Qu’est-ce qu’un rançongiciel ?

Selon le Global Cybersecurity Outlook du Forum économique mondial, le ransomware demeure, année après année, la principale menace en matière de cybercriminalité. En 2023, Cybersecurity Ventures prévoyait qu’une organisation serait victime d’une attaque par rançongiciel toutes les deux secondes d’ici 2031. Face à une menace croissante pour les entreprises, il devient essentiel de répondre à ces deux questions : qu’est-ce qu’un ransomware et comment protéger efficacement votre organisation ?

Dans cet article, nous répondrons aux interrogations suivantes :

• Qu’est-ce qu’un rançongiciel ?
• Quel est le principal mode de diffusion d’une attaque par rançongiciel ?
• Quel est le coût d’une attaque par rançongiciel ?
• Quelles sont les cinq étapes d’une attaque par rançongiciel ?
• Que peuvent faire les organisations pour prévenir les attaques par ransomware ?

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est un logiciel malveillant qui infecte un ordinateur et d’autres équipements numériques en bloquant l’accès aux données et en menaçant de les détruire si une rançon n’est pas payée. Les deux principales fonctions utilisées par les ransomwares sont : le verrouillage du système d’exploitation central à l’aide de mécanismes de verrouillage, ou le chiffrement des fichiers de données pour en prendre possession.

Voici la définition d’IBM d’un rançongiciel :

“Un rançongiciel est un type de malware qui prend en otage les données sensibles ou l’appareil d’une victime, en menaçant de les verrouiller – voire de faire pire – à moins que la victime accepte de verser une rançon à l’attaquant.”

Quel est le principal mode de diffusion d’une attaque par rançongiciel ?

L’e-mail d’hameçonnage (phishing) constitue le vecteur de diffusion privilégié des rançongiciels. Il existe d’autres vecteurs d’attaques comme l’utilisation de mots de passe faibles et une gestion des accès peu sécurisée, les pièges à clics (clickbait), les sites web malveillants et l’utilisation d’identifiants d’utilisateur perdus ou volés. Mais d’après le rapport mondial sur les menaces (Global Threat Intelligence Report), les méthodes utilisées pour les attaques par ransomware évoluent au-delà du simple chiffrement, et intègrent de nouvelles tactiques et technologies comme l’intelligence artificielle.

Quel est le coût d’une attaque par rançongiciel ?

Sur le plan financier, les attaques par ransomware peuvent être dévastatrices pour les entreprises. Leur coût varie en fonction des cybercriminels à l’œuvre, mais d’après le rapport d’IBM sur le coût d’une violation de données en 2024 (2024 Cost of a Data Breach Report), les attaques par rançongiciel atteignaient en moyenne 4,91 millions de dollars US. Dans son rapport Who's Who In Ransomware, Cybersecurity Ventures prévoit que d’ici 2031, les ransomwares pourraient coûter 265 milliards de dollars par an à leurs victimes. 

“Au premier semestre 2024, le montant moyen exigé par les rançonneurs dépassait 5,2 millions de dollars US.”

Parmi les attaques par rançongiciel les plus connues dans le monde, et dont les coûts ont atteint des sommes astronomiques, on retrouve :

• MOVEIt : 12,15 milliards de dollars 
• LockBit : 91 millions de dollars
• WannaCry : 4 milliards de dollars
• NOTPETYA : 10 milliards de dollars
• Qilin : 32 millions de dollars

Même si 2031 paraît encore très loin, il est possible de prendre certaines mesures dès aujourd’hui pour éviter aux entreprises d’être victimes de ce type d’attaque.

Quelles sont les cinq étapes d’une attaque par rançongiciel ?

1. Diffusion : il s’agit de la méthode de diffusion de l’attaque, comme un e-mail d’hameçonnage, par exemple.
2. Commandement et contrôle : une fois dans la place, le ransomware établit une connexion avec le serveur des cybercriminels pour recevoir leurs instructions.
3. Accès aux informations d’identification : le logiciel malveillant poursuit l’attaque en volant des informations d’identification et en accédant à d’autres comptes sur le réseau.
4. Collecte et exfiltration de données : les données sont collectées et le ou les attaquants commencent à exfiltrer et chiffrer les fichiers en local et sur le réseau afin de s’en servir comme monnaie d’échange.
5. Déploiement : le paiement d’une rançon est demandé pour débloquer ou déchiffrer les fichiers, et les restituer à l’entreprise.

Que peuvent faire les organisations pour prévenir les attaques par ransomware ?

Il existe de nombreuses façons de protéger votre organisation contre les attaques par ransomware, mais voici les quelques mesures à prendre pour gérer le risque :

1. Assurance : assurez-vous que votre entreprise est assurée contre les rançongiciels, par une police cyber-risques.
2. Audits de sécurité : comme dans tous les domaines de la sécurité, il est essentiel de réaliser des audits réguliers. Ces audits doivent couvrir l’évaluation des risques internes, mais aussi externes – notamment ceux liés à des prestataires tiers susceptibles d’être exploités lors d’une attaque par ransomware. Ils doivent également porter sur l’ensemble des actifs critiques, qu’il s’agisse de données ou de ressources numériques. Une fois l’audit terminé, l’organisation doit s’assurer qu’elle dispose de processus de reprise d’activité pour pouvoir réagir rapidement en cas d’attaque par rançongiciel.
3. Plan de réponse aux incidents : votre plan de réponse aux incidents devra être rédigé soit par votre responsable de la sécurité des systèmes d’information (RSSI), soit par un comité d’entreprise et un comité juridique — collectivement désignés sous l’appellation d’Équipe de réponse aux incidents de sécurité informatique ou CSIRT (Computer Security Incident Response Team).
4. Équipe de réponse aux incidents de sécurité informatique : il s’agit d’un comité chargé de prendre des décisions et de répartir les tâches en cas d’incident. Il doit disposer de l’ensemble des coordonnées de ses membres, ainsi que des personnels de relève.
5. Gestion des identités, des utilisateurs et des appareils mobiles : bien que généralement couverte dans le cadre de l’audit de sécurité mentionné plus haut, cet aspect mérite d’être rappelé. Il peut s’appuyer sur des appareils mobiles et des solutions de contrôle des accès et d’authentification.
6. Sauvegarde et récupération des données : il est crucial de disposer d’une solution de sauvegarde et de reprise après sinistre pour pouvoir restaurer les systèmes en cas d’infection par un ransomware. Lorsqu’une solution fiable est en place, 96 % des fournisseurs de services managés (MSP) déclarent que leurs clients parviennent à se remettre totalement d’une attaque.
7. Détection et surveillance : pour contenir les menaces, votre entreprise doit surveiller en permanence ses actifs et ses déploiements technologiques.
8. Formation : les organisations doivent être vigilantes et former leurs collaborateurs sur les menaces actuelles et les moyens de s’en protéger.

IBM recommande, en cas d’attaque par rançongiciel, de documenter précisément la situation, de collaborer avec les autorités compétentes et de soupeser la décision de payer les rançonneurs afin d’en évaluer l’opportunité une fois que les zones touchées ont pu être isolées. 

Même si ces mesures ne vous protègent pas à 100 %, elles contribueront largement à prévenir, protéger et atténuer les menaces par rançongiciel dans un avenir proche.

Note de la rédaction : Cet article a été initialement publié le 11 octobre 2022, puis mis à jour pour tenir compte de l’évolution du secteur et des nouvelles perspectives.