C'est quoi un ransomware ?
Définition, mécanisme, statistiques 2024-2025, principaux acteurs (LockBit, BlackCat), faut-il payer la rançon, et 5 réflexes de protection. Tout sur le rançongiciel — première menace cyber pour les organisations françaises depuis 2019.
C'est quoi un ransomware ?
Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les fichiers d'un système informatique pour les rendre inaccessibles, et exige le paiement d'une rançon — généralement en cryptomonnaie — pour fournir la clé de déchiffrement. Depuis 2019, la plupart des ransomwares pratiquent la double extorsion : ils chiffrent les données ET menacent de les publier publiquement si la rançon n'est pas payée.
Le ransomware est devenu, depuis 2019, la première menace cyber pour les organisations françaises selon l'ANSSI. ETI industrielles, collectivités locales, établissements de santé, sous-traitants d'OIV en sont les cibles privilégiées. Cette page répond à l'intent « c'est quoi un ransomware » en allant à l'essentiel — pour la dimension organisationnelle de la crise cyber complète, voir la sectorielle crise cyber.
Comment fonctionne un ransomware ?
Une attaque ransomware se déroule en plusieurs phases qui peuvent s'étaler sur plusieurs semaines avant le déclenchement visible.
Les 5 phases d'une attaque ransomware
- 1. Intrusion initiale. Vecteur typique : phishing ciblé, exploitation de vulnérabilité non patchée, identifiants compromis sur le dark web, RDP exposé.
- 2. Persistance et mouvement latéral. L'attaquant explore le réseau, élève ses privilèges, identifie les systèmes critiques. Cette phase dure souvent plusieurs jours à plusieurs semaines, en silence.
- 3. Exfiltration des données. Avant le chiffrement, les données sensibles sont volées et stockées sur les serveurs des attaquants. C'est le levier de la double extorsion.
- 4. Désactivation des protections. Suppression ou chiffrement des sauvegardes connectées au réseau, désactivation des antivirus / EDR, neutralisation des journalisations.
- 5. Chiffrement et demande de rançon. Déclenchement simultané sur tous les systèmes accessibles. Apparition du message d'extorsion avec délai (souvent 7 jours), montant (souvent en bitcoin ou monero), menace de publication.
Single, double, triple extorsion
Single extorsion (modèle historique 2017-2018) : chiffrement seul, pas de fuite. Double extorsion (modèle dominant depuis 2019) : chiffrement + menace de publication des données exfiltrées. Triple extorsion (émergent) : ajoute la menace contre les clients ou partenaires de la victime, ou des attaques DDoS pour amplifier la pression.
Le modèle Ransomware-as-a-Service (RaaS)
La plupart des grands groupes ransomware fonctionnent en mode RaaS : un opérateur central développe le code malveillant, l'infrastructure de paiement et les sites de fuite ; il loue ces moyens à des affiliés qui mènent les attaques contre une commission sur les rançons (typiquement 70 % pour l'affilié, 30 % pour l'opérateur). Cette industrialisation explique la croissance massive du phénomène depuis 2019.
Le ransomware en chiffres
Selon le Clusif, les secteurs les plus touchés en France sont les collectivités locales, les établissements de santé, les ETI industrielles et les sous-traitants d'OIV. Le coût total moyen d'une crise ransomware (incident response + communication + reconstruction + perte d'exploitation) est estimé à 3 à 5 M€ pour une ETI.
Les principaux ransomwares en 2024-2025
LockBit
Acteur dominant 2020-2024. Opération Cronos menée par 11 États (dont la France) en février 2024 a saisi son infrastructure. Réémergence rapide sous LockBit 4.0.
BlackCat / ALPHV
Code en Rust, multi-OS. Démantelé fin 2023 / début 2024. A frappé Change Healthcare aux USA pour 22 M$ de rançon.
Cl0p
Spécialisé dans l'exploitation de vulnérabilités zero-day d'éditeurs (MOVEit 2023, Cleo 2024). Plus de 2 600 organisations victimes via MOVEit.
Akira
Apparu en 2023, ESXi et Windows. Cible PME et ETI. Esthétique vintage assumée (interface années 1980) qui a marqué les analystes.
Play / PlayCrypt
Très actif sur les collectivités et entités gouvernementales. Premier groupe à cibler massivement le secteur public local en Europe.
RansomHub
Né du démantèlement de LockBit et BlackCat. Recrute massivement des affiliés des groupes démantelés. Croissance rapide sur 2024.
Cas marquants en France
Plusieurs hôpitaux français ont fait l'objet d'attaques médiatisées : CHU de Rouen (2019), hôpital de Corbeil-Essonnes (2022), CHSF de Corbeil (2022). Côté collectivités : ville de Marseille (2020), métropole d'Aix-Marseille-Provence (2022), ville de La Rochelle (2024). Ces cas ont structuré la doctrine ANSSI et la transposition de NIS2.
5 réflexes pour se protéger contre un ransomware
Sauvegardes 3-2-1
3 copies, 2 supports différents, 1 hors site et déconnectée. Restauration testée tous les 6 mois minimum.
MFA généralisée
Authentification multi-facteurs sur tous les accès, particulièrement administration et accès distant. Neutralise 90 % des intrusions par credentials volés.
Patch management
Cycle de patch discipliné, en priorité sur les services exposés à Internet (VPN, RDP, applications web). Veille active sur les CVE critiques.
Plan crise cyber + PRA exercé
Plan formalisé, PRA testé annuellement, conventions préétablies avec un cabinet d'incident response. Voir crise cyber.
Sensibilisation
Formation continue des collaborateurs au phishing, simulations régulières, culture de la signalisation des messages suspects.
Faut-il payer la rançon ?
L'ANSSI et les autorités françaises déconseillent fermement le paiement. Trois raisons fondamentales structurent cette position.
- Aucune garantie de récupération. Selon Sophos, environ une victime sur deux qui paie ne récupère pas l'intégralité de ses données. Les outils de déchiffrement fournis par les attaquants sont souvent défectueux ou partiels.
- Financement de l'écosystème criminel. Chaque rançon payée alimente les groupes et les affiliés, finance le développement de nouveaux outils, motive de nouveaux attaquants.
- Exposition juridique des dirigeants. Le paiement à un groupe sanctionné par l'OFAC (USA) ou l'UE peut engager la responsabilité personnelle des dirigeants. Plusieurs groupes ransomware sont aujourd'hui formellement sanctionnés.
Si le paiement est néanmoins envisagé
La décision doit faire l'objet d'un avis juridique formel (vérification des sanctions OFAC/UE) et d'une négociation conduite par un cabinet spécialisé, jamais par les équipes internes seules. La loi LOPMI 2023 permet l'indemnisation par cyber-assurance sous conditions strictes (notamment dépôt de plainte sous 72h).
L'approche Twist face au risque ransomware
Twist intervient sur la dimension organisationnelle, communicationnelle et décisionnelle de la crise ransomware, en complément des prestataires techniques cyber (RSSI, SOC, cabinets d'incident response).
Trois leviers structurent notre intervention :
- Plan de gestion de crise cyber articulé avec le plan général. Format ramassé (20-40 pages), opérationnel, exercé.
- Exercice ransomware en format tabletop ou cadre, qui mobilise simultanément cellule technique et cellule de direction. Test des notifications réglementaires et de la communication sous pression.
- War-gaming médiatique : préparation de la prise de parole publique en cas d'attaque ransomware. Anticipation des questions hostiles, ajustement du récit, identification des pièges. Voir communication de crise.
FAQ Ransomware
C'est quoi un ransomware ?
Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les fichiers d'un système informatique pour les rendre inaccessibles, et exige le paiement d'une rançon — généralement en cryptomonnaie — pour fournir la clé de déchiffrement. Depuis 2019, la plupart des ransomwares pratiquent la double extorsion : ils chiffrent les données ET menacent de les publier publiquement si la rançon n'est pas payée.
Faut-il payer la rançon en cas d'attaque ransomware ?
L'ANSSI déconseille fermement le paiement. Trois raisons : aucune garantie de récupération (environ une victime sur deux qui paie ne récupère pas l'intégralité de ses données), financement de l'écosystème criminel, exposition juridique des dirigeants (financement potentiel d'organisations sanctionnées par OFAC ou l'UE). Si le paiement est néanmoins envisagé, il doit faire l'objet d'un avis juridique formel et d'une négociation conduite par un cabinet spécialisé.
Quels sont les principaux ransomwares en 2024-2025 ?
LockBit (démantelé partiellement en 2024 par l'opération Cronos mais réémergeant), BlackCat / ALPHV, Cl0p, Akira, Play, Black Basta, RansomHub. La plupart fonctionnent en mode Ransomware-as-a-Service : un opérateur central développe le code et le loue à des affiliés qui mènent les attaques contre une commission sur les rançons.
Combien de temps pour récupérer après une attaque ransomware ?
Les délais réels divergent fortement des prévisions optimistes. Pour un ransomware sur un SI complet d'ETI ou de collectivité : récupération opérationnelle initiale en 2 à 6 semaines, reconstruction complète en 3 à 6 mois, retour à un fonctionnement nominal mémoriel en 6 à 18 mois. Les organisations qui avaient des sauvegardes hors ligne testées et un PRA exercé récupèrent 3 à 5 fois plus vite.
Comment se protéger contre un ransomware ?
Cinq réflexes clés. Sauvegardes selon la règle 3-2-1 (3 copies, 2 supports, 1 hors site), testées régulièrement. MFA généralisée sur tous les accès. Patch management discipliné. Plan de gestion de crise cyber formalisé et exercé annuellement. Convention préétablie avec un cabinet d'incident response pour mobilisation en moins d'une heure.
Que dit la loi française sur les ransomwares ?
Le paiement de rançon n'est pas illégal en France mais fortement déconseillé. La loi LOPMI 2023 a introduit un dispositif d'indemnisation par les assureurs cyber sous conditions strictes (dépôt de plainte sous 72h notamment). Les obligations de notification s'appliquent : CNIL sous 72h en cas de fuite de données personnelles, CERT-FR sous 24h en alerte précoce pour les entités essentielles ou importantes au titre de NIS2.
Préparer votre organisation au risque ransomware ?
30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.
Discuter avec un consultant