On prend RDV ?

Ransomware : anatomie des 72 premières heures

Ransomware - anatomie des 72 premières heures

Table des matières

Un ransomware ne chiffre pas en cinq minutes.
Il observe, se propage, puis frappe au moment où vous avez le moins de marge.
Imaginez un intrus immobile dans un couloir sombre qui écoute, note, teste les portes, puis revient avec un plan.
Ce délai ne se voit pas, mais c’est là que les dégâts s’installent.
Comprendre la timeline d’une attaque ransomware change tout.. Chaque minute devient un atout ou un handicap.
La règle est simple : pas de panique, des gestes précis, au bon moment.

Heure 0 à Heure 24 : l’infiltration silencieuse, les premiers gestes d’urgence

Vecteurs d’entrée et premières mesures

Le point d’entrée ressemble souvent à une porte laissée entrouverte.
Un email de livraison avec pièce jointe piégée. Un VPN exposé sans double facteur. Un poste technique avec mot de passe par défaut. Un logiciel métier non patché.
L’attaquant essaie plusieurs clés jusqu’à trouver la serrure la plus simple.
Dès qu’un doute surgit, trois gestes immédiats :

  • Email piégé : bloquez l’expéditeur, supprimez le message dans toutes les boîtes avant ouverture, alertez les équipes
  • Exposition réseau : fermez les ports non essentiels, désactivez les accès externes inutiles, forcez la rotation des mots de passe à risque
  • Compte compromis : réinitialisez, invalidez toutes les sessions, vérifiez les règles de transfert dans la messagerie

Isolez l’équipement suspect du réseau, coupez le Wi-Fi du poste compromis, préservez les journaux et notez l’heure, l’utilisateur, l’adresse IP et le déclencheur de l’alerte.
Vous ne voyez pas encore de fichiers chiffrés. Ce n’est pas rassurant, c’est trompeur.

Ce que fait le ransomware pendant qu’il se cache

Pendant ces premières heures, l’attaquant agit comme un auditeur clandestin.
Il recense les machines, cartographie les partages, lit les scripts d’administration, collecte des mots de passe et repère les sauvegardes accessibles.
Son objectif : se fondre dans le bruit, monter en privilèges, puis déclencher proprement.
Dans beaucoup de cabinets médicaux, le poste de réception voit tout. Résultats de laboratoire, documents patients, modèles de factures. Pour l’attaquant, c’est le plan du bâtiment posé sur le comptoir.
Signaux faibles typiques :

  • Une session distante anormalement longue
  • Un antivirus qui se désactive puis se réactive
  • Une tâche planifiée au nom trop banal
  • Un outil d’administration distant apparu sans raison
  • Une connexion de nuit depuis une adresse jamais vue

Pris séparément, rien d’alarmant. Ensemble, le scénario se dessine.

Vos premières 4 heures utiles

Minutes 0 à 30 : isolez le poste, photographiez l’écran, notez l’heure exacte. Mettez le compte en quarantaine, changez le mot de passe si connecté ailleurs.
Minutes 30 à 120 : lancez une chasse aux indicateurs sur le parc (nom du binaire, adresse IP, domaines suspects). Collectez les journaux locaux, logs pare-feu et authentifications.
Minutes 120 à 240 : filtrez le trafic sortant en blocage par défaut, désactivez les partages non critiques, alertez la direction et la cellule de crise.
Ce tempo évite la panique. Sans ce rythme, les gestes critiques s’oublient.

Pourquoi cela touche les PME et le secteur santé en premier

Parce que la continuité est critique et le temps manque.
Une clinique ne peut pas décaler une prise en charge. Un cabinet ne peut pas annuler les résultats du jour. Une fiduciaire ne peut pas rater un délai fiscal.
Les attaquants le savent. Ils visent là où l’arrêt coûte tout de suite.
La nLPD impose protection, traçabilité et minimisation. Un chiffrement massif ne crée pas qu’une panne. Il met en jeu la conformité, l’obligation d’informer et la confiance des patients.

Heure 24 à Heure 48 : la propagation, stopper le mouvement latéral et isoler les sauvegardes

Comment l’attaquant se déplace dans le réseau

Après vingt-quatre heures, l’attaquant a souvent assez de visibilité pour bouger sans bruit.
Il utilise des outils légitimes. Il emprunte les mêmes droits que votre équipe technique. Il copie des exécutables via des partages administratifs. Il profite d’une session administrateur qui traîne sur un serveur d’applications.
Rien d’exotique. Rien qui claque à l’écran.
Le mouvement latéral suit une logique d’escalier : poste utilisateur vers serveur de fichiers, serveur de fichiers vers contrôleur de domaine, contrôleur de domaine vers serveur de sauvegarde.
Une fois le serveur de sauvegarde atteint, la suite est simple. Neutraliser les copies, préparer le terrain, puis déclencher.

Pourquoi vos sauvegardes sont souvent impactées

Les sauvegardes connectées en permanence finissent dans la ligne de mire.
Un volume réseau monté sur le même annuaire que les utilisateurs. Un dépôt de sauvegarde sans immutabilité. Un stockage cloud mappé comme un lecteur.
C’est facile à lister. Facile à chiffrer. Facile à supprimer.
La règle tient en une ligne : une sauvegarde non isolée n’est pas une sauvegarde.
Visez 3-2-1-1-0 : trois copies, deux supports, une hors site, une immuable, zéro erreur au test de restauration.
Sans test, une sauvegarde reste théorique.

Fenêtre d’intervention : il est encore stoppable

À ce stade, l’attaquant prépare. Il doit répartir ses charges, vérifier ses droits, synchroniser le déclenchement.
C’est votre fenêtre.
Segmentez strictement les serveurs critiques, isolez-les dans des VLAN resserrés. Révoquez les comptes à privilèges dormants et forcez le double facteur partout où c’est réaliste. Passez les outils de détection en blocage agressif sur les machines à risque.

Vos 3 heures pour limiter la casse

Minutes 0 à 60 : figez la topologie (pas de changement non documenté), gelez les créations de comptes, bloquez l’accès externe aux consoles de sauvegarde. Durcissez les règles pare-feu sortantes depuis les serveurs.
Minutes 60 à 180 : inventoriez les tâches planifiées récentes sur les serveurs, désactivez celles non nécessaires. Vérifiez l’intégrité des sauvegardes, activez l’immuabilité si possible, déconnectez physiquement la copie hors ligne.
Accepter une coupure contrôlée peut éviter un arrêt total. Deux heures de coupure pour sauver des journaux et des sauvegardes, c’est un bon pari.

Erreurs fréquentes pendant la propagation

  • Récupérer des dossiers d’un serveur suspect vers un poste propre
  • Réinitialiser en masse des mots de passe admin sans plan clair
  • Oublier de documenter chaque action avec heure et personne

Réagir, c’est aussi savoir s’arrêter avant d’aggraver.
Le calme documenté vaut mieux que l’agitation improvisée.

Les 72 heures qui suivent la découverte : contenir, préserver et planifier la reprise

Les 5 actions immédiates

Vous avez confirmé l’intrusion. Le compteur tourne.
1. Contenir : isolez les machines atteintes, désactivez les comptes suspects, bloquez le trafic sortant non essentiel, coupez les connexions vers les dépôts de sauvegarde.
2. Preuves : gelez les journaux, prenez des images des disques critiques, capturez la mémoire sur des machines représentatives, documentez heures et actions.
3. Stabiliser : activez le plan de continuité, priorisez les services vitaux, passez aux procédures papier si nécessaire, sécurisez les flux critiques santé.
4. Communiquer : informez la direction, constituez la cellule de crise, cadrez messages internes et externes, répondez aux obligations réglementaires.
5. Planifier : cartographiez l’étendue, validez l’état des sauvegardes, définissez le scénario de restauration, estimez les délais, assignez les rôles.
Ce plan doit être connu, imprimé et accessible hors réseau.

Ce qu’il ne faut jamais faire

  • Payer dans la précipitation sans cadre juridique et assurance
  • Nettoyer avant d’analyser et perdre les indices clés
  • Sous-déclarer l’incident alors que l’obligation existe
  • Restaurer sur une infrastructure encore compromise

Votre pire ennemi est la précipitation.
Une heure de préparation évite des jours de chaos.

Quand et comment communiquer

La communication doit être chirurgicale. Claire. Brève. Factuelle.
Parties prenantes internes : partagez ce qui est confirmé, évitez les spéculations.
Clients et patients : message simple sur la continuité de service, la protection des données et les mesures engagées. Canal dédié pour les questions.
Autorités : la nLPD impose une notification lorsqu’un risque élevé existe. Le RGPD s’applique si vous traitez des données de résidents de l’Union européenne. Documentez les fondements et la temporalité.
Assureur cyber : contact immédiat selon les clauses. Une notification tardive peut compromettre la couverture.
Le but n’est pas de tout dire. Le but est de bien dire ce qui est exact, à la bonne personne, au bon moment.

Préserver les logs et les preuves

Sans logs, impossible de prouver votre innocence. Et ça, ce n’est jamais une bonne nouvelle.
La perte de journaux coûte cher en compréhension, en conformité et en indemnisation.
Check-list de préservation :

  • Export des journaux pare-feu (sept jours avant et après l’incident)
  • Journaux des contrôleurs de domaine : authentifications, modifications de groupes, créations de comptes
  • Collecte des alertes et quarantaines des outils de détection
  • Captures de mémoire sur deux à trois machines représentatives
  • Copie des notes de rançon, adresses de contact, identifiants de campagne

Conservez ces éléments hors du périmètre compromis. Horodatez. Limitez les accès.
La chronologie factuelle devient votre meilleure défense.

Première journée post-découverte

Heures 0 à 2 : cellule de crise activée, confinement en cours, gel des journaux, recensement des systèmes vitaux.
Heures 2 à 6 : contact assurance et juridique, cadrage communication interne, collecte forensic sur les machines clés.
Heures 6 à 12 : décision sur le scénario de restauration, préparation d’une enclave propre, définition des priorités métier.
Heures 12 à 24 : exécution d’une première vague de restauration test, validation d’intégrité, reprise partielle des services.
Les quarante-huit heures suivantes déroulent la reprise et l’accompagnement.
Reprendre sans réinfecter. Expliquer sans affoler. Réparer sans masquer.

Heure 48 à Heure 72 : le chiffrement, les 2 heures cruciales pour la restauration

La fenêtre de chiffrement

Quand l’attaquant estime son périmètre optimal, il déclenche.
Le chiffrement démarre souvent par les partages de fichiers, puis les bases de données, puis les postes. Certaines variantes ne chiffrent que des index pour aller plus vite.
Beaucoup désactivent d’abord l’antivirus et les sauvegardes planifiées. Les charges sont chronométrées. Des tâches planifiées s’activent à quelques minutes d’intervalle.
Les notes de rançon apparaissent partout. Le réseau ralentit. Les images médicales refusent de s’ouvrir. La facturation se fige.

Pourquoi cela arrive souvent le weekend

Le weekend, les défenses humaines dorment.
Moins de surveillance. Moins de bruit réseau légitime. L’attaquant sait que vos sauvegardes lancent un cycle le vendredi soir. Il sait qu’il peut casser votre fenêtre de restauration sans réaction immédiate.
La règle pratique : astreinte définie, télémétrie active, alertes qui réveillent la bonne personne et scripts de réponse prêts.
Sinon, la nuit devient un boulevard.

Le message de rançon : ne pas céder à chaud

Le message s’affiche. Somme demandée. Canal de contact. Menace de divulgation. Compte à rebours.
Respirez. Figez le périmètre. Ne répondez pas à chaud.
Priorisez la restauration, la continuité patient, la conformité et la preuve.
Payer ou ne pas payer reste un dilemme réel.
Le paiement ne garantit rien et peut ouvrir un second chantage. Il peut entrer en collision avec des listes de sanctions.
Consultez l’assureur, consultez le conseil juridique, documentez tout, évitez les promesses.
Dans la santé, protégez d’abord les vies et l’activité. Passez au mode manuel quand c’est nécessaire. Gardez la traçabilité minimale. Informez la direction médicale. Préservez les preuves.

Vos 2 heures cruciales pendant l’attaque

Minutes 0 à 45 : coupez l’accès des segments non critiques, isolez les serveurs chiffrés, arrêtez proprement les postes en cours de chiffrement si possible. Déclenchez le plan de continuité, basculez les processus essentiels sur des procédures dégradées documentées.
Minutes 45 à 120 : vérifiez les sauvegardes immuables, préparez la restauration hors ligne, collectez les notes de rançon et les indicateurs de compromission. Engagez les interlocuteurs externes (assurance, conseil juridique, prestataire réponse à incident, autorité compétente si requis).
Chaque minute compte, mais chaque geste doit être pesé.
Un redémarrage intempestif peut détruire des preuves. Un effacement hâtif vous prive d’enseignements clés.

Comment préparer ces 72 heures avant qu’elles n’arrivent : construire et tester son playbook

Le playbook de réaction anti-ransomware : écrire, tester, ajuster

Un plan efficace tient en une dizaine de pages utiles.
Rôles. Priorités. Procédures de confinement. Scénarios de restauration. Contacts d’urgence. Modèles de messages.
Pas de roman. Des cases à cocher et des chemins simples.
Testez-le chaque trimestre. Exercice d’une heure autour d’un scénario infiltration, mouvement latéral, chiffrement. Simulez la perte d’un serveur de fichiers critique. Mesurez le temps de décision et corrigez ce qui bloque.
Un plan non testé reste un souhait.

Les responsabilités : qui décide, qui exécute, qui informe

Nommez un responsable de crise avec un suppléant. Désignez des chefs de flux : technique, métier, juridique, communication. Établissez une matrice claire et imprimez les contacts hors réseau.

  • Responsable crise : arbitre les coupures, priorise les restaurations, valide la communication
  • Technique : isole, collecte, restaure, valide l’intégrité
  • Métier : choisit les procédures dégradées, priorise les applications
  • Juridique et conformité : cadre la notification, vérifie la conformité nLPD
  • Communication : centralise, rédige, publie, évite le bruit

Personne ne doit improviser son rôle sous pression.

Architecture défensive : réduire le rayon d’explosion

Pensez votre réseau comme une maison compartimentée. Un feu dans la cuisine ne doit pas atteindre la chambre.
Séparez serveurs de fichiers, bases de données, messagerie et systèmes biomédicaux. Interdisez les sessions administrateur sur les postes utilisateurs. Forcez le double facteur sur toutes les consoles d’administration. Autorisez uniquement les scripts signés.
La micro-segmentation impose de petites portes et des journaux précis.
L’attaquant déteste les petites portes.

Sauvegardes : 3-2-1-1-0 et tests réguliers

Vous avez besoin d’un socle simple.

  • Trois copies des données : production plus deux sauvegardes
  • Deux supports différents : disque et cloud ou bande
  • Une copie hors site : autre site ou cloud
  • Une copie immuable : verrouillage objet ou WORM
  • Zéro erreur au test de restauration : test mensuel documenté

Ajoutez un test rapide hebdomadaire avec restauration d’un dossier. Ajoutez un test complet trimestriel avec restauration d’une machine critique dans une enclave isolée.
Mesurez vos vrais RTO et RPO. Sans mesure, la promesse ne vaut rien.

Détection et réponse : voir ce qui compte

Un antivirus seul ne suffit pas. Il faut de la télémétrie.
Outils de détection sur postes et serveurs, journalisation centralisée, détection de comportements suspects, alertes qui réveillent la bonne personne, automatisation pour isoler un poste, révoquer un accès, bloquer un domaine.
Indicateurs à surveiller :

  • Création d’un compte administrateur de domaine
  • Désactivation des sauvegardes planifiées
  • Multiples échecs d’authentification sur un compte technique
  • Apparition d’un outil de prise en main à distance non inventorié
  • Pic d’écriture sur des partages en dehors des heures ouvrées

Moins de droits signifie moins d’impact.

Procédures dégradées : continuer quand le numérique cale

Dans la santé, la disponibilité n’est pas négociable.
Formalisez des procédures dégradées : impression quotidienne des plannings, kit papier pour prescriptions et consentements, accès alternatif aux plateformes de santé, numéros critiques hors du réseau.
Dans une fiduciaire, préparez des modèles imprimés de saisie, un canal secondaire pour les clients et une facturation manuelle temporaire.
Avancer lentement vaut mieux que s’arrêter net.

Formation et sensibilisation régulière

La sensibilisation n’est pas une grand-messe annuelle. C’est une routine courte et régulière.
Dix minutes par mois. Une simulation, un quiz, une bonne pratique. Un rappel sur la fraude au président et un test de phishing ponctuel.
Micro-formations ciblées sur les mots de passe, les accès distants, la lecture des pièces jointes et les règles d’or des sauvegardes.
Récompensez les signalements. Banalisez le droit au doute.
Une équipe qui parle vite évite souvent le pire.

Exemple vécu : la préparation fait la différence

Laboratoire médical de 25 postes.
Intrusion vendredi soir via email piégé. Propagation discrète samedi. Chiffrement déclenché dimanche 2h. Découverte lundi 8h.
Sans plan :

  • 3 semaines d’arrêt complet
  • Analyses externalisées en urgence
  • 95 000 CHF de pertes (revenus + reprise + audit)
  • Clients perdus
  • Audit nLPD suite à notification tardive
  • Réputation écornée

Avec plan testé et sauvegardes immuables :

  • Isolement en 15 minutes
  • Restauration en 36 heures
  • 8 500 CHF de coûts (reprise + forensic)
  • Zéro perte de données
  • Activité maintenue en mode dégradé
  • Notification conforme nLPD
  • Confiance préservée

La préparation fait toute la différence.

Votre défense anti-ransomware est-elle prête ?

On échange 30 minutes sur votre situation actuelle et la menace ransomware. Nous n’offrons pas de diagnostic gratuit miracle, mais une conversation claire pour évaluer deux points cruciaux :

  • Vos sauvegardes sont-elles vraiment immuables ?
  • Votre plan de reprise (playbook) tiendra-t-il 72 heures ?

Sans engagement.

Planifier ma session
stratégique gratuite

Conclusion

Vous connaissez maintenant la mécanique d’une attaque par rançongiciel et sa timeline réelle.
Infiltration silencieuse, propagation lente, puis déclenchement rapide.
Vous avez vu les gestes à poser minute par minute, les fenêtres d’intervention à exploiter et les pièges à éviter.
La logique est simple : anticiper, détecter, contenir, préserver, restaurer.
Dans un cabinet médical, une clinique ou une PME, cette discipline protège vos patients, vos clients et votre conformité à la nLPD.
Un plan tient en quelques pages, mais il se joue dans les détails. La segmentation réduit le rayon d’explosion. Les sauvegardes immuables garantissent une sortie de crise. Les journaux racontent l’histoire et défendent votre position face aux autorités et aux assurances.
Un ransomware n’est pas une fatalité.
Ce qui fait la différence se résume à trois axes mesurables : sauvegardes isolées et testées, détection active et segmentation stricte, playbook entraîné et rôles clairs.
Chaque minute préparée aujourd’hui économise des heures demain.
Dans la cybersécurité comme en médecine, mieux vaut prévenir que subir.
Et quand ça frappe, la méthode bat la panique.

Articles récents

Le partenaire informatique “santé” qui booste votre C.A.

Vous êtes un laboratoire, une clinique, un centre médical ou dentaire ?

On optimise et sécurise votre informatique, augmente votre productivité, et vous aide à vivre votre meilleure vie.

Parlons de vos besoins