Ransomware
Le ransomware est un logiciel malveillant qui chiffre, bloque ou rend indisponibles des données et systèmes afin d’obtenir une rançon. Les attaques modernes combinent souvent chiffrement, vol préalable de données et menace de publication.
Cette fiche présente la menace de manière pédagogique : logique de l’attaque, techniques utilisées et mesures de protection adaptées à une organisation.
Lecture visuelle de la menace
Ce visuel permet d’associer la menace à une situation concrète : compromission d’un utilisateur, blocage d’un système, fuite de données, saturation d’un service ou exploitation d’une faiblesse technique. L’objectif est de rendre la fiche plus pédagogique et plus lisible.
Comment l’attaque fonctionne
Premier accès
Phishing, exploitation d’une faille, accès VPN compromis ou compte administrateur volé.
Propagation interne
L’attaquant cherche à se déplacer dans le réseau et à atteindre les serveurs critiques.
Désactivation des défenses
Tentative de désactiver les antivirus, sauvegardes, journaux ou outils EDR.
Chiffrement et extorsion
Les fichiers sont chiffrés et une pression est exercée par la menace de fuite ou d’arrêt d’activité.
Comment s’en protéger
Maintenir des sauvegardes hors ligne ou immuables, testées régulièrement.
Limiter les mouvements latéraux entre postes, serveurs et environnements sensibles.
Corriger rapidement les vulnérabilités exposées.
Détecter les comportements anormaux : chiffrement massif, élévation de privilèges, outils suspects.
Préparer une procédure de décision, communication, restauration et plainte.
Schéma de lecture rapide
| Étape | Question à poser | Objectif de défense |
|---|---|---|
| Entrée | Comment l’attaquant obtient-il un premier accès ? | Réduire l’exposition et renforcer l’authentification. |
| Progression | Comment peut-il se déplacer ou étendre ses droits ? | Segmenter, journaliser et appliquer le moindre privilège. |
| Impact | Quelles données ou services peuvent être affectés ? | Classer les actifs critiques, détecter et préparer la reprise. |