Cybersécurité

Ransomware 2026 : les 7 vecteurs d'attaque et plan de défense

Les chiffres Cybermalveillance et ENISA convergent : le ransomware reste la première menace cyber 2026. Voici les 7 vecteurs dominants et le plan de défense correspondant.

Marc Aubert · Mis à jour le par Marc Aubert

Le ransomware n’est plus une menace émergente : c’est une menace installée, mature, industrialisée. Les rapports Cybermalveillance.gouv.fr [1] et l’ENISA Threat Landscape [2] convergent depuis quatre éditions : le rançongiciel reste, en 2026, la première cause d’incident cyber grave pour les entreprises françaises et européennes. La rentabilité de l’extorsion (double, voire triple : chiffrement, publication, déni de service) maintient une pression économique constante sur les groupes criminels.

Cet article propose une lecture défensive : les sept vecteurs d’attaque dominants, et le plan de défense correspondant. La logique : il n’y a pas de silver bullet, mais une discipline de défense en profondeur qui réduit la probabilité et l’impact.

État du paysage

Trois constats partagés par Cybermalveillance et l’ENISA :

  1. Volume stable, ciblage en hausse. Le nombre d’attaques signalées reste élevé, mais les groupes ciblent davantage les ETI et grandes entreprises (rentabilité), tout en continuant à frapper les collectivités, hôpitaux et PME via des affiliés moins qualifiés.
  2. Double extorsion généralisée. L’exfiltration de données avant chiffrement est devenue la norme. La menace de publication remplace ou complète la perte de disponibilité.
  3. Affaiblissement des sauvegardes. Les attaquants matures détruisent ou chiffrent les sauvegardes avant de déclencher le chiffrement de production. La résilience des sauvegardes est devenue le facteur discriminant.

Modèle économique des groupes. Le marché du ransomware s’est structuré autour du Ransomware-as-a-Service (RaaS). Quelques opérateurs développent le code malveillant et l’infrastructure (négociation, site de fuite, paiement) et délèguent l’exploitation à des “affiliés” qui touchent un pourcentage des rançons. Cette spécialisation explique la diversité des cibles : un même outil sert à attaquer une PME médicale comme une grande entreprise industrielle. Le démantèlement d’un opérateur (LockBit en 2024 par exemple) ne fait pas disparaître les affiliés, qui rejoignent d’autres plateformes.

Coût moyen d’incident. Les rapports Cybermalveillance et plusieurs études du secteur convergent : pour une PME ou ETI française, le coût total moyen d’un incident ransomware dépasse largement le montant médian des rançons. La perte d’exploitation, les frais de remédiation, les pénalités contractuelles et l’impact réputationnel pèsent davantage que la rançon elle-même. C’est cet équilibre qui justifie l’investissement préventif.

Vecteur 1 : Phishing et compromission d’identifiants

Le phishing reste le vecteur initial dominant. Les variantes (spear phishing, business email compromise) ciblent les utilisateurs disposant d’accès sensibles : finance, RH, administrateurs IT.

Défense.

  • MFA universelle, idéalement résistante au phishing (FIDO2, passkeys) pour les comptes sensibles.
  • Filtrage email avec sandboxing des pièces jointes et inspection des URLs au clic.
  • Formation et exercices réguliers, mais sans culpabilisation : un taux de clic résiduel est inévitable, la défense ne peut pas reposer sur l’utilisateur seul.
  • Désactivation des protocoles d’authentification legacy (POP3, IMAP basic, SMTP basic) qui contournent la MFA.

Vecteur 2 : RDP et VPN exposés

L’exposition de services d’administration ou d’accès distant directement sur Internet reste, en 2026, un vecteur courant. RDP en clair, VPN avec authentification simple, interfaces d’administration de pare-feu accessibles publiquement : autant d’angles d’attaque.

Défense.

  • Aucun service RDP ne doit être accessible directement depuis Internet. La règle est sans exception.
  • VPN avec MFA obligatoire, et de préférence remplacement progressif par un broker ZTNA qui ne donne accès qu’à des ressources précises (voir /cybersecurite/zero-trust-architecture-5-etapes/).
  • Audit régulier de l’exposition externe via des outils de découverte de surface d’attaque (EASM).
  • Application des correctifs des appliances VPN dans les 72 heures suivant la publication d’une CVE critique : les éditeurs VPN sont des cibles récurrentes.

Vecteur 3 : Vulnérabilités non patchées (CVE chaudes)

Plusieurs grandes vagues ransomware ont exploité des CVE critiques publiées et patchées plusieurs semaines à plusieurs mois avant l’attaque. La fenêtre d’exploitabilité (temps entre publication de la CVE et exploitation à grande échelle) se réduit : on observe désormais des exploitations sous 72 heures.

Défense.

  • Gestion des vulnérabilités prioritisée par exploitabilité (CVSS + EPSS + présence sur le catalogue KEV de la CISA, équivalents européens).
  • Engagement de service interne : CVE critique sur composant exposé patché sous 7 jours, idéalement 72 heures.
  • Inventaire à jour des composants : sans inventaire, la gestion des correctifs est aveugle.
  • Surveillance des bulletins du CERT-FR (ANSSI) et abonnement aux alertes éditeurs.

Vecteur 4 : Compromission de la chaîne d’approvisionnement logicielle

Compromission d’un éditeur, d’une bibliothèque open source ou d’un MSP : l’attaque par supply chain transforme un compromis en compromis de tous ses clients. Les épisodes SolarWinds, Kaseya, 3CX, et plus récemment les compromissions de bibliothèques npm et PyPI, ont documenté le phénomène.

Défense.

  • SBOM (Software Bill of Materials) pour les applications critiques : connaître les composants pour réagir vite quand l’un est compromis.
  • Restriction des privilèges des agents tiers (MSP, MDR, outils SaaS) : principe du moindre privilège, segmentation, journalisation.
  • Vérification d’intégrité des paquets logiciels (signatures, hashes, dépôts internes).
  • Clauses contractuelles avec les fournisseurs (notification d’incident, audit, sécurité), exigées par NIS2.

Vecteur 5 : Comptes Active Directory à privilèges

Active Directory reste la cible privilégiée. Une fois un compte administrateur compromis, l’attaquant peut désactiver l’EDR, supprimer les sauvegardes, déployer le ransomware par GPO et toucher l’ensemble du SI en quelques heures.

Défense.

  • Modèle Tier 0 / Tier 1 / Tier 2 : séparation stricte des comptes administrateurs selon le périmètre administré.
  • PAM (Privileged Access Management) : vault, rotation, sessions enregistrées, pas de mots de passe en clair.
  • Durcissement AD : suppression des comptes obsolètes, audit des délégations, surveillance des groupes sensibles (Domain Admins, Enterprise Admins).
  • Pas de compte administrateur de domaine sur un poste utilisateur, jamais.
  • Sauvegardes AD hors ligne, restauration testée.

Vecteur 6 : Sauvegardes accessibles depuis le SI compromis

Une sauvegarde joignable depuis le SI compromis n’est pas une sauvegarde, c’est une cible. Les groupes ransomware mature ciblent systématiquement les serveurs de sauvegarde avant de déclencher le chiffrement.

Défense.

  • Règle 3-2-1 : trois copies, sur deux supports différents, dont une hors site.
  • Immutabilité : les sauvegardes ne peuvent pas être modifiées ni supprimées pendant leur période de rétention, même par un administrateur. Les solutions modernes (object lock S3, snapshots immuables, bandes physiques) répondent à cette exigence.
  • Déconnexion logique : le serveur de sauvegarde ne doit pas être joint au domaine Active Directory de production. Authentification distincte, segmentation réseau stricte.
  • Test de restauration trimestriel sur un périmètre représentatif : sauvegarde non testée = sauvegarde inutile.

Vecteur 7 : Vishing, MFA fatigue et ingénierie sociale

Les techniques sociales se déplacent. Le phishing email est de mieux en mieux filtré : les attaquants se reportent sur le téléphone (vishing), le SMS (smishing), les messageries professionnelles (Teams, Slack) et les notifications push MFA (MFA fatigue : noyer l’utilisateur de demandes d’approbation jusqu’à ce qu’il valide).

Défense.

  • Sensibilisation ciblée sur ces nouvelles techniques (support IT, RH, finance principalement).
  • MFA résistante au phishing : passkeys ou FIDO2 ne sont pas vulnérables à la MFA fatigue.
  • Number matching activé sur les push MFA (l’utilisateur doit saisir un code affiché à l’écran d’origine).
  • Procédure formelle pour les demandes de reset MFA ou de modification de coordonnées bancaires : double validation, canal indépendant.
  • Limitation du nombre de tentatives MFA par compte et par heure : la MFA fatigue suppose un volume massif, un quota strict bloque l’attaque mécaniquement.
  • Surveillance des demandes inhabituelles au support IT : pic d’appels pour reset MFA d’une même équipe, demande de changement de RIB fournisseur en urgence, demande d’accès exceptionnel avec contournement de procédure. Ces signaux faibles sont souvent les premiers indices d’une campagne ciblée.

Plan de défense en 8 points

Aucune mesure ne suffit seule. La doctrine reste la défense en profondeur. Les huit points ci-dessous couvrent l’essentiel du risque ransomware en 2026.

MesureCouvre les vecteursEffort
1. MFA universelle (phishing-resistant si possible)1, 2, 5, 7Faible à moyen
2. EDR sur tous les endpoints, alertes 24/71, 3, 5Moyen
3. Gestion correctifs prioritisée (KEV, EPSS)3, 4Moyen
4. PAM et durcissement Active Directory5Élevé
5. Sauvegardes 3-2-1 immuables, hors domaine6Moyen
6. Détection-réponse 24/7 (MDR/XDR interne ou externe)tousÉlevé
7. PCA testé annuellement, scénario ransomware inclustousMoyen
8. Trajectoire Zero Trust progressivetousLong terme

Sur le point 6, voir le comparatif EDR / MDR / XDR pour cadrer le choix d’externalisation ou non. Sur le point 8, voir le déploiement Zero Trust en cinq étapes.

Que faire en cas d’attaque

Si malgré les mesures un ransomware est détecté, la doctrine ANSSI [3] et les guides Cybermalveillance.gouv.fr sont clairs.

Premières heures.

  • Isoler les systèmes touchés (déconnexion physique ou logique du réseau) sans éteindre les machines : les données en mémoire (RAM) sont utiles à l’investigation.
  • Activer la cellule de crise prévue dans le PCA.
  • Conserver les preuves : journaux, machines, échantillons de fichiers chiffrés.

Déclarations obligatoires.

  • ANSSI / CERT-FR pour les OIV, OSE, entités essentielles NIS2.
  • CNIL sous 72 heures si données personnelles compromises [4].
  • Dépôt de plainte au commissariat ou en ligne via Cybermalveillance.gouv.fr [5] : nécessaire pour l’assurance et exigé par la LOPMI pour ouvrir l’indemnisation.

Communication.

  • Information des clients et partenaires : transparence factuelle, sans détails techniques exploitables. Sans communication maîtrisée, les rumeurs aggravent l’impact réputationnel.
  • Préparer un communiqué type en amont, à l’avance, fait partie du PCA.

Ne pas payer.

La position officielle des autorités françaises est de ne pas payer la rançon [3]. Payer n’offre aucune garantie de récupération, alimente l’écosystème criminel, expose à une nouvelle attaque et peut constituer un risque juridique (sanctions internationales, financement d’activités criminelles). La voie unique reste la restauration depuis sauvegardes, avec accompagnement éventuel d’un prestataire de réponse à incident qualifié PRIS par l’ANSSI.

Préparer la résilience en amont

La gestion d’un incident ransomware ne s’improvise pas le jour J. Trois chantiers préparatoires conditionnent la qualité de la réponse.

Plan de continuité d’activité (PCA) testé. Un PCA documenté qui n’a jamais été exercé ne vaut rien. L’exercice doit reproduire les conditions réelles : indisponibilité de la messagerie, du téléphone IP, de l’annuaire, des outils collaboratifs. Les communications de crise se préparent sur des canaux indépendants (téléphones mobiles personnels avec numéros enregistrés, messagerie out-of-band, fournisseur SMS de secours). Un exercice annuel “crise cyber” associant direction générale, communication, juridique et IT est désormais une recommandation explicite de l’ANSSI.

Cartographie des dépendances. En cas d’attaque, certaines décisions critiques (couper Internet, isoler des sites, désactiver des comptes) ont des effets en cascade. La cartographie des dépendances applicatives et fournisseurs permet d’arbitrer en quelques minutes plutôt qu’en quelques heures.

Accord-cadre avec un prestataire de réponse à incident. Une fois l’incident déclaré, il est trop tard pour négocier des conditions contractuelles. Les prestataires qualifiés PRIS (Prestataires de Réponse à Incident de Sécurité) reconnus par l’ANSSI proposent des accords-cadres avec engagement d’intervention en quelques heures. Le coût annuel d’un tel contrat reste très inférieur au coût d’un incident géré sans accompagnement.

Provisionnement budgétaire. La remédiation d’un ransomware coûte. Un budget de réponse à incident, distinct du budget cyber courant, permet d’engager rapidement les actions nécessaires sans passer par des arbitrages bloquants. Pour les entités essentielles NIS2, cette ligne budgétaire devient une exigence implicite de la gestion des risques.

Coffre-fort de documents critiques. Un dossier de réponse à incident préparé en amont (annuaire de crise, contrats fournisseurs, procédures de restauration, contacts ANSSI et CNIL, modèles de communiqués) doit être accessible même en cas de compromission complète du SI. La pratique consiste à conserver une copie chiffrée hors ligne, accessible via un canal indépendant (clé USB stockée dans un coffre, espace cloud personnel d’un dirigeant en compte distinct), avec une revue annuelle de la fraîcheur des informations.

À retenir

Le ransomware reste la menace cyber n°1 en 2026 selon Cybermalveillance et l’ENISA. Les sept vecteurs dominants sont connus, stables et documentés : phishing, exposition RDP/VPN, vulnérabilités non patchées, supply chain logicielle, comptes Active Directory à privilèges, sauvegardes accessibles, ingénierie sociale par téléphone. Le plan de défense tient en huit points qui couvrent l’essentiel : MFA universelle, EDR, correctifs prioritisés, PAM, sauvegardes immuables, détection 24/7, PCA testé, trajectoire Zero Trust progressive. En cas d’attaque, la position officielle est claire : ne pas payer, déclarer, restaurer.

Sources

[1] Cybermalveillance.gouv.fr, Rapport d’activité annuel. https://www.cybermalveillance.gouv.fr/ [2] ENISA, Threat Landscape. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024 [3] ANSSI, Attaques par rançongiciels : que faire ?. https://www.ssi.gouv.fr/entreprise/precautions-elementaires/attaques-par-rancongiciels-que-faire/ [4] CNIL, Notifier une violation de données personnelles. https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles [5] Cybermalveillance.gouv.fr, Dépôt de plainte cyberattaque. https://www.cybermalveillance.gouv.fr/

Questions fréquentes

Faut-il payer une rançon ransomware ?

Non. La position officielle de l'ANSSI et du ministère de l'Intérieur est de ne pas payer. Payer n'offre aucune garantie de récupération des données, alimente l'écosystème criminel et expose à une nouvelle attaque (les victimes payantes sont souvent re-ciblées). Le paiement peut également constituer un risque juridique (financement d'activités criminelles, sanctions internationales). La priorité reste la déclaration aux autorités, le dépôt de plainte et la restauration depuis sauvegardes.

Quelle est la différence entre ransomware et double extorsion ?

Le ransomware classique chiffre les données et exige une rançon contre la clé de déchiffrement. La double extorsion ajoute une exfiltration préalable des données : l'attaquant menace de publier les données volées en plus de les chiffrer. Depuis 2022, la double extorsion est devenue la norme. La défense doit donc couvrir à la fois la disponibilité (sauvegardes immuables) et la confidentialité (chiffrement, segmentation des données sensibles).

L'assurance cyber couvre-t-elle le paiement de la rançon ?

La situation a évolué. La Loi du 24 janvier 2023 d'orientation et de programmation du ministère de l'Intérieur (LOPMI) encadre l'indemnisation des cyber-rançons : elle exige un dépôt de plainte dans les 72 heures et n'est ouverte qu'aux contrats souscrits par des professionnels. De nombreux assureurs excluent désormais le remboursement de la rançon elle-même, tout en couvrant les frais de remédiation, d'enquête et de pertes d'exploitation.

Combien de temps prend la remédiation d'une attaque ransomware ?

Selon les rapports Cybermalveillance et les retours d'expérience publics, la remédiation complète prend entre 3 semaines (cas favorable, sauvegardes saines, périmètre limité) et 6 mois (cas grave, Active Directory compromis, reconstruction complète). La perte d'exploitation moyenne se mesure en dizaines de jours pour les PME et ETI. C'est cette durée d'indisponibilité qui détermine le coût total, davantage que la rançon elle-même.

Sources citées

  1. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2024-cybermalveillance
  2. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  3. https://www.ssi.gouv.fr/entreprise/precautions-elementaires/attaques-par-rancongiciels-que-faire/
  4. https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
  5. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/depot-de-plainte-cyberattaque
#ransomware#menaces#edr#sauvegardes#rssi
Cybersécurité

Cybersécurité entreprise : l'observatoire 2026 (NIS2, DORA, ReCyF, attaques, marché FR)

Ce qu'un DSI ou RSSI doit retenir de la cybersécurité d'entreprise en 2026 : NIS2, DORA, ReCyF ANSSI, détection, marché français et obligations à venir.
Cybersécurité

DORA : obligations cyber du secteur financier au 17 janvier 2025

Le règlement DORA est en vigueur depuis le 17 janvier 2025. Périmètre, obligations, tests, prestataires tiers critiques : ce qu'un RSSI bancaire ou assureur doit retenir.
Cybersécurité

EDR vs MDR vs XDR : comparatif RSSI 2026 (différence et choix)

Trois acronymes, trois logiques. EDR, MDR et XDR répondent à trois questions distinctes. Voici la matrice de décision pour un RSSI en 2026.