Skip to content

Qu'est-ce qu'un ransomware, et décrivez-moi comment réagir lorsqu'il chiffre activement les systèmes.

Réponse courte

Un ransomware est un malware qui chiffre (et de plus en plus exfiltre) des données, puis exige un paiement. En cas actif : isoler les hôtes touchés du réseau sans les éteindre si vous pouvez préserver la mémoire, cerner l'ampleur, le patient zéro et la souche, préserver les preuves, trouver et évincer le point d'ancrage et toute porte dérobée, puis restaurer depuis des sauvegardes hors ligne réputées saines. Payer est un dernier recours et ne garantit jamais la récupération.

Un ransomware est un malware qui bloque l'accès aux données, classiquement en chiffrant les fichiers et en exigeant un paiement pour la clé. Les opérateurs modernes ajoutent la double extorsion — voler les données d'abord et menacer de les divulguer — de sorte que même des sauvegardes parfaites ne suppriment pas le levier. Les recruteurs veulent une réponse calme et ordonnée, pas de la panique.

Confiner d'abord

La priorité est de stopper la propagation. Isolez les hôtes touchés — coupez l'accès réseau, désactivez les comptes, segmentez le VLAN — idéalement sans éteindre les machines, car la RAM contient des clés, du code injecté et d'autres preuves volatiles qui disparaissent à l'arrêt. Si un hôte doit s'éteindre pour sauver des données, documentez la décision.

Cerner et identifier

Déterminez jusqu'où elle s'est propagée, trouvez le patient zéro et le vecteur d'accès initial (phishing, RDP exposé, un VPN non corrigé), et identifiez la souche (note de rançon, extension de fichier, échantillon sur ID-Ransomware). Connaître la souche vous dit si un déchiffreur gratuit existe et comment le groupe opère généralement.

Éradiquer et restaurer

Trouvez et supprimez le point d'ancrage et toute porte dérobée ou nouveau compte créés par les opérateurs — restaurer pendant que l'attaquant a encore accès vous fait juste rechiffrer. Puis restaurez depuis des sauvegardes réputées saines, hors ligne ou immuables, en reconstruisant plutôt qu'en faisant confiance aux hôtes compromis. Réinitialisez largement les identifiants, car ils ont probablement été récoltés. Tout du long, préservez les preuves pour la forensique, l'assurance et toute saisine des forces de l'ordre.

À propos du paiement

Traitez le paiement comme un dernier recours : il finance le crime, peut enfreindre des sanctions, ne garantit pas un déchiffreur fonctionnel et n'annule pas le vol de données. La décision est juridique et exécutive, pas celle de l'analyste.

Pourquoi c'est important

Une bonne réponse suit le cycle de vie de la réponse à incident, privilégie l'isolation à l'arrêt-panique, insiste sur la préservation des preuves et les sauvegardes hors ligne saines, et montre la conscience que l'exfiltration change le calcul. Cela signale du sang-froid face à l'un des incidents les plus sous pression qu'un SOC affronte.

Questions de suivi probables

  • Pourquoi isoler plutôt qu'éteindre immédiatement une machine infectée ?
  • Qu'est-ce que la « double extorsion » et comment change-t-elle la réponse ?
  • Pourquoi les sauvegardes doivent-elles être hors ligne ou immuables pour être fiables ici ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.