Aller au contenu
FRENFR-CAEN-CA
Contact
Cybersécurité 5 mai 2026 · 8 min de lecture

Anatomie d'une attaque ransomware sur PME — ce qu'on voit en 2026

Sept jours typiques entre la première compromission et le chiffrement. Le déroulé d'une attaque ransomware sur PME française en 2026, vu depuis notre SOC, avec les fenêtres d'opportunité pour la stopper.

Par Équipe Hexceos · Équipe SOC

Le mythe à corriger d’abord

Beaucoup de dirigeants se représentent une attaque ransomware comme un événement instantané — une seule action, un seul instant, écran rouge. La réalité, observée sur les incidents 2024-2025 traités chez nous : une attaque sur PME dure typiquement 5 à 9 jours entre la première compromission et le déclenchement du chiffrement.

Ces jours sont autant de fenêtres d’opportunité pour détecter, contenir, neutraliser.

Jour 0 — l’entrée

Trois vecteurs dominent en 2026 :

  • Phishing ciblé sur un compte à privilèges (50% des cas dans notre échantillon).
  • Exploitation d’une vulnérabilité réseau non patchée — VPN, RDP exposé, pare-feu, équipement IoT (25%).
  • Compromission d’un compte tiers — prestataire IT, fournisseur logiciel (15%). Le reste se répartit entre clés USB, social engineering vocal, et autres.

À ce stade, un EDR/XDR bien configuré détecte typiquement l’anomalie initiale dans 60% des cas. C’est notre première fenêtre.

Jours 1-2 — la reconnaissance

L’attaquant explore. Il liste les comptes Active Directory, les partages réseau, les serveurs critiques, identifie les sauvegardes, repère les comptes Service avec droits élevés. Cette phase laisse des traces (énumération anormale, requêtes LDAP atypiques, échec d’authentification en série) qu’un SOC humain qualifie en 10 à 30 minutes.

Sur les attaques que nous avons stoppées en 2025, 76% l’ont été à cette phase — bien avant le chiffrement.

Jours 3-5 — l’escalade et la latéralisation

L’attaquant obtient des droits administrateur (souvent via un compte de service mal protégé), bascule vers les serveurs critiques, désactive l’antivirus standard, identifie les sauvegardes pour les supprimer ou les chiffrer aussi.

C’est la phase la plus visible techniquement : multiples authentifications de comptes à privilèges depuis des postes inhabituels, désactivation de services de sécurité, accès aux serveurs de sauvegarde. Un XDR avec corrélation identité + endpoint + réseau lève l’alerte rouge automatiquement.

Jours 5-7 — l’exfiltration

Avant le chiffrement, les attaquants modernes exfiltrent vos données. C’est la double extorsion : non seulement vos systèmes sont chiffrés, mais une fuite publique est promise si vous ne payez pas. L’exfiltration utilise typiquement des canaux courants — cloud storage personnel, FTP sortant, parfois DNS exfiltration pour les attaquants sophistiqués.

Un pare-feu correctement configuré avec DLP, et une supervision sortante, lèvent l’alerte à cette phase.

Jour 7-9 — le chiffrement

L’événement visible. Le binaire de chiffrement est déclenché simultanément sur les machines compromises, souvent en dehors des heures ouvrées (vendredi soir, week-end, jours fériés). Le ransom note s’affiche, les sauvegardes en ligne sont déjà chiffrées ou supprimées, l’activité s’arrête.

À ce stade, il est presque toujours trop tard pour la prévention. La question devient : avez-vous des sauvegardes immuables hors ligne ? Un PRA testé ? Un plan de communication ? Une RC cyber ?

Les sept fenêtres d’opportunité

  1. Détection de l’entrée — EDR/XDR avec détection comportementale.
  2. Détection de la reconnaissance — corrélation logs Active Directory + endpoint.
  3. Détection des escalades de privilèges — XDR avec contexte identité.
  4. Détection de la désactivation des outils de sécurité — alerte automatique.
  5. Détection du mouvement latéral — supervision flux réseau interne.
  6. Détection de l’exfiltration — DLP + supervision sortante.
  7. Détection du déclenchement — réponse automatisée d’isolation.

Un SOC 24/7 humain bien outillé attrape 70 à 85% des attaques avant la phase d’exfiltration. Un EDR seul, mal supervisé, en attrape 15 à 30%.

Et si l’attaque réussit malgré tout

Trois éléments font la différence sur la phase de reprise :

  • Sauvegardes immuables hors ligne testées tous les trimestres.
  • PRA documenté avec RPO et RTO contractuels.
  • Cellule de crise activable en moins d’une heure avec compétences forensic, juridique, communication.

Notre SOC managé inclut la cellule de crise et la phase forensic dans le contrat. Notre datacenter souverain propose des sauvegardes immuables conformes aux exigences RGPD et HDS.

Article rédigé par l’équipe SOC Hexceos.

Discussion

Cet article
touche votre situation ?

30 minutes pour échanger, sans engagement commercial.

Demander un appel Toutes les ressources