025-2026.

  • LockBit — historiquement la famille la plus prolifique, fortement perturbée par l'opération Cronos début 2024 mais toujours active sous différentes formes.
  • Akira — ciblant particulièrement les PME et ETI européennes, vecteur privilégié : VPN mal configurés.
  • BlackCat / ALPHV — une des premières familles développées en Rust, connue pour la sophistication de son site de fuite.
  • Play — très active contre les collectivités et le secteur public en Europe.
  • Cl0p — spécialisée dans l'exploitation massive de failles zero-day sur des logiciels de transfert de fichiers (MOVEit, GoAnywhere).
  • RansomHub — apparu en 2024, a absorbé beaucoup d'affiliés d'anciennes familles démantelées.

05 — ExemplesCas récents en France

Centre hospitalier de Corbeil-Essonnes (2022)

Attaque du groupe LockBit avec demande initiale de 10 millions de dollars. L'hôpital a refusé de payer. Conséquences : basculement en mode dégradé pendant plusieurs semaines, report d'interventions, publication de données médicales sur le dark web. L'incident a servi de détonateur à l'accélération du plan ANSSI de sécurisation du secteur santé.

Commune ou collectivité territoriale (récurrent)

Le scénario type : un agent reçoit un email piégé, son poste est compromis, l'attaquant passe de serveur en serveur jusqu'à atteindre les sauvegardes. Résultat : paie, état civil, urbanisme à l'arrêt pendant des semaines. Plusieurs dizaines de communes françaises ont été touchées chaque année entre 2022 et 2025.

ETI industrielle — vecteur VPN

Une vulnérabilité critique publiée sur un VPN Fortinet n'est pas patchée à temps. Trois semaines plus tard, le groupe Akira exfiltre 1,5 To de données techniques puis chiffre l'ERP et les systèmes de production. L'usine est à l'arrêt 12 jours. Coût total estimé : plus de 8 millions d'euros, rançon non payée.

06 — DéfenseComment s'en protéger

Se protéger d'un ransomware, ce n'est pas empêcher l'intrusion à 100% — c'est impossible. C'est rendre l'intrusion détectable, la propagation difficile, et la reprise d'activité rapide.

Prévenir l'intrusion
  • Patcher rapidement tous les services exposés sur Internet : VPN, RDP, serveurs mail, solutions de transfert de fichiers.
  • Fermer RDP sur Internet ou le placer derrière un VPN avec MFA obligatoire.
  • Former les utilisateurs à reconnaître le phishing via des simulations régulières.
  • Activer l'authentification multifacteur partout, particulièrement sur les accès à privilèges et les accès distants.
  • Configurer DMARC pour empêcher l'usurpation de votre domaine.
Limiter la propagation
  • Appliquer le principe du moindre privilège : les comptes utilisateurs ne sont jamais administrateurs locaux.
  • Segmenter le réseau pour qu'un poste compromis ne puisse pas atteindre les serveurs critiques directement.
  • Déployer un EDR et/ou une solution XDR avec capacité de réponse automatique.
  • Mettre en place une architecture zero trust pour les accès internes.
  • Désactiver les protocoles legacy (SMBv1, NTLMv1) et limiter l'usage de PowerShell.
Garantir la reprise
  • Appliquer la règle 3-2-1-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site et 1 hors ligne (offline / immuable).
  • Tester régulièrement la restauration — une sauvegarde jamais testée est un espoir, pas une garantie.
  • Protéger les sauvegardes par une authentification distincte du domaine Active Directory principal.
  • Documenter un plan de reprise d'activité (PRA) avec scénario ransomware explicite.
  • Souscrire une cyber-assurance couvrant les frais de remédiation (la couverture de la rançon est de plus en plus exclue).

07 — RéactionQue faire en cas d'attaque ?

Les six premières heures sont décisives. Agir dans le désordre fait souvent plus de dégâts que l'attaque elle-même — par exemple en éteignant des machines, on détruit les traces nécessaires à l'investigation.

  1. Isoler, ne pas éteindre : déconnecter les machines infectées du réseau (Wi-Fi, Ethernet), mais les laisser allumées pour préserver la mémoire vive utile à l'analyse.
  2. Déclencher la cellule de crise : direction, DSI/RSSI, communication, juridique, DPO. Définir un canal de communication hors du SI compromis (téléphones personnels, messagerie externe).
  3. Contacter immédiatement votre prestataire d'incident response s'il existe, sinon le CERT-FR (ANSSI) ou cybermalveillance.gouv.fr.
  4. Déposer plainte sous 72 heures : obligatoire si vous souhaitez que votre assurance couvre le sinistre (loi LOPMI). Auprès du commissariat, de la gendarmerie, ou en ligne sur Thésée.
  5. Notifier la CNIL sous 72 heures si des données personnelles ont été compromises (RGPD, article 33). Notifier les personnes concernées si le risque est élevé.
  6. Ne pas communiquer publiquement sans accord avec les enquêteurs. Une communication maladroite peut entraver l'enquête et être exploitée par les attaquants.
  7. Préserver les preuves : logs, images disques, notes de rançon. Ne pas tenter de déchiffrer soi-même — vérifier d'abord sur No More Ransom si un déchiffreur gratuit existe pour la famille concernée.

08 — La questionFaut-il payer la rançon ?

La position des autorités françaises — ANSSI, gendarmerie C3N, police OCLCTIC — est claire : il ne faut pas payer. Cette recommandation repose sur plusieurs arguments objectifs.

  • Payer finance directement l'écosystème cybercriminel, qui réinvestira dans de nouvelles attaques.
  • Payer ne garantit rien : environ 40% des victimes qui paient ne récupèrent pas l'intégralité de leurs données.
  • Payer expose à des ré-attaques : les victimes qui paient sont identifiées comme solvables et reciblées dans 80% des cas dans les 18 mois suivants.
  • Payer peut être illégal si le groupe est sous sanctions internationales (OFAC aux États-Unis, sanctions UE). Un paiement à un groupe sanctionné engage la responsabilité pénale.
  • Depuis la loi LOPMI (2023), en France, le remboursement par l'assurance de la rançon n'est possible que si une plainte a été déposée dans les 72 heures.

Ceci étant, la décision appartient à chaque organisation et dépend d'éléments contextuels — vies humaines en jeu, survie de l'entreprise, données non sauvegardées vitales. Dans tous les cas, la négociation doit être confiée à des spécialistes et coordonnée avec les autorités.

09 — FAQQuestions fréquentes

Quelle différence entre ransomware et malware ?

« Malware » est le terme générique qui couvre tous les logiciels malveillants — virus, vers, chevaux de Troie, spywares, rootkits, ransomwares. Le ransomware est une catégorie spécifique de malware dont la finalité est l'extorsion financière. Tous les ransomwares sont des malwares, mais tous les malwares ne sont pas des ransomwares.

Un antivirus suffit-il à se protéger ?

Non, plus depuis longtemps. Les ransomwares modernes utilisent massivement des techniques living off the land qui s'appuient sur des outils légitimes — PowerShell, PsExec, RDP — indétectables par un antivirus à signatures. Il faut une solution EDR qui analyse les comportements plutôt que les signatures, idéalement combinée à une surveillance humaine 24/7 (MDR ou SOC).

Pourquoi ma sauvegarde a-t-elle été chiffrée aussi ?

Parce qu'elle était accessible depuis le domaine compromis. Une sauvegarde en ligne, montée comme un disque réseau ou accessible avec des identifiants Active Directory, est chiffrée en même temps que le reste. Seules les sauvegardes hors ligne (bandes, disques déconnectés) ou immuables (S3 Object Lock, cloud dédié en mode WORM) survivent à une attaque moderne.

Les PME sont-elles des cibles ?

Oui, et même des cibles privilégiées. Les grands groupes ont les moyens de se protéger sérieusement ; les PME ont des défenses plus faibles, des budgets de rançon atteignables (50 000 à 500 000 €) et peu d'expertise interne pour répondre. Les familles comme Akira ou Play visent explicitement ce segment.

Mon assurance rembourse-t-elle la rançon ?

Cela dépend du contrat, mais la tendance est à l'exclusion. Beaucoup d'assureurs ont retiré la couverture du paiement de la rançon elle-même et ne prennent plus en charge que les frais associés : investigation, remédiation, perte d'exploitation, notification RGPD, frais juridiques. Lisez attentivement les exclusions de votre contrat — et sachez qu'en France, depuis 2023, une plainte déposée dans les 72 heures est obligatoire pour déclencher la couverture assurantielle.