Rançongiciel ou ransomware : que faire si votre organisation est victime d’une attaque ?

Une attaque par rançongiciel vise à bloquer l’accès à un équipement ou un système, ou à en chiffrer et/ou copier les données, en échange d’une rançon. Que faire en cas de ransomware ? Couper les connexions à Internet du réseau attaqué, identifier et déconnecter les machines attaquées du réseau informatique, alerter immédiatement votre service ou prestataire informatique, ne pas payer la rançon…

• Ransomware ou rançongiciel : définition
• Comment protéger votre organisation ? 
• Victime d’un rançongiciel ou d’un ransomware, que faire ?
• Quelles infractions peuvent-être retenues contre les cybercriminels ?
• Notre support
• Pour plus de conseils
• Pour aller plus loin

1. Ransomware ou rançongiciel : définition

Une attaque de type rançongiciel, ou ransomware en anglais, consiste à compromettre un équipement ou un système d’information pour en bloquer l’accès, en chiffrer et/ou en copier les données en réclamant une rançon à la victime pour les rendre à nouveau accessibles et/ou ne pas les divulguer.

Ce type d’attaque est généralement consécutif à une intrusion suite à l’exploitation de failles de sécurité ou d’une sécurisation insuffisante des accès à distance aux systèmes exposés sur Internet (NAS, RDP, VPN…), ou encore par la compromission d’un compte ou d’une machine du système d’information suite à un hameçonnage (phishing) ou l’infection par un programme malveillant (virus).

Durant l’attaque, les cybercriminels chercheront souvent à détruire les sauvegardes de la victime pour l’empêcher de restaurer ses données. Ils pourront également exfiltrer les données de la victime pour la menacer de les rendre publiques.

Si les cybercriminels peuvent se limiter au vol des données, dans la majorité des cas, ils rendront les données de la victime inaccessibles en les chiffrant et demanderont alors une rançon en échange des outils et de la clef de déchiffrement et/ou la promesse de ne pas divulguer les données dérobées.

Les attaques sont généralement déclenchées durant une période identifiée par les cybercriminels de moindre activité de la victime (la nuit, le week-end…), afin de maximiser les chances qu’elles ne puissent pas être détectées rapidement et interrompues.

Les attaquants peuvent aussi mettre en œuvre d’autres moyens de pression sur la victime : revendication publique de l’attaque, attaque en déni de service (DDoS) contre son site Internet, communication auprès de ses clients, administrés…

En fonction de son ampleur, une attaque par rançongiciel peut conduire à paralyser complètement l’activité de l’organisation qui en est victime si elle ne dispose pas des ressources et moyens nécessaires pour y faire face.

2. Comment protéger votre organisation ? 

• 1. Réalisez des sauvegardes régulières de vos données, systèmes et applications critiques, en gardant des copies déconnectées, et en vérifiant périodiquement le bon
  fonctionnement de leur restauration.

  La fréquence de vos sauvegardes dépendra de votre risque admissible de pertes de données en cas d’incident. Pour répondre à cette question, demandez-vous quel serait pour vous l’impact de la perte d’un jour, d’une semaine ou d’un mois de données (commandes, factures, productions, messages, rendez-vous…).

• 2. Appliquez de manière régulière et systématique les mises à jour de sécurité

  des logiciels de tous vos équipements, en particulier ceux directement exposés sur Internet (points d’accès extérieurs, VPN, pare-feux…).

• 3. Utilisez une solution de protection contre les programmes et comportements malveillants

  (antivirus, EDR, XDR, NDR…) sur l’ensemble de vos postes de travail et serveurs.

• 4. Utilisez un pare-feu pour protéger les accès extérieurs à votre réseau informatique interne :

  – N’autorisez que les machines et services indispensables à votre activité ;
  – Restreignez les accès extérieurs aux seules zones géographiques autorisées (ex : empêcher des connexions depuis l’étranger si non nécessaires ou limitées aux seules zones autorisées) ;
  – Bloquez les accès extérieurs à votre réseau en dehors des plages d’activité normale de votre organisation (ex : nuit, week-end, jours fériés…).
  Pour les plus petites organisations qui ne sont pas encore équipées d’un pare-feu, de premières fonctionnalités de filtrage des connexions Internet peuvent déjà être configurées au niveau de l’interface de gestion de votre « box » Internet.

• 5. Sécurisez les accès distants à votre réseau informatique interne en utilisant un VPN (Virtual Private Network ou réseau privé virtuel en français) et systématisez l’emploi d’une double authentification

  pour tous vos accès extérieurs, y compris ceux nécessaires à la télémaintenance.

• 6. Limitez les droits de tous les utilisateurs selon le « principe de moindre privilège ».

  Ainsi, les collaborateurs doivent disposer uniquement des droits et des accès strictement nécessaires pour l’accomplissement de leurs tâches. De même, l’administration des systèmes doit idéalement se faire depuis des postes ou comptes dédiés sans accès autorisé à Internet, et la télémaintenance doit faire l’objet d’une sécurisation renforcée.

• 7. Utilisez des mots de passe suffisamment longs, complexes et différents pour chaque service. 

  Veillez à remplacer les mots de passe par défaut de vos logiciels et équipements qui peuvent être connus par les cybercriminels. Activez également la double authentification sur tous vos services et applications hébergés sur Internet (SaaS) qui peuvent contenir des données critiques de votre organisation.

• 8. N’installez pas d’applications ou de logiciels « piratés »

  ou dont l’origine ou la réputation sont douteuses, car ils peuvent souvent être piégés par un programme malveillant (virus) et permettre aux cybercriminels de déclencher leur attaque.

• 9. Sensibilisez l’ensemble de vos collaborateurs aux risques et rappelez régulièrement les consignes de sécurité,

  notamment sur les comportements à avoir face à un message suspect, ou contenant une pièce jointe ou un lien pour la télécharger, ou encore pour savoir réagir en cas de cyberattaque.

• 10. [Avancé] Supervisez la sécurité de votre système d’information.

  Vérifiez régulièrement les fichiers de journalisation (logs) de vos équipements (pare-feu, serveurs, proxy…) afin d’identifier toute activité anormale : connexion suspecte, volume inhabituel de téléchargement d’informations…

• 11. [Avancé] Renforcez la sécurité de vos interconnexions à Internet.

  Des dispositifs complémentaires comme un serveur mandataire (proxy) et/ou un pare-feu applicatif (WAF)  permettent d’augmenter de manière significative la sécurité des organisations qui sont en mesure de les mettre en œuvre et de les exploiter.

• 12. [Avancé] Segmentez votre réseau informatique.

  Pour les systèmes d’information les plus étendus, il est recommandé de cloisonner le réseau informatique interne en différentes zones (utilisateurs, administrateurs, serveurs…) en mettant en place des dispositifs de filtrage et de contrôle renforcés entre ces zones (VLAN, DMZ, pare-feu…) pour limiter les risques de propagation d’une attaque aux ressources les plus critiques.

3. Victime d’un rançongiciel ou d’un ransomware, que faire ?

1. Coupez les connexions à Internet du réseau attaqué pour bloquer toute communication de l’attaquant avec votre réseau interne. Pour cela, éteignez votre routeur ou « box » Internet si c’est l’équipement qui vous permet de vous connecter à Internet.
   
   
2. Identifiez et déconnectez les machines attaquées du réseau informatique pour que l’attaque ne puisse se propager à d’autres équipements. Pour cela, débranchez le câble Ethernet ou désactivez la connexion Wi-Fi des ordinateurs, serveurs… touchés par l’incident. Si vos sauvegardes sont connectées au réseau, débranchez-les pour éviter leur destruction.
   
   
3. N’éteignez pas les machines touchées au risque que des éléments de preuve contenus dans la mémoire des équipements et nécessaires aux investigations soient effacés. Toutefois, si le chiffrement des données qu’elles contiennent est encore en cours et pourrait donc être interrompu, une extinction conservatoire des machines impactées par l’attaque doit être envisagée en privilégiant une mise en veille prolongée.
   
   
4. Ne démarrez pas les machines éteintes dont les données ont pu être épargnées par l’attaque pour éviter qu’elles ne soient à leur tour compromises.
   
   
5. Alertez immédiatement votre service ou prestataire informatique si vous en disposez afin qu’il puisse intervenir et prendre les mesures nécessaires ou réalisez un parcours d’assistance sur 17cyber.gouv.fr.
   
   
6. Pilotez la crise :
   – Constituez une équipe de gestion de crise afin de coordonner les actions des différentes composantes concernées (direction, technique, RH, financière, communication, juridique, métiers…).
   – Tenez un registre des évènements et actions réalisées pour pouvoir en conserver la trace à disposition des enquêteurs et tirer les enseignements de l’incident a posteriori.
   – Gérez votre communication pour informer avec le juste niveau de transparence vos administrés, clients, collaborateurs, partenaires, fournisseurs, médias…
   – Mettez en œuvre des solutions de secours pour pouvoir continuer d’assurer les services indispensables. Activez vos plans de continuité et de reprise d’activité (PCA-PRA) si vous en disposez.
   
   
7. Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données ou bien que les données potentiellement dérobées ne seront pas rendues publiques ou utilisées à des fins frauduleuses. De plus, vous encourageriez les cybercriminels à surenchérir et/ou chercher à vous attaquer à nouveau et financeriez le développement de leur activité.
   
   
8. Conservez ou faites conserver les preuves par un professionnel : fichiers de journalisation (logs) de vos solutions de sécurité (pare-feu, proxy, annuaire Active Directory…), copies physiques des postes ou serveurs touchés (à défaut, conservez leurs disques durs), message de demande de rançon, et quelques fichiers chiffrés qui pourront vous servir pour signaler cette attaque aux autorités et qui seront des éléments d’investigation.
   
   
9. En parallèle de la résolution technique de votre incident, déposez plainte au commissariat de police ou à la brigade de gendarmerie ou en écrivant au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
   Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.
   Dans le cadre d’une assurance spécifique « cyber », il existe une obligation légale de déposer plainte dans les 72 heures à compter de la connaissance par la victime de l’attaque pour pouvoir être indemnisé (Loi n° 2023-22 du 24 janvier 2023 – Article 5).
   
   
10. Déclarez le sinistre auprès de votre assureur qui peut vous dédommager, voire vous apporter une assistance en fonction de votre niveau de couverture assurantielle.
    
    
11. Notifiez impérativement l’incident à la CNIL dans les 72 h si des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels sous peine de sanctions, conformément à l’article 33 du règlement général sur la protection des données (RGPD).
    
    
12. Identifiez l’origine de l’attaque et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. L’intrusion peut provenir de l’exploitation de failles de sécurité, de défauts de configuration ou de sécurisation d’équipements exposés sur Internet (RDP, VPN, NAS…) : systèmes non mis à jour de leurs correctifs de sécurité,  services ouverts peu sécurisés ou inutiles, mots de passe trop simples ou utilisation de mots de passe par défaut qui n’auraient pas été changés…
    Elle peut également provenir de la compromission d’un compte ou d’une machine du système d’information, suite à un hameçonnage (phishing) et/ou l’infection par un programme malveillant (virus).
    
    
13. Identifiez les activités de l’attaquant au sein de votre système informatique. Par exemple : création de comptes administrateurs ou à privilèges/droits élevés, ajout d’un fichier dans le système, lancement et/ou exécution de programmes ou de processus inconnus, création de tâches planifiées, existence d’activités réseau inhabituelles ou inconnues, modification suspecte du registre Windows, etc.
    
    
14. Évaluez et vérifiez l’étendue de l’intrusion à d’autres appareils ou équipements de votre système informatique. Identifiez les éventuelles informations perdues ou compromises.
    
    
15. Réalisez une analyse antivirale complète (scan) des équipements touchés avec votre antivirus. Avant cette opération, n’oubliez pas de mettre à jour votre antivirus.  Redémarrez vos équipements après cette opération.
    
    
16. Recherchez si une solution de déchiffrement existe. Le site No More Ransom d’Europol met à disposition des solutions de déchiffrement qui peuvent fonctionner dans certains cas.
    
    
17. Réinstallez les systèmes touchés. Reformatez les postes et/ou serveurs touchés et réinstallez un système sain. Puis, restaurez les données depuis une sauvegarde antérieure à l’attaque après s’être assuré qu’elle n’était pas infectée.
    
    
18. Changez tous les mots de passe d’accès aux équipements qui ont été touchés par l’attaque. Modifiez également tous les mots de passe des utilisateurs ayant accès au système et qui ont pu être compromis.
    
    
19. Après la réinstallation de vos systèmes et avant de les remettre en service, mettez à jour l’ensemble de vos logiciels et de vos équipements pour corriger toutes leurs failles de sécurité connues.
    
    
20. Faites une remise en service progressive et contrôlée après vous être assuré que le système attaqué a été corrigé de ses vulnérabilités et en en surveillant son fonctionnement pour pouvoir détecter toute nouvelle attaque.

Témoignage d’une victime de rançongiciel

« Je dirige un cabinet d’avocats d’une dizaine de salariés. En arrivant le lundi matin suite à un pont du nouvel an, nous n’avions plus d’informatique. Tous nos fichiers avaient été chiffrés durant le week-end et des pirates nous demandaient une rançon pour les récupérer. Nous avons immédiatement contacté notre prestataire informatique pour qu’il restaure nos sauvegardes, mais il n’a rien pu faire car notre serveur de sauvegardes avait également été attaqué. La situation était dramatique pour notre activité car nous avions des affaires à plaider et tous les dossiers de nos clients avaient été détruits. Nous avons compris par la suite que les pirates étaient rentrés dans notre réseau par nos accès à distance. Nous avons mis plusieurs semaines pour retrouver un fonctionnement normal et une partie importante de nos archives a été perdue. »

4. Quelles infractions peuvent-être retenues contre les cybercriminels ?

Notre support

Les rançongiciels ou ransomwares

Téléchargez notre fiche réflexe sur le rançongiciel au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation informatique et savoir réagir si votre organisation en est victime.

Publié le 02/06/2025PDF 291 KoTéléchargerLire

Pour plus de conseils

• Que faire en cas de cyberattaque ? (Guide pour les dirigeants)
• Que faire en cas de cyberattaque ? (Consignes pour les collaborateurs) 

Pour aller plus loin

Attaques par rançongiciels, tous concernés.
Comment les anticiper et réagir en cas d’incident ?

Les attaques par rançongiciels connaissent une augmentation sans précédent. Entre janvier et août 2020, l’ANSSI a traité 104 attaques par rançongiciels. Face à ce constat l’ANSSI, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice, a publié un guide de sensibilisation.

Publié le 02/06/2025TéléchargerLire

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.