top of page
Rechercher

Le manuel des rançongiciels : 6 étapes utilisées par les attaquants pour cibler les PME canadiennes

  • Terry Telford
  • 10 juin
  • 12 min de lecture
dessin au trait vert d'un ordinateur avec un cadenas et une chaîne représentant une guerre de rançon

Rançongiciels. Pour les petites et moyennes entreprises (PME) canadiennes, le danger est grandissant. La triste réalité est que les cybercriminels considèrent les PME comme des cibles de choix, souvent dotées de défenses plus faibles que leurs homologues de grande taille, mais disposant de données précieuses et d'un besoin crucial de continuité des activités.


Les statistiques sont alarmantes. Selon la GRC et le Centre canadien pour la cybersécurité, les taux de cybercriminalité au Canada ont quadruplé entre 2021 et 2025. Pour une entreprise canadienne de taille moyenne, le coût moyen d'une cyberattaque dépasse désormais 250 000 $, sans compter les frais juridiques exorbitants, les interruptions de service prolongées ni les dommages souvent irréversibles à la réputation de l'entreprise.


De nombreuses PME pensent à tort qu'elles sont « trop petites pour être ciblées », mais cette idée fausse est dangereuse. Pour les pirates cherchant à maximiser leurs profits, il est souvent plus efficace d'exiger 50 000 dollars de 20 petites entreprises vulnérables que de tenter une attaque complexe contre une seule grande entreprise fortement renforcée.


Alors, comment ces attaques se produisent-elles réellement ? Examinons le processus étape par étape utilisé par les cybercriminels pour lancer des attaques par rançongiciel. En comprenant leur stratégie, vous pourrez mieux reconnaître les signes avant-coureurs et, surtout, mettre en place des défenses proactives pour protéger votre entreprise.


Le cycle de vie d'une attaque par rançongiciel : six étapes cruciales


Les attaques par rançongiciel sont rarement des événements isolés et aléatoires. Elles suivent un cycle de vie délibéré en plusieurs étapes, à la manière d'un braquage méticuleusement planifié. Connaître ces étapes constitue votre première ligne de défense.


Étape 1 : Reconnaissance


Avant qu'un attaquant ne tente de percer vos défenses, il effectue ses recherches. Cette phase de « reconnaissance » consiste à recueillir des renseignements pour identifier les faiblesses et les cibles importantes.


Objectif de l'attaquant : recueillir autant d'informations que possible sur votre entreprise, ses employés, sa technologie et sa présence en ligne pour trouver les points d'entrée les plus faciles et évaluer la valeur potentielle de la rançon.


Comment ça marche :

  • Reconnaissance passive : cela implique la collecte d'informations accessibles au public. Les attaquants fouillent le site web de votre entreprise, les profils de réseaux sociaux (LinkedIn, Facebook, etc., pour l'entreprise et ses employés), les articles de presse et les bases de données publiques. Ils recherchent :

  • Noms des employés, rôles et même photos (utiles pour créer des e-mails de phishing convaincants).

  • Technologies que vous utilisez (par exemple, plateformes de sites Web, fournisseurs de messagerie électronique, logiciels répertoriés dans les offres d’emploi).

  • Vos partenaires commerciaux, fournisseurs et clients (vecteurs d’attaque potentiels de la chaîne d’approvisionnement).

  • Emplacements physiques, numéros de téléphone et conventions de dénomination de courrier électronique courantes (par exemple, prénom.nom@votreentreprise.ca ).

  • Vulnérabilités divulguées ou incidents de sécurité passés.

  • Reconnaissance active : Plus directe, mais plus risquée pour l'attaquant. Elle consiste à sonder activement votre réseau à la recherche de ports ouverts et de services vulnérables (comme le protocole RDP (Remote Desktop Protocol) non sécurisé, un vecteur courant) et à identifier votre infrastructure réseau. Il peut également scanner le dark web à la recherche d'identifiants exposés liés à votre domaine ou à vos employés, souvent achetés auprès de courtiers en accès initial, spécialisés dans la recherche et la vente de points d'entrée initiaux.


Conseils de défense pour les PME :

  • Minimisez votre empreinte publique : examinez votre site web et vos profils sur les réseaux sociaux. Révèlent-ils des informations techniques sensibles ? Les profils des employés sont-ils trop détaillés ?

  • Évaluations régulières des vulnérabilités : analysez régulièrement votre propre réseau et vos systèmes publics à la recherche de vulnérabilités que les attaquants pourraient découvrir.

  • Surveillance du Dark Web : envisagez des services (souvent proposés par des fournisseurs de services de sécurité gérés ou MSSP) qui surveillent le Dark Web à la recherche des informations d'identification compromises de votre entreprise.


Étape 2 : Accès initial


C’est le moment critique où l’attaquant tente de prendre pied pour la première fois dans votre réseau.


Objectif de l'attaquant : établir une position stratégique au sein de votre environnement numérique.


Comment ça marche :

  • Hameçonnage et harponnage : le champion incontesté de l'accès initial. Les attaquants envoient des courriels trompeurs (hameçonnage) ou des courriels personnalisés et hautement ciblés (harponnage) conçus pour piéger un employé et lui faire parvenir :

  • Cliquer sur un lien malveillant qui télécharge un logiciel malveillant.

  • Ouverture d'une pièce jointe malveillante (par exemple, une fausse facture, une notification d'expédition).

  • Saisie d'identifiants sur une fausse page de connexion apparemment légitime (par exemple, un portail Office 365 ou bancaire). La menace est amplifiée par l'IA, qui peut générer des tentatives d'hameçonnage hautement convaincantes et personnalisées, exploitant parfois même la technologie deepfake pour l'hameçonnage vocal (vishing) ou la fraude au PDG. Imaginez un faux appel vocal de votre PDG exigeant un virement bancaire urgent. L'IA rend ces escroqueries sophistiquées terriblement réalistes. Un sondage de la BDC réalisé en septembre 2024 a révélé que 61 % des PME canadiennes ont été victimes d'une tentative d'hameçonnage par courriel, ce qui souligne l'omniprésence de cette menace.

  • Exploitation des vulnérabilités : cibler les logiciels non corrigés (systèmes d'exploitation, applications, serveurs Web), les services mal configurés (comme RDP, qui, s'il est laissé ouvert à Internet avec des informations d'identification faibles, constitue une invitation ouverte) ou les appareils IoT vulnérables.

  • Identifiants volés : utilisation de noms d'utilisateur et de mots de passe achetés sur des marchés du dark web ou obtenus lors de tentatives de phishing antérieures.

  • Sites Web malveillants/Téléchargements intempestifs : les utilisateurs visitent accidentellement des sites Web légitimes compromis ou des sites malveillants qui téléchargent automatiquement des logiciels malveillants sur leurs appareils sans aucune interaction.


Une enquête de la BDC a également révélé que seulement deux PME canadiennes sur cinq ont mis en place une formation cohérente en cybersécurité pour leur personnel, ce qui les rend particulièrement vulnérables aux attaques sophistiquées d’hameçonnage et d’ingénierie sociale.


Conseils de défense pour les PME :

  • Formation intensive et continue des employés : c'est votre meilleure défense. Organisez des sessions de formation régulières et engageantes, incluant des simulations de tests d'hameçonnage. Apprenez à vos employés à repérer les signaux d'alerte dans les e-mails, les SMS et les appels.

  • Authentification multifacteur (MFA) : implémentez l'authentification multifacteur (MFA) sur tous vos comptes critiques (e-mail, services cloud, services bancaires, VPN). C'est la mesure la plus efficace contre le vol d'identifiants, car elle nécessite une deuxième étape de vérification (comme un code provenant d'une application mobile).

  • Gestion rigoureuse des correctifs : Maintenez à jour tous les systèmes d'exploitation, applications logicielles et micrologiciels. Activez les mises à jour automatiques lorsque cela est possible.

  • Politiques de mots de passe forts : appliquez des mots de passe uniques de 12 à 16 caractères qui sont modifiés régulièrement et encouragez l'utilisation de gestionnaires de mots de passe.

  • Accès à distance sécurisé : si vous utilisez RDP ou VPN, assurez-vous qu’ils sont correctement configurés avec une authentification forte et une exposition limitée.


Étape 3 : Escalade des privilèges et mouvement latéral


Une fois qu’un attaquant a pris pied, son prochain objectif est d’acquérir plus de puissance au sein de votre réseau et d’étendre sa présence pour identifier les actifs précieux.


Objectif de l'attaquant : élever ses droits d'accès (par exemple, d'un utilisateur standard à un administrateur) et se déplacer inaperçu sur votre réseau, à la recherche de données, de serveurs et de systèmes critiques.


Comment ça marche :

  • Exploitation des erreurs de configuration : recherche d’erreurs dans les paramètres du système ou de l’application qui accordent par inadvertance des autorisations excessives ou autorisent un accès non autorisé.

  • Vol d'informations d'identification (interne) : utilisation d'outils spécialisés (par exemple, Mimikatz) pour collecter les informations d'identification des utilisateurs à partir de machines, de mémoire ou de trafic réseau compromis.

  • Outils de déplacement latéral : ils utilisent des outils d'administration légitimes (comme PowerShell, PsExec, le protocole RDP) ou des logiciels malveillants spécialisés (comme Cobalt Strike) pour passer d'un appareil compromis à un autre. Ils explorent systématiquement votre réseau afin de localiser les serveurs critiques, les lecteurs partagés, les emplacements de sauvegarde et les applications à forte valeur ajoutée.

  • Découverte : cela implique de cartographier l'ensemble de votre réseau, d'identifier les serveurs clés, les lecteurs partagés, les solutions de sauvegarde et les applications critiques qui, si elles étaient chiffrées, provoqueraient une perturbation maximale.


De nombreuses PME fonctionnent avec des structures réseau plus horizontales et des autorisations utilisateur moins granulaires que les grandes entreprises. Cela peut involontairement faciliter les déplacements latéraux et l'élévation des privilèges des attaquants une fois à l'intérieur.


Conseils de défense pour les PME :

  • Principe du moindre privilège : Accorder aux employés et aux systèmes le niveau d'accès minimal requis pour l'exécution de leurs tâches. Cela limite les dommages qu'un attaquant peut infliger en compromettant un compte.

  • Segmentation du réseau : Divisez votre réseau en segments isolés. Cela empêche un attaquant de se déplacer facilement d'un poste de travail compromis vers vos serveurs ou référentiels de données critiques.

  • Détection et réponse aux terminaux (EDR) / Détection et réponse étendues (XDR) : les outils EDR/XDR basés sur l'IA sont essentiels à ce stade. Contrairement aux antivirus traditionnels qui recherchent les signatures de logiciels malveillants connus, les solutions EDR/XDR surveillent les comportements suspects sur les terminaux, tels que les activités inhabituelles ou les tentatives de déplacement latéral, même si les outils utilisés sont légitimes.

  • Audits réguliers : examinez périodiquement les autorisations des utilisateurs, les configurations réseau et les journaux de sécurité pour détecter les anomalies.


Étape 4 : Exfiltration des données


Dans le paysage actuel des rançongiciels, le simple chiffrement des données ne suffit plus aux attaquants. Ils ont ajouté une nouvelle arme : voler vos données sensibles avant de les chiffrer.


Objectif de l'attaquant : exfiltrer (voler) vos données sensibles pour ajouter un effet de levier et augmenter considérablement les chances de paiement d'une rançon.


Comment ça marche :

  • Identification des données précieuses : les attaquants rechercheront les bases de données clients, les dossiers financiers, la propriété intellectuelle, les informations personnelles identifiables (PII) des employés, les documents juridiques, les contrats et toute autre donnée qui serait embarrassante ou préjudiciable en cas de fuite.

  • Mise en scène et téléchargement : les données volées sont généralement compressées dans des archives (souvent protégées par mot de passe), puis téléchargées discrètement vers un stockage cloud ou des serveurs contrôlés par l'attaquant. Ce processus peut se dérouler lentement afin d'éviter d'être détecté par les outils de surveillance réseau de base.

  • La menace : Si vous refusez de payer la rançon pour le déchiffrement, ils menacent de divulguer ou de vendre publiquement vos données exfiltrées sur le dark web. Il s'agit de la tactique de « double extorsion », et certains groupes se livrent même à la « triple extorsion » en menaçant de perturber vos clients ou d'informer les autorités de régulation. L'attaque de London Drugs en 2024 a notamment impliqué le groupe de rançongiciel LockBit qui a exfiltré des fichiers contenant des informations sur l'entreprise et les employés, qui ont ensuite été divulgués suite au refus de London Drugs de payer une rançon de 25 millions de dollars.


L'exfiltration de données entraîne d'importantes obligations de notification en cas d'atteinte à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada. S'il existe un « risque réel de préjudice grave » pour les personnes dont les renseignements personnels ont été compromis, vous êtes légalement tenu d'en informer le Commissariat à la protection de la vie privée du Canada (CPVP) et les personnes concernées dès que possible. Tout manquement à cette obligation peut entraîner de lourdes amendes et une atteinte à votre réputation.


Conseils de défense pour les PME :

  • Solutions de prévention de la perte de données (DLP) : ces outils peuvent surveiller et empêcher les données sensibles de quitter votre réseau, que ce soit par courrier électronique, par téléchargement dans le cloud ou par d'autres canaux.

  • Surveillance réseau améliorée : recherchez des transferts de données sortants inhabituellement importants ou une activité réseau suspecte qui pourrait indiquer une exfiltration de données.

  • Chiffrement des données (au repos et en transit) : Chiffrez les données sensibles où qu'elles se trouvent : sur vos serveurs, bases de données, terminaux et dans le cloud. Même exfiltrées, les données chiffrées sont inutiles sans la clé.


Étape 5 : Chiffrement et impact


Il s’agit de l’étape visible et douloureuse de l’attaque lorsque vos systèmes deviennent inutilisables et que la demande de rançon apparaît.


Objectif de l'attaquant : crypter vos fichiers et systèmes, les rendre inaccessibles, puis présenter la demande de rançon.


Comment ça marche :

  • Déploiement du rançongiciel : la charge utile du rançongiciel, souvent personnalisée pour votre réseau, est déployée sur tous les systèmes ciblés. Ce déploiement se produit généralement simultanément sur plusieurs machines (serveurs, postes de travail, partages réseau) afin de maximiser les perturbations.

  • Chiffrement de fichiers : le rançongiciel utilise des algorithmes cryptographiques puissants (par exemple, AES ou RSA) pour chiffrer les fichiers critiques, les bases de données et potentiellement des disques entiers. Les clés de chiffrement sont connues uniquement des attaquants.

  • Demande de rançon : Un fichier texte, un arrière-plan modifié ou une fenêtre contextuelle s'affiche sur les systèmes affectés, affichant une demande de rançon. Cette demande détaille l'attaque, exige le paiement (presque toujours en cryptomonnaie comme le Bitcoin) de la clé de déchiffrement, inclut souvent un délai strict (par exemple, « payez dans les 48 heures ou vos données seront perdues à jamais ») et réitère les menaces de divulgation publique des données.


L'impact émotionnel et opérationnel sur les PME peut être considérable. Sans sauvegardes adéquates, les entreprises sont confrontées à un choix déchirant : payer et espérer (sans garantie de déchiffrement), ou risquer une fermeture définitive. Le Centre canadien pour la cybersécurité (CCCS) déconseille fortement le paiement de rançons, car cela alimente l'écosystème criminel et n'offre aucune garantie de récupération des données.


Une option consiste à tester les codes de déchiffrement des rançongiciels. Une initiative internationale majeure propose des outils de déchiffrement gratuits pour un nombre important de variantes de rançongiciels : le projet « No More Ransom ». Il s'agit d'une initiative conjointe des forces de l'ordre et des entreprises de sécurité informatique visant à lutter contre les rançongiciels. Parmi les principaux partenaires figurent le Centre européen de lutte contre la cybercriminalité d'Europol, l'Unité nationale de lutte contre la criminalité liée aux hautes technologies de la police néerlandaise et de nombreuses entreprises de cybersécurité comme Kaspersky et McAfee.


Vous pouvez trouver le projet « No More Ransom » sur nomoreransom.org


Conseils de défense pour les PME :

  • Sauvegardes hors ligne robustes et immuables : il s'agit de votre ultime ligne de défense. Assurez-vous que toutes vos données critiques sont sauvegardées régulièrement dans un emplacement immuable, hors site et idéalement hors ligne (isolé), inaccessible au rançongiciel. Il est essentiel de tester régulièrement ces sauvegardes pour garantir leur récupérabilité.

  • Plan de réponse aux incidents (IRP) : Établissez un plan détaillé et éprouvé des mesures à prendre immédiatement en cas de rançongiciel. Ce plan comprend les étapes d'isolement des systèmes infectés, de notification du personnel clé et de préparation à la reprise d'activité.


Étape 6 : Extorsion et recouvrement


Une fois vos systèmes chiffrés, les attaquants passent à l'étape finale, la plus pénible : se faire payer. Votre réponse à l'extorsion détermine votre chemin vers la guérison.


Objectif de l'attaquant : vous obliger à payer la rançon.


Comment ça marche :

  • Communication : les attaquants fournissent des instructions sur la manière de communiquer avec eux (souvent via un portail de navigateur TOR) et intensifient la pression avec des menaces.

  • Négociation (rarement conseillée) : Si certains groupes de rançongiciels négocient le montant de la rançon, la tendance s'éloigne de cette pratique. Leur objectif principal est un paiement rapide.

  • Menaces : si le paiement n'est pas effectué, ils mettent à exécution leurs menaces de fuite de données publiques, de suppression définitive des données ou même de notification à vos clients ou aux régulateurs.


Défi pour les PME : L’immense pression pour payer, surtout si les sauvegardes sont inadéquates ou inexistantes, peut être écrasante. La demande moyenne de rançongiciel au Canada dépasse 250 000 $, bien que les PME puissent faire face à des demandes moins importantes, mais tout aussi lourdes.


Récupération et réponse des PME :

  • NE PAYEZ PAS (Recommandation générale) : Le Centre canadien pour la cybersécurité (CCCS) et le Centre antifraude du Canada (CAFC) déconseillent fortement de payer des rançons. Cela finance des activités criminelles, n'offre aucune garantie de déchiffrement ni de fuite de données, et identifie votre entreprise comme « payeur », faisant de vous une cible probable pour de futures attaques.

  • Mettez en œuvre votre PIR : exécutez immédiatement votre plan de réponse aux incidents prédéfini. Ce plan doit vous guider pour isoler les systèmes infectés, contenir la propagation et mobiliser les ressources nécessaires.

  • Aviser les autorités : Signalez immédiatement l’incident au Centre canadien pour la cybersécurité ( Cyber.gc.ca ) et au Centre antifraude du Canada (CAFC) par l’intermédiaire de leur système de signalement en ligne ou en composant le 1 888 495-8501. Communiquez également avec votre service de police local. Un signalement rapide permet aux forces de l’ordre de traquer les groupes criminels et de mettre à jour les directives nationales.

  • Restauration à partir de sauvegardes : il s'agit de la méthode de récupération la plus fiable et la plus recommandée. Assurez-vous que votre équipe informatique ou votre fournisseur de services managés est capable de restaurer rapidement vos systèmes à partir de vos sauvegardes hors ligne validées.

  • Analyse post-incident : après la récupération, effectuez une analyse post-mortem approfondie pour comprendre comment la violation s'est produite et mettez en œuvre des contrôles plus stricts pour prévenir de futures attaques.

  • Assurance cybernétique : Si vous avez une assurance cybernétique, contactez immédiatement votre fournisseur. Il peut souvent vous fournir une aide financière pour couvrir les frais de recouvrement, les frais juridiques et l'accès à des équipes d'intervention spécialisées. Sachez que les polices d'assurance sont de plus en plus strictes ; nombre d'entre elles exigent désormais des contrôles spécifiques, comme l'authentification multifacteur (AMF) et les sauvegardes hors site, pour que la couverture soit applicable.


La défense proactive est votre meilleure défense


Pour les PME canadiennes, 2025 sera une année charnière en matière de cybersécurité. Comprendre le « manuel de stratégie » étape par étape en matière de rançongiciel n'est plus une option ; c'est un élément essentiel de votre stratégie de défense. La cybercriminalité s'intensifie, les coûts explosent et le cadre réglementaire (avec le projet de loi C-26, Loi sur la protection des systèmes cybernétiques essentiels, à l'horizon) se resserre.


Vous n'êtes pas seul face à cette situation. En comprenant les tactiques des attaquants, en exploitant la puissance des défenses basées sur l'IA (comme EDR/XDR), en mettant en œuvre les meilleures pratiques fondamentales (notamment des sauvegardes robustes et l'authentification multifacteur) et en budgétisant stratégiquement la sécurité, les PME canadiennes peuvent se protéger et renforcer leur résilience. Collaborez avec des experts en cybersécurité de confiance ou un fournisseur de services de sécurité gérés (MSSP) fiable, formez votre équipe et faites de la cybersécurité une priorité constante. Face aux menaces sophistiquées d'aujourd'hui, être préparé n'est pas seulement une bonne pratique, c'est essentiel à la survie et à la réussite de votre entreprise.

bottom of page