Faut-il payer une rançon de rançongiciel ?

La plupart des forces de l’ordre déconseillent. Le paiement finance l’écosystème criminel, ne garantit pas la récupération des données, et est parfois interdit (entités sanctionnées). Environ 35–40 % des victimes qui paient ne récupèrent pas totalement leurs données.

Combien de temps dure une attaque par rançongiciel ?

De l’accès initial au chiffrement, les opérations modernes durent entre 4 heures et 5 jours. La remédiation — restauration des opérations et reconstruction de la confiance — prend généralement des semaines voire des mois.

Qu’est-ce que la double extorsion ?

C’est la pratique de voler les données avant de les chiffrer, puis menacer de les publier si la rançon n’est pas payée — les sauvegardes ne protègent plus à elles seules contre l’effet de levier de l’extorsion.

Qu’est-ce qu’un rançongiciel ? Guide en langage clair pour 2026

Un rançongiciel est un logiciel malveillant qui chiffre les fichiers des systèmes qu’il infecte et exige un paiement — généralement en cryptomonnaie — en échange de la clé de déchiffrement. Les opérations modernes volent presque toujours aussi les données avant de les chiffrer, puis menacent de les publier : c’est la double extorsion.

Comment se déroule une attaque type

Accès initial : identifiants volés (RDP, VPN), hameçonnage, ou exploitation d’un système exposé non corrigé. Cette étape repose souvent sur des courtiers d’accès initial spécialisés dans la revente.
Reconnaissance et déplacement latéral : les attaquants utilisent des outils légitimes (PsExec, PowerShell, Cobalt Strike) pour cartographier le réseau, trouver les admins de domaine et identifier les systèmes les plus précieux.
Escalade de privilèges : ciblant l’Active Directory, Okta ou toute autre infrastructure d’identité. Une fois qu’ils possèdent l’identité, ils possèdent l’environnement.
Exfiltration de données : transfert massif vers des serveurs contrôlés par les attaquants (stockage cloud, MEGA, VPS).
Chiffrement : déploiement du chiffreur sur tout l’environnement, souvent calé sur les nuits ou week-ends. Les chiffreurs modernes ciblent sauvegardes, snapshots de machines virtuelles et hyperviseurs ESXi pour amplifier les dégâts.
Extorsion : la note de rançon apparaît. Les victimes ont une deadline et une URL de paiement, et sont publiquement nommées sur un « site de fuite » si elles refusent.

Qui est ciblé

Tout le monde avec de l’argent ou des données sensibles — mais dans la pratique, la santé, l’industrie, le gouvernement, l’éducation et la finance sont les secteurs les plus attaqués. Les PME sont surreprésentées parce qu’elles manquent souvent d’équipe sécurité et préfèrent payer plutôt que subir une indisponibilité.

Que faire en cas d’attaque

Contenir d’abord : isoler les hôtes affectés du réseau. Préserver mémoire et snapshots disque — ils seront nécessaires pour l’enquête et l’assurance cyber.
Engager la réponse à incident : un cabinet de réponse expérimenté, votre assurance cyber, et (selon la juridiction) les forces de l’ordre.
Décider du paiement les yeux ouverts : peser le statut légal (certains groupes sont sanctionnés), la réalité opérationnelle (les déchiffreurs sont souvent lents et incomplets) et votre posture de sauvegarde.
Notifier : régulateurs (RGPD, HIPAA), clients, partenaires. La fenêtre de notification est souvent de 72 heures.

Comment se défendre

Les fondamentaux n’ont pas changé :

Authentification multifacteur sur tout système exposé, tout compte administrateur, tout fournisseur d’identité.
Sauvegardes hors-ligne et immuables, testées régulièrement. Une sauvegarde que l’attaquant peut atteindre n’est pas une sauvegarde.
Patcher l’edge exposé : passerelles VPN, Citrix, appliances de transfert type MOVEit. Les mêmes cinq produits représentent une part importante des intrusions chaque année.
EDR sur chaque endpoint et serveur, configuré et supervisé. La visibilité fait tout.
Exercices de table : simuler un incident de rançongiciel avec l’équipe dirigeante avant d’avoir à le faire pour de vrai.

Lectures liées sur Cyber Breaches

Rançongiciel Change Healthcare (2024) — la plus grande fuite santé jamais enregistrée aux États-Unis.
Rançongiciel MGM Resorts (2023) — un appel de dix minutes au helpdesk a éteint le Strip de Las Vegas.
Rançongiciel Colonial Pipeline (2021) — un mot de passe VPN réutilisé a déclenché une urgence nationale.
Profil du groupe LockBit — opération RaaS dominante 2022–2024.