Temps de lecture : 6 minutes 40 secondes | Publication : 10 mars 2025

Ransomware Qu’est-ce qu’un ransomware ?
Une attaque par ransomware est un type de cyberattaque conçue pour obtenir l’accès à un système et pour crypter les fichiers qui y sont stockés. Les fichiers ne peuvent être décryptés sans une clé privée, en échange de laquelle les pirates demandent une rançon.


Comment parer une attaque par ransomware ?
Les attaquants exigent souvent une rançon en échange d’une clé de déchiffrement. Malheureusement, les pirates fournissent rarement la clé de déchiffrement, même après le paiement de la rançon, privant ainsi les victimes du montant de la rançon et de leurs données.
Le coût moyen de la reprise en cas de ransomware (hors paiement de la rançon) pour les organisations est de 2,73 millions de dollars
Pourquoi les attaques par ransomware deviennent-elles de plus en plus fréquentes ?
Les ransomwares sont une préoccupation constante pour les organisations. Selon une étude ESG, 75 % des organisations ont subi des attaques de ransomware au cours des 12 derniers mois, et 10 % d’entre elles ont été confrontées à des attaques quotidiennes
Les ransomwares représentent un marché très lucratif. De nombreux acteurs de la menace sont des groupes du crime organisé. En tant qu’industrie, la valeur des ransomwares était estimée à 14 milliards de dollars il y a quelques années seulement
Exemples de programmes de type ransomware
Certaines attaques par ransomware commencent par inciter un utilisateur à ouvrir un fichier, souvent une pièce jointe à un e-mail, qui télécharge ensuite un code malveillant, lequel se propage via le réseau. D’autres profitent des vulnérabilités des systèmes d’exploitation, des faiblesses des systèmes de sécurité physique ou des failles logicielles pour accéder à un réseau et s’enraciner dans le système.
La première menace de ransomware à grande échelle a débuté en septembre 2013 avec l’émergence de CryptoLocker, un programme malveillant de type cheval de Troie qui incitait les utilisateurs à télécharger un fichier qui infectait ensuite leurs systèmes et scannait le réseau à la recherche de systèmes et de fichiers supplémentaires à chiffrer. En mai 2014, à la suite d’une opération conjointe des forces de l’ordre et des agences de sécurité, le cheval de Troie CryptoLocker a été mis hors service. Cependant, de nombreuses imitations de celui-ci circulent encore.
Beaucoup d’autres familles de ransomware ont été développées depuis lors. Parmi les plus courantes, citons Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk et MegaCortex. Quel que soit leur nom, leur objectif est le même : extorquer de l’argent aux victimes en échange du déchiffrement de leurs données et fichiers.
Les nouveaux systèmes de ransomware-as-a-service (RaaS), qui permettent à toute personne ayant des connaissances informatiques de base et un accès à Internet de se lancer dans le commerce du ransomware, contribuent à la croissance significative de ce type d’attaques. L’auteur du ransomware met des ressources, telles que les outils du cryptage, les communications avec les victimes et la collecte de la rançon, à la disposition d’autres cybercriminels en échange d’un pourcentage du paiement de la rançon.
Comment se protéger des attaques par ransomware ?
La plupart des attaques par ransomware actuelles sont difficiles à détecter car elles sont passent de plus en plus inaperçues pour les administrateurs système et les protections des terminaux. Les pirates acquièrent ainsi une persistance durable sur le dispositif et parviennent, par conséquent, à infliger des dommages à tout moment. Le temps de séjour moyen d’un ransomware est de 24 jours, ce qui donne aux pirates tout le temps et l’opportunité d’accéder aux données d’une entreprise et de les altérer.
Il suffit qu’un seul utilisateur gère mal ses mots de passe ou clique sur un lien dans un e-mail de phishing pour mettre en danger le réseau d’une entreprise. Pour de nombreuses entreprises, mettre en place une formation de sensibilisation à la sécurité à l’intention des employés est une étape importante pour minimiser le risque de pénétration des programmes de type ransomware dans leurs réseaux. Cette formation doit être régulièrement mise à jour en fonction de l’évolution des techniques d’attaque.
La meilleure façon de se protéger contre les logiciels malveillants qui exploitent les vulnérabilités logicielles consiste à maintenir les systèmes d’exploitation et les applications critiques à jour en installant tous les correctifs et toutes les mises à jour. La surveillance du réseau, la protection par mot de passe, l’authentification multifactorielle (MFA) et les mesures de sécurité des terminaux sont autant de technologies et de tactiques utiles pour contribuer à réduire le profil d’une entreprise face aux menaces.
Bien que la découverte du chiffrement des données et la demande de rançon puissent être les signes les plus visibles d’un ransomware, ils surviennent à la fin d’une attaque. Lorsque des organisations peuvent détecter rapidement des signaux d’une attaque par ransomware, elles peuvent être en mesure d’arrêter l’attaque et d’empêcher d’autres dommages. Utilisez des systèmes de détection et de prévention d’intrusion (IDS/IPS) pour les flux de trafic réseau entrants et sortants, et bloquez les activités malveillantes et suspectes. Si une activité de menace potentielle est détectée, les outils IDS/IPS peuvent diffuser des informations sur les menaces dans l’ensemble de l’écosystème de sécurité pour des actions de protection supplémentaires.
Dans la mesure où il est impossible d’éliminer complètement la menace d’une attaque par ransomware, la mise en place d’une stratégie de sauvegarde robuste peut permettre à une entreprise victime d’une attaque d’amorcer une reprise plus rapidement en subissant une interruption minimale de ses opérations. Ces sauvegardes doivent être isolées du réseau afin de bloquer leur accès aux logiciels malveillants, car la plupart des programmes de type ransomware tentent également de chiffrer les sauvegardes.
Comment le ransomware se propage-t-il ?
La plupart des attaques par ransomware actuelles sont difficiles à détecter car elles sont passent de plus en plus inaperçues pour les administrateurs système et les protections des terminaux. Les pirates acquièrent ainsi une persistance durable sur le dispositif et parviennent, par conséquent, à infliger des dommages à tout moment. Le temps de séjour moyen d’un ransomware est de 24 jours, ce qui donne aux pirates tout le temps et l’opportunité d’accéder aux données d’une entreprise et de les altérer.
Il suffit qu’un seul utilisateur gère mal ses mots de passe ou clique sur un lien dans un e-mail de phishing pour mettre en danger le réseau d’une entreprise. Pour de nombreuses entreprises, mettre en place une formation de sensibilisation à la sécurité à l’intention des employés est une étape importante pour minimiser le risque de pénétration des programmes de type ransomware dans leurs réseaux. Cette formation doit être régulièrement mise à jour en fonction de l’évolution des techniques d’attaque.
La meilleure façon de se protéger contre les logiciels malveillants qui exploitent les vulnérabilités logicielles consiste à maintenir les systèmes d’exploitation et les applications critiques à jour en installant tous les correctifs et toutes les mises à jour. La surveillance du réseau, la protection par mot de passe, l’authentification multifactorielle (MFA) et les mesures de sécurité des terminaux sont autant de technologies et de tactiques utiles pour contribuer à réduire le profil d’une entreprise face aux menaces.
Dans la mesure où il est impossible d’éliminer complètement la menace d’une attaque par ransomware, la mise en place d’une stratégie de sauvegarde robuste peut permettre à une entreprise victime d’une attaque d’amorcer une reprise plus rapidement en subissant une interruption minimale de ses opérations. Ces sauvegardes doivent être isolées du réseau afin de bloquer leur accès aux logiciels malveillants, car la plupart des programmes de type ransomware tentent également de chiffrer les sauvegardes :
- L’e-mail de hameçonnage : un vecteur de ransomware très répandu. Les pirates envoient à leurs cibles des messages électroniques qui semblent provenir d’une source fiable. Ces messages tentent généralement d’amener le destinataire à saisir des informations d’identification personnelles sur une page Web usurpée ou à télécharger un fichier contenant un logiciel malveillant.
- Le protocole de bureau à distance (Remote Desktop Protocol, RDP) : protocole Microsoft qui permet aux utilisateurs de se connecter à distance à un système et d’y exécuter des commandes. Malheureusement, la sécurité du protocole RDP dépend fortement du fait que les utilisateurs utilisent des mots de passe forts et uniques, ce qui n’est pas fréquent dans la pratique. Les pirates peuvent facilement craquer les informations d’identification RDP ou acheter des noms d’utilisateur et des mots de passe piratés sur le dark Web pour accéder à un système.
- Les vulnérabilités logicielles : elles constituent une autre méthode courante de diffusion de ransomware. Les logiciels qui n’ont pas été mis à jour peuvent créer des failles dans les architectures de sécurité et offrir une porte ouverte aux intrusions de logiciels malveillants. Ces vulnérabilités constituent une cible relativement facile pour les pirates, car ils n’ont pas besoin de craquer ou d’obtenir des informations d’identification.
Comment HPE peut-elle vous aider à vous protéger contre les attaques par ransomware ?
Malheureusement, même les meilleurs systèmes et pratiques de sécurité n’offrent pas une protection complète contre les attaques par ransomware. Une approche de sécurité en couches et un plan complet de sauvegarde et restauration des données sont essentiels pour détecter et se défendre contre les premières étapes d’une attaque, restaurer les opérations et minimiser la perte potentielle de données en cas de réussite d’une attaque.
Une solution hyperconvergée HPE SimpliVity consolide l’infrastructure IT, et simplifie à la fois la stratégie de protection des données et le processus de reprise, en particulier pour les entreprises devant gérer des bureaux distants. Ces solutions offrent des fonctions intégrées, notamment la protection des données, pour alléger cette charge et améliorer la protection dans toute l’entreprise, y compris à distance et dans les succursales (ROBO). L’efficacité des données permet de réaliser des sauvegardes plus fréquentes pour assurer une protection des données quasi continue, des périodes de conservation étendues et une reprise accélérée. En cas d’infection par un malware, une machine virtuelle et toutes ses données peuvent être restaurées rapidement et facilement, ce qui minimise le temps d’arrêt du système, les interruptions d’activité et la perte de revenus.
HPE StoreOnce est une appliance (ou une machine virtuelle) de sauvegarde spécialement conçue, qui utilise des magasins HPE StoreOnce Catalyst pour isoler efficacement les données critiques des pirates par ransomware. Par conséquent, les pirates ne peuvent pas avoir d’impact sur les données sans recourir à des interactions physiques directes qui finissent par détruire intégralement ou partiellement le matériel lui-même. Même si le matériel est détruit à un seul emplacement, que ce soit à cause d’un logiciel malveillant ou d’une catastrophe naturelle, la mise en œuvre plus avancée (soit distribuée) des magasins HPE StoreOnce Catalyst protégerait les données critiques en les isolant efficacement des lignes de communication et des jeux de commandes traditionnels exploités par les pirates.
HPE Zerto Software propose une protection des données en continu (CDP) basée sur des journaux, ainsi qu’une reprise sans équivalent pour les données et les applications virtualisées et conteneurisées de l’edge au cloud. La plateforme de HPE Zerto Software offre la flexibilité nécessaire pour assurer une protection vers, depuis et entre des clouds de tous types, qu’il s’agisse de déploiements privés, publics ou cloud-native. Son architecture à évolutivité horizontale est capable de protéger des pétaoctets de données et des milliers de machines virtuelles. La solution exclusivement logicielle copie chaque modification de données, quel que soit le matériel sous-jacent, sans ralentir les systèmes de production.
Le réseau piloté par l’IA et axé sur la sécurité de HPE Aruba Networking fournit une base commune zero trust que les équipes de sécurité et de réseau peuvent utiliser pour alimenter des initiatives commerciales pilotées par l’IoT et l’IA sans sacrifier la protection de la cybersécurité.
HPE Aruba Networking Central surveille le réseau à la recherche d’activités malveillantes, en utilisant les signatures de renseignements sur les menaces IDS/IPS pour inspecter le trafic réseau et détecter les modèles qui correspondent à la chaîne de destruction du ransomware, générer des événements de menace et (si cela est activé par les administrateurs de sécurité) supprimer les paquets de données malveillants. Ces fonctionnalités fournissent une couche de protection supplémentaire qui analyse activement le réseau, fournit des signaux et prend des mesures basées sur des règles sur les flux de trafic pour prévenir les menaces telles que les ransomwares en temps réel. Les webhooks dans HPE Aruba Networking Central peuvent également être configurés pour envoyer une notification à HPE Zerto Software en vue d’une action préventive.
Pour lutter contre les attaques basées sur des programmes malveillants avant qu’elles ne se propagent, une fonctionnalité d’essai dans HPE Aruba Networking SSE permet aux organisations de tester les fichiers suspects dans un environnement virtuel sécurisé et de détruire les fichiers malveillants avant qu’ils ne causent des dommages.
