Logiciel malveillant, le ransomware se propage dans le système ou les applications, et chiffre les données et les fichiers afin de les rendre illisibles. 

Seul moyen de retrouver la lisibilité : utiliser la clé de déchiffrement liée à celle de chiffrement. Mais, détenue par les cybercriminels, elle n’est délivrée qu’en contrepartie d’une rançon. 

En 2024, plus de 5 200 attaques réussies par ransomware ont été recensées dans le monde, avec 195 millions de données compromises suite à ces cyberattaques par rançongiciel. Très prisées par les cybercriminels, ces attaques ont augmenté de 11% depuis 2023. 

Face à ce fléau, la France n’est pas épargnée : elle fait état d’un fort taux d’attaques par ransomware. En 2024, 74% des entreprises déclarent avoir été victimes d’une attaque, contre 64% en 2023. 

Pour pénétrer dans un système ou des applications, le ransomware procède par étape. 

L’infiltration, première étape, consiste à entrer dans le système, souvent en trompant l’utilisateur : un email avec une pièce jointe ou un lien infecté, un site web piraté, une publicité malveillante, ou même une clé USB contaminée. Il peut aussi exploiter des failles non corrigées dans les logiciels pour s’introduire sans que la victime ne s’en rende compte.

Lors de la deuxième étape, celle de la reconnaissance, le malware explore discrètement le réseau et les appareils connectés. Il repère les fichiers importants (documents, photos, bases de données, sauvegardes) et tente de désactiver les protections (antivirus, pare-feu). Cette phase peut durer plusieurs heures ou jours, le temps de préparer l’attaque.

Troisième étape : le chiffrement de données. Des algorithmes forts, type AES ou RSA, sont alors utilisés pour rendre les données illisibles.  

Dernière étape, l’affichage de la demande de rançon pour récupérer la clé de déchiffrement. 

Attention, le paiement de la rançon ne garantit pas pour autant d’obtenir la clé.

Aujourd’hui, les attaques par ransomware explosent, notamment grâce au Ransomware-as-a-Service (RaaS). Ce système fonctionne comme une location d’outils clés en main : même sans être un expert en informatique, n’importe qui peut acheter ou louer un ransomware prêt à l’emploi, créé par des pirates expérimentés.

Résultat : le nombre d’attaques augmente fortement (on compte 95 groupes actifs dans le monde, soit 40% de plus qu’en 2023). Toutes les organisations — entreprises, hôpitaux, mairies, associations — sont désormais des cibles potentielles, car les attaquants n’ont plus besoin de compétences techniques avancées.

Pourquoi c’est grave ? Avant, seuls les pirates très compétents pouvaient lancer des ransomwares. Maintenant, avec le RaaS, n’importe qui peut le faire, ce qui multiplie les risques pour tout le monde.

En rendant les fichiers ou les données illisibles, le ransomware interrompt de façon partielle ou totale l’activité de l’entreprise. Impossibilité d’accéder aux bases de données, aux dossiers, aux solutions métiers (comptabilité, logistique, RH…), ou aux documents bureautiques, etc. Une suspension qui peut durer quelques jours, voire des semaines. 

Les entreprises sont aussi exposées au risque de voir toutes leurs données diffusées sur le dark web, nuisant à leur réputation.

De ce fait, de nombreuses entreprises sont prêtes à payer pour récupérer leurs données. En 2024, le montant global des rançons versées s’est élevé à 133,5 millions de dollars au niveau mondial.

Pour lutter contre ce type d’agression, les entreprises doivent multiplier les actions de protection en déployant des solutions de sécurité et en adoptant des comportements de prévention. 

Pour infiltrer le ransomware dans le SI de l’entreprise, les cybercriminels vont utiliser plusieurs failles potentielles : 

Se prémunir contre tous ces vecteurs requiert la mise en place d’une sécurité multi couche. 

Pour se protéger contre la vulnérabilité des systèmes et des accès par l’exploitation de failles de sécurité non corrigées ou l’exploitation d’accès VPN mal sécurisé, les entreprises et utilisateurs doivent être vigilants sur leurs mises à jour. 

Il est également conseillé de restreindre les droits d’accès des utilisateurs aux ressources strictement nécessaires et de recourir à une authentification multi facteurs. Il est aussi recommandé de mener une gestion centralisée des identités et de détecter les activités anormales comme l’accès à un fichier en masse. L’ensemble de ces mesures s’inscrit dans la mise en œuvre d’une architecture de sécurité Zero Trust.

Des solutions de sécurité avancées comme les antivirus comportementaux, les solutions de détection d’anomalies, d’analyse de fichiers suspects ou encore de monitoring d’activités réseaux sont également indispensables. Il est, par exemple, pertinent d’utiliser des systèmes de surveillance alimentés par l’IA afin d’automatiser et d’accroître la rapidité de la détection des incidents.

La protection contre les ransomwares passe aussi par une stratégie de sauvegarde efficiente des données s’articulant autour de la règle  3-2-1-1-0 : 3 copies de données, 2 types de support (disque dur + Cloud), 1 copie hors site, 1 copie hors ligne et 0 erreur dans les sauvegardes. 

Les organisations peuvent également utiliser le même procédé que celui des agresseurs : le chiffrement de données. En cas de compromission, les attaquants ne se retrouvent alors qu’avec des données illisibles. Chaque chiffrement étant lié à une clé dédiée, le déchiffrement n’est donc possible que par l’entreprise elle-même. 

En chiffrant leurs données, les entreprises n’empêchent pas les cybercriminels de les chiffrer à leur tour. En revanche, ils perdent tout l’intérêt du vol et de la vente des données sur le dark web puisqu’elles sont illisibles. C’est l’arroseur arrosé ! 

En chiffrant leurs données sensibles, les entreprises et organismes publics renforcent la confidentialité de leurs informations et découragent les cybercriminels. Aujourd’hui de nombreuses réglementations (RGPD, HIPAA, NIS2, DORA, etc.) imposent le chiffrement comme protection des données personnelles. Le chiffrement devient un pilier essentiel de la politique de cybersécurité et un moyen de lutte contre certaines attaques, dont celle par ransomwares.

Sources https://www.zscaler.com/press/zscaler-s-annual-ransomware-report-uncovers-record-breaking-ransom-payment-us-75-million
https://purplesec.us/learn/average-cost-of-ransomware-attacks/
https://www.varonis.com/blog/ransomware-statistics
https://www.cohesity.com/fr/press/cohesity-research-reveals-most-companies-pay-millions-in-ransoms-breaking-their-do-not-pay-policies/

Sources

 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf
https://www.linformaticien.com/magazine/cybersecurite/62434-92-des-entreprises-francaises-paient-les-rancons.html