Skip to content

Un rançongiciel est en train de chiffrer activement les partages de fichiers sur tout le réseau, maintenant. Quelle est votre première priorité ?

Réponse courte

Le confinement prime sur la restauration prématurée : stoppez la propagation en isolant les segments touchés et en coupant le vecteur — désactivez le compte de service abusé, bloquez SMB entre segments, retirez l'hôte de staging — tout en préservant les preuves, puis éradiquez et restaurez. Restaurer dans un réseau qui chiffre encore reperd les données restaurées. Payer la rançon n'arrête pas le chiffrement en cours et comporte un risque légal et de sanctions. Couper le courant de toutes les machines détruit les preuves volatiles et peut corrompre des fichiers en cours d'écriture, compliquant une restauration propre.

Quand un rançongiciel chiffre activement, chaque seconde de propagation représente plus de données détruites et plus d'hôtes à restaurer. L'instinct d'un répondeur faible est de lancer la restauration ou de faire cesser le chiffrement en payant — deux choix qui échouent car ils ignorent que le moteur de propagation tourne encore. La bonne première priorité est le confinement.

Pourquoi le confinement passe en premier

Les rançongiciels modernes se propagent via des comptes privilégiés abusés, SMB, PsExec/WMI, les GPO ou un outillage RMM compromis. Si vous ne coupez pas ce chemin, le rayon d'impact continue de grandir. Contenir signifie : isoler les segments réseau touchés, désactiver le compte de service/domaine compromis que le malware utilise pour s'authentifier, bloquer SMB entre segments, et mettre hors ligne l'hôte de staging/distribution. Faites-le en préservant les preuves — vous aurez besoin des IOC et de l'histoire de l'accès initial pour le cadrage et l'éradication. Ce n'est qu'après avoir stoppé la propagation et éradiqué la persistance que vous passez à la restauration depuis des sauvegardes saines.

Pourquoi les autres options sont fausses

  • Restaurer depuis les sauvegardes immédiatement — restaurer dans un réseau qui chiffre encore signifie que vos partages fraîchement restaurés sont chiffrés à leur tour. Vous brûlez votre fenêtre de restauration et pouvez reperdre les données. La restauration est la dernière phase, pas la première.
  • Payer la rançon — le paiement ne fait rien pour arrêter un chiffrement déjà en cours, peut violer des sanctions ou obligations légales, finance l'adversaire et n'offre aucune garantie de déchiffreur fonctionnel. Il laisse aussi l'intrusion et la persistance intactes.
  • Couper le courant au disjoncteur — une masse qui détruit les preuves volatiles (mémoire, clés de chiffrement parfois encore résidentes, état des processus actifs) et peut corrompre des fichiers en cours d'écriture, laissant les systèmes dans un état incohérent plus difficile à restaurer. L'isolation ciblée confine sans les dommages collatéraux.

Ce que le recruteur évalue

Il veut un répondeur senior qui ordonne correctement le cycle de réponse sous pression — contenir, puis éradiquer, puis restaurer — et qui identifie et coupe le mécanisme de propagation plutôt que de poursuivre les hôtes chiffrés un par un. Nommer le compte abusé et SMB comme cibles à couper, tout en préservant les preuves, signale une vraie maturité opérationnelle.

Questions de suivi probables

  • Comment isolez-vous les segments rapidement sans perdre les preuves forensiques nécessaires au cadrage ?
  • Quels vecteurs de propagation au-delà de SMB vérifieriez-vous — GPO, PsExec, outillage RMM, tâches planifiées ?
  • Quand la restauration depuis sauvegarde est-elle sûre, et comment vérifiez-vous que les sauvegardes elles-mêmes ne sont pas chiffrées ou piégées ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.