Les rançongiciels ont évolué et sont devenus plus dangereux. En cas d’attaque, les rançongiciels sont aujourd’hui plus destructeurs et plus difficiles à combattre que jamais. De nombreuses entreprises sont victimes de telles attaques et subissent ainsi des millions de dommages. Dans cet article de blog, nous examinons comment les attaques modernes de rançongiciel se déroulent, nous partageons des exemples de telles attaques et nous discutons des solutions de sécurité telles que la microsegmentation pour lutter contre les rançongiciels.
Marks & Spencer (M&S) est une entreprise multinationale de vente au détail basée au Royaume-Uni qui compte près de 1 400 magasins dans le monde. Plus récemment, M&S a annoncé un chiffre d’affaires de plus de 18,8 milliards de dollars américains. Outre ses magasins physiques, l’entreprise dispose d’une forte présence en ligne qui contribue à la croissance de son chiffre d’affaires.1
En avril 2025, l’entreprise a été victime d’une attaque de rançongiciel qui a paralysé ses activités pendant des semaines et a considérablement affecté son chiffre d’affaires pendant la semaine de Pâques. Il s’agissait d’une attaque de hameçonnage et d’ingénierie sociale menée par des criminels dans le cyberespace (Scattered Spider et DragonForce). Les pirates ont obtenu l’accès aux systèmes critiques de M&S via les systèmes de helpdesk (probablement gérés par un prestataire de services externe).
Des attaquants avaient obtenu l’accès et pris position sur le réseau. Ils y ont ensuite déployé un rançongiciel qui a chiffré certains systèmes de l’entreprise. M&S a immédiatement réagi en bloquant quelques-uns de ses systèmes afin d’éviter que le rançongiciel ne se propage davantage. Dans l’intervalle, l’entreprise a eu recours à des méthodes manuelles éprouvées pour maintenir ses activités. Mais les revenus du commerce électronique ont chuté de manière spectaculaire sur une période d’environ six semaines ou plus.2
Les pertes sont estimées à environ 400 millions de dollars américains. Le cours de l’action du détaillant s’est également effondré, ce qui a entraîné une perte de valeur marchande de plusieurs centaines de millions de dollars. L’entreprise a également confirmé que des données de clients avaient également été volées.3
Bien que l’entreprise ait disposé de mesures de sécurité étendues, l’incident a clairement montré que ces mesures n’étaient pas suffisantes, notamment en ce qui concerne la protection contre les attaques de rançongiciel. Après que l’entreprise a collaboré avec plusieurs autorités de sécurité, les systèmes ont pu être restaurés quelques semaines après l’attaque. M&S prévoit d’augmenter ses investissements dans la sécurité afin de mieux armer l’entreprise contre les cyberattaques.
Au fil des années, les rançongiciels se sont développés rapidement. Les attaques modernes ne reposent plus exclusivement sur le cryptage des fichiers. Au lieu de cela, un modèle d’extorsion plus complexe est utilisé, dans lequel les données sont volées avant d’être cryptées et menacées d’être divulguées. Des attaques DDoS sont alors lancées ou les autorités et les clients sont informés afin de contraindre les victimes à payer.
Les attaques de rançongiciel d’aujourd’hui n’impliquent pas nécessairement le chiffrement des données, qui était la norme il y a quelques années. Environ 30 % des entreprises (de 501 à 5 000 salariés) sont concernées à la fois par le chiffrement et le vol de données.4
De telles stratégies d’attaque sont très ciblées : les pirates utilisent la manipulation sociale, des fournisseurs tiers compromis et des informations d’identification volées pour accéder aux réseaux et continuer à se déplacer dans le système. De nombreuses attaques sont désormais dirigées par des humains, et l’IA est même utilisée pour automatiser la reconnaissance (c.-à-d. la collecte d’informations) et contourner les systèmes de détection.
Les infrastructures critiques et la technologie opérationnelle, telles que les usines de production et les hôpitaux, sont devenues des cibles d’attaque parce qu’elles dépendent souvent de systèmes obsolètes et présentent un risque élevé de perturbation. Cette évolution a conduit les rançongiciels à se transformer en une industrie professionnalisée et axée sur le profit. Des mesures de protection traditionnelles telles que les sauvegardes de données ne suffisent plus, il faut à la place des mesures de lutte contre les rançongiciels avancées.
Outre les conséquences financières, les services de sécurité des entreprises souffrent d’un stress accru et d’un sentiment de culpabilité après une attaque de rançongiciel. C’est pourquoi les entreprises doivent absolument déterminer les causes des attaques de rançongiciel. Les causes les plus fréquentes sont les failles de sécurité, les informations d’identification compromises, les e-mails malveillants, les attaques par hameçonnage, les attaques par force brute et les téléchargements.
De nombreuses entreprises considèrent que des mesures de sécurité insuffisantes sont l’une des principales raisons des attaques de rançongiciel – en plus de facteurs tels que le manque d’expertise et une sensibilisation insuffisante aux failles de sécurité existantes.
Ce dont ils ont besoin pour être armés contre les nouveaux rançongiciels, c’est d’une approche de la sécurité à plusieurs niveaux qui comprend la segmentation du réseau, l’architecture Zero Trust, la détection et la réponse des terminaux (EDR) et la surveillance active des menaces. Dans ce billet de blog, nous expliquons comment la microsegmentation peut aider les entreprises à empêcher la propagation des attaques de rançongiciel.
Lors d’une attaque de rançongiciel, la microsegmentation est un mécanisme essentiel pour contenir et contrôler la zone de dommages potentiels. Contrairement à la segmentation traditionnelle du réseau, qui repose sur des limites globales et spécifiques au périmètre, telles que les réseaux locaux virtuels (Virtual Local Access Networks, VLAN) ou les sous-réseaux, la microsegmentation met en œuvre des politiques de sécurité précises et axées sur les applications au niveau de la charge de travail ou de l’hôte. Cela permet aux entreprises de limiter le trafic de données entre les appareils au sein du même réseau ou datacenter (également appelé trafic de données Est-Ouest). Si une variante de rançongiciel s’attaque à un point final, elle ne peut alors pas s’infiltrer latéralement dans d’autres systèmes et les infecter.
D’un point de vue technique, la microsegmentation est mise en œuvre à l’aide de contrôles de sécurité logiciels qui agissent au niveau du noyau ou de l’hyperviseur et utilisent souvent des agents installés sur des points finaux, des machines virtuelles ou des conteneurs. Ces mécanismes de contrôle fonctionnent indépendamment de l’infrastructure réseau sous-jacente, ce qui est particulièrement avantageux dans les environnements dynamiques tels que les centres de données ou les systèmes de cloud hybride.
Par exemple, une politique de microsegmentation Zero Trust peut limiter la communication entre un serveur web et un serveur de fichiers, à moins que celle-ci ne soit explicitement autorisée sur la base de l’identité, du rôle ou du processus. Cela empêche tout accès non autorisé, même si l’attaquant obtient des informations d’identification valides ou exploite une faille de sécurité sur un hôte.
Dans un scénario de rançongiciel, la microsegmentation offre deux fonctions : la prévention et l’endiguement. Premièrement, elle réduit drastiquement la surface sur laquelle un accès horizontal est possible en imposant le principe du moindre privilège. Deuxièmement, pendant une attaque active, elle permet d’isoler en temps réel les charges de travail infectées sans affecter le fonctionnement des services non concernés. Cette mesure d’endiguement empêche non seulement le rançongiciel de chiffrer les systèmes critiques ou les sauvegardes, mais donne également aux équipes de sécurité le temps nécessaire pour enquêter sur l’incident et y remédier.
En outre, les politiques de microsegmentation peuvent être intégrées à des systèmes de gestion des informations et des événements de sécurité (SIEM) ou à des plateformes avancées de détection et d’élimination (XDR) afin de déclencher des réponses automatiques basées sur des comportements suspects, comme le blocage du trafic réseau, la mise en quarantaine des systèmes affectés ou l’envoi d’alertes.
En résumé, la microsegmentation transforme la sécurité des réseaux, passant d’un modèle de protection à l’épreuve des périmètres à une solution de sécurité décentralisée et contextuelle. Il s’agit d’une caractéristique de sécurité fondamentale pour les architectures Zero Trust qui offre une protection décisive contre la propagation des rançongiciels. C’est pourquoi les entreprises qui accordent de l’importance à la cyber-résilience devraient mettre en œuvre la microsegmentation comme élément central de leur stratégie de sécurité à plusieurs niveaux.
Selon Gartner, d’ici 2027, environ 25 % des entreprises qui utilisent une technologie Zero Trust auront mis en œuvre plus d’une solution de microsegmentation. Gartner prévoit également que de plus en plus d’entreprises adopteront la microsegmentation pour obtenir une segmentation plus précise du réseau, mettre en œuvre des politiques au niveau de la charge de travail, obtenir une visibilité sur le trafic réseau et gérer les politiques de charge de travail à grande échelle.6
Retour sur l’attaque de rançongiciel contre M&S : appliquer la microsegmentation aurait pu ici réduire considérablement les dommages, car elle aurait empêché les attaquants de se propager davantage au sein du réseau interne. La faille de sécurité avait été créée par un prestataire de services externe et s’était ensuite étendue aux secteurs clés de la vente au détail et aux systèmes de commerce électronique. Une microsegmentation aurait permis de mettre en place des contrôles stricts, basés sur des règles, entre les différentes parties du système, par exemple en séparant les zones d’accès des prestataires de services externes des systèmes de production ou en isolant les applications de commerce électronique des bases de données backend et des systèmes de paiement.
Cela aurait bloqué les voies de communication non autorisées et empêché le rançongiciel de se propager au-delà des points finaux initialement infectés, garantissant ainsi le bon fonctionnement des systèmes critiques. De plus, les temps d’arrêt auraient probablement été beaucoup plus courts.
La microsegmentation ne bloque pas seulement les menaces, elle offre également une visibilité complète sur le trafic réseau au niveau des applications et des charges de travail. Contrairement aux pare-feu traditionnels qui surveillent le trafic réseau entre différentes zones, les outils de microsegmentation (comme Akamai Guardicore) indiquent quels appareils communiquent entre eux, quels services sont utilisés et si cette communication est nécessaire. Qu’il s’agisse d’un environnement cloud, on-premise ou hybride : cette visibilité aide les équipes informatiques à identifier les mauvaises configurations, les systèmes de Shadow IT et les comportements à risque. C’est comme si on allumait la lumière dans un réseau.
Pourtant, cette forme de transparence est essentielle pour la sécurité et la conformité. Elle permet aux entreprises de saisir les dépendances entre les applications, de détecter les connexions non autorisées et de créer des règles d’accès extrêmement précises. Pendant une attaque, les mouvements latéraux peuvent être détectés plus rapidement et endigués de manière ciblée. En outre, les normes de conformité telles que HIPAA, PCI ou SOC 2 sont prises en charge en indiquant quels systèmes interagissent avec des données sensibles et en s’assurant que les politiques de segmentation sont respectées.
Un prestataire de soins de santé américain a mis en œuvre la solution de segmentation du réseau Akamai Guardicore, ce qui lui a permis d’avoir une visibilité immédiate sur le trafic réseau interne. Dès le premier jour, plus de 4 000 tentatives d’attaques ont été détectées. L’équipe a pu identifier un appareil mal configuré et contrôler la communication entre les appareils du réseau. Il a ainsi été possible d’améliorer la sécurité, de réduire la surface d’attaque et d’améliorer la conformité, le tout avec une équipe réduite et sans affecter les soins aux patients ou les systèmes existants.7
La plupart des cyberattaques restent invisibles pour les entreprises. Avec les bons outils, il est toutefois possible de détecter et de contrer de telles menaces. Le nombre d’attaques contre une entreprise peut se compter par milliers chaque jour, chaque tentative pouvant conduire à une cyberattaque de grande envergure. Selon un rapport de Microsoft, environ 600 millions de tentatives d’attaques sont enregistrées dans le monde en une journée moyenne.8
Les entreprises qui mettent en œuvre la microsegmentation sont mieux protégées contre les menaces internes et les activités postérieures à l’incident de sécurité, telles que la propagation horizontale des rançongiciels ou l’élévation des privilèges. Le trafic étant limité à ce qui est expressément autorisé, il est moins probable que des appareils ou des comptes d’utilisateurs compromis mettent en péril d’autres ressources, notamment des données sensibles telles que des données financières, la propriété intellectuelle ou des données clients protégées.
Du point de vue de l’entreprise, cela se traduit par une réduction des risques en matière de cybersécurité, des coûts moindres en cas de violation de la sécurité et, par conséquent, une plus grande stabilité opérationnelle. La microsegmentation aide également les entreprises à se conformer à toutes les exigences de conformité (telles que PCI DSS, HIPAA et RGPD) en assurant la séparation des environnements de données sensibles. En outre, elle simplifie la réponse aux incidents en réduisant les surfaces d’attaque et en accélérant l’endiguement.
Caractéristiques
Avantages
La lutte contre les rançongiciels nécessite une solide expertise en cybersécurité, une visibilité en temps réel et un système de sécurité à plusieurs niveaux. T-Systems est un fournisseur de services gérés de détection et de réponse (MDR) et offre à ses clients l’expertise nécessaire grâce à une surveillance 24h/24 et 7j/7 via un Security Operations Center (SOC), une analyse des menaces et des technologies de pointe, dont la solution de microsegmentation d’Akamai Guardicore. Grâce à de puissantes fonctions de prévention, à une réaction rapide aux incidents et à une recherche proactive des menaces, T-Systems permet aux entreprises de se défendre contre les menaces complexes de rançongiciel tout en préservant la continuité de leurs activités et en assurant la confiance.
Pour vous protéger contre les attaques modernes de rançongiciel, contactez-nous dès aujourd’hui.
1 Marks and Spencer Statistics, 2025, Statista
2 M&S Cyber Attack Article, 2025, BBC
3 Marks & Spencer Breach, 2025, Blackfog
4 The State of Ransomware Report, 2025, Sophos
5 The State of Ransomware Report, 2025, Sophos
6 Market Guide for Microsegmentation, 2025, Gartner
7 Healthcare Case Study, 2025, Akamai
8 Microsoft Digital Defense Report, 2024, Microsoft.
