La dimension ransomware de NIS2

Le considérant 54 de NIS2 aborde le ransomware comme une menace stratégique. Découvrez comment la directive traite ce risque persistant et ce que cela signifie pour votre organisation.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 29 Jun 2026 · 13 min de lecture
NIS2
La dimension ransomware de NIS2

Qui devrait lire ceci: les RSSI, les directeurs de la sécurité, les dirigeants, les responsables des risques, les équipes de réponse aux incidents, les agents de liaison avec les forces de l’ordre et les décideurs politiques.

Le ransomware est devenu la principale cybermenace pour les organisations européennes. Entre 2020 et 2024, la fréquence des attaques par ransomware a explosé, les demandes de rançon ont grimpé en flèche et les modèles économiques qui soutiennent le ransomware sont devenus de plus en plus sophistiqués. Aucun secteur n’est épargné: hôpitaux, banques, écoles, industriels, collectivités locales et services publics ont tous été touchés. Certaines attaques provoquent des perturbations mettant des vies en danger. D’autres entraînent une catastrophe financière. La directive NIS2 répond à cette menace en accordant une place explicite au ransomware dans sa politique. Le considérant 54 reconnaît l’urgence et appelle les États membres et les entités régulées à élaborer des stratégies globales contre le ransomware. Cet article explique la menace, pourquoi NIS2 en fait une priorité stratégique et ce que la directive exige.

Le ransomware est une catégorie de logiciels malveillants qui chiffre les données et les systèmes d’une organisation, les rendant inaccessibles. L’attaquant exige ensuite un paiement (une rançon) en échange des clés de déchiffrement. Il peut également menacer de publier les données chiffrées sur Internet si le paiement n’est pas effectué, ajoutant un second levier de pression. La combinaison de la perturbation opérationnelle (les systèmes de la victime ne fonctionnent plus) et du risque de fuite de données (les secrets de la victime seront exposés) crée une pression énorme pour payer.

L’économie du ransomware est simple: les attaquants choisissent des cibles pour lesquelles la demande de rançon dépasse le coût de l’attaque. Un industriel peut perdre 10 000 € par heure d’arrêt, si bien qu’une rançon de 100 000 € peut sembler bon marché. Un hôpital dont la vie des patients est en jeu paiera des rançons plus élevées. Une collectivité locale au budget limité est contrainte de choisir entre payer et rester hors ligne pendant des semaines. Les montants sont souvent calibrés; les attaquants évaluent la capacité de paiement probable de la victime et fixent le prix en conséquence.

Le considérant 54 identifie les facteurs structurels qui alimentent la croissance du ransomware: «La fréquence et la gravité croissantes des attaques par ransomware peuvent être dues à plusieurs facteurs, tels que différents modes opératoires, des modèles économiques criminels autour du “ransomware en tant que service” et des cryptomonnaies, les demandes de rançon et la montée des attaques sur la chaîne d’approvisionnement.»

Cela mérite d’être décortiqué. Différents modes opératoires signifient que le ransomware n’est pas statique. Les attaquants font évoluer leurs techniques pour contourner les défenses. Certains utilisent le harponnage pour compromettre des administrateurs. D’autres exploitent des vulnérabilités dans les systèmes exposés à Internet. D’autres encore compromettent des fournisseurs et s’en servent comme points d’entrée. La diversité des modes opératoires rend la défense difficile. Aucun contrôle unique n’arrête tous les ransomwares.

Le Ransomware en tant que Service est un développement particulièrement préoccupant. Des groupes cybercriminels professionnels développent des ransomwares et les louent à d’autres criminels. Le groupe professionnel gère les opérations d’arrière-plan: gestion du service de déchiffrement, négociation des paiements de rançon et gestion du volet cryptomonnaies. Les locataires gèrent les opérations de front: compromission, chiffrement et négociation. Cela réduit les barrières à l’entrée. Un criminel sans compétences techniques peut louer un ransomware et cibler des organisations. Le profit est partagé. Ce modèle a industrialisé le ransomware.

Les cryptomonnaies permettent le paiement des rançons sans les contrôles bancaires traditionnels. Une victime peut transférer de la cryptomonnaie vers le portefeuille d’un criminel en quelques minutes, avec une surveillance limitée des transactions. Les cryptomonnaies rendent le paiement difficile à tracer et encore plus difficile à annuler. Les forces de l’ordre ne peuvent pas facilement intercepter les transferts.

Les attaques sur la chaîne d’approvisionnement ajoutent une autre dimension. Au lieu de cibler une entreprise directement, les attaquants compromettent un fournisseur et infectent les victimes via des mises à jour logicielles ou des produits de confiance. Les attaques par ransomware sur la chaîne d’approvisionnement ont touché des hôpitaux, des industriels et des agences gouvernementales dans le monde entier.

Portée et impact du ransomware

Le ransomware touche tous les secteurs et toutes les tailles d’organisation. Cependant, l’impact varie considérablement selon le secteur:

  • Santé: les hôpitaux confrontés à un ransomware doivent choisir entre payer la rançon ou annuler les soins aux patients. Lors de l’attaque par ransomware contre Universal Health Services en 2020, les hôpitaux ne pouvaient plus accéder aux dossiers des patients et ont reporté des interventions chirurgicales. Des dizaines d’hôpitaux à travers les États-Unis sont restés perturbés pendant des semaines. Plusieurs patients sont décédés en raison des retards de prise en charge. Les organismes de régulation se sont inquiétés que le paiement de rançons finance indirectement d’autres attaques contre les systèmes de santé.
  • Infrastructures critiques: les réseaux électriques, les services d’eau et les systèmes de transport ont été ciblés. Une attaque par ransomware réussie contre un réseau électrique pourrait priver des millions de personnes d’électricité. Une attaque contre un service des eaux pourrait interrompre le traitement de l’eau. Ces risques ne sont pas théoriques; des attaques se sont produites.
  • Services financiers: les banques et les compagnies d’assurance ont été touchées. Si les systèmes d’une banque sont chiffrés, elle ne peut plus traiter les transactions, approuver les prêts ni vérifier l’identité des clients. Un incident de ransomware peut rapidement se transformer en crise financière systémique.
  • Industriels: la production industrielle repose sur la coordination de la chaîne d’approvisionnement. Si les systèmes d’un industriel sont chiffrés, la production s’arrête. Les fournisseurs ne savent pas quoi livrer. Les clients ignorent quand les produits arriveront. Les demandes de rançon adressées aux industriels se chiffrent souvent en millions.
  • Collectivités locales: les petites collectivités disposent souvent de budgets informatiques limités et de compétences en cybersécurité restreintes. Les attaques par ransomware ne sont pas rares. Une commune privée d’accès à ses registres fiscaux, à ses permis de construire ou à ses services d’urgence subit une pression existentielle pour payer.
  • Éducation: les universités ont été ciblées. Dossiers d’étudiants, données de recherche et propriété intellectuelle sont chiffrés. Les demandes de rançon peuvent atteindre des dizaines de millions.
  • Petites et moyennes entreprises: les PME sont touchées à une fréquence plus élevée car leurs défenses sont souvent plus faibles. Les montants des rançons sont inférieurs, mais restent significatifs par rapport à leur chiffre d’affaires.

Pourquoi les États membres doivent agir

Le ransomware n’est pas seulement un problème du secteur privé. C’est un enjeu de sécurité nationale. Voici pourquoi:

  • Déstabilisation par la perturbation: des attaques par ransomware généralisées contre les hôpitaux, les réseaux électriques et les services publics peuvent déstabiliser une nation. Une campagne coordonnée de ransomware frappant simultanément plusieurs hôpitaux provoquerait une crise sanitaire. Frapper les réseaux électriques pourrait priver les citoyens d’électricité et de chauffage. Il s’agit d’une forme de guerre hybride.
  • Financement du crime organisé et d’acteurs étrangers: les paiements de rançon financent des groupes de crime organisé, dont beaucoup sont basés dans des pays hostiles à l’Europe. Certains paiements financent des acteurs soutenus par des États. Payer une rançon revient économiquement à financer des adversaires.
  • Violations de données: les attaquants de ransomware exfiltrent souvent des données avant de chiffrer les systèmes. Ces données sont ensuite vendues ou publiées. Les victimes d’attaques contre les infrastructures critiques perdent des informations sensibles. Cela aggrave le préjudice direct du ransomware.
  • Concentration de la chaîne d’approvisionnement: les attaquants ciblent délibérément les fournisseurs des infrastructures critiques. Une attaque réussie contre un éditeur de logiciels affecte tous ses clients. Cela crée un risque en cascade entre les secteurs.

La réponse de la directive, codifiée dans le considérant 54, consiste à demander aux États membres d’élaborer une politique traitant du ransomware dans le cadre de leur stratégie nationale de cybersécurité. Cette politique doit couvrir la détection, la prévention, la réponse et, surtout, la dissuasion du paiement des rançons. L’accent mis sur la dissuasion du paiement reflète l’idée que payer une rançon, bien que rationnel du point de vue individuel de la victime, est collectivement irrationnel: cela incite à de nouvelles attaques.

Détection et prévention

Le ransomware pénètre souvent les organisations par le hameçonnage, l’exploitation de vulnérabilités ou des identifiants faibles. La prévention repose sur:

  • Sécurité des e-mails: filtrer les courriels malveillants et former les utilisateurs à repérer le hameçonnage. De nombreuses campagnes de ransomware commencent par des e-mails de hameçonnage contenant des pièces jointes malveillantes.
  • Gestion des correctifs: appliquer rapidement les mises à jour de sécurité afin de fermer les vulnérabilités exploitables. Certaines des plus grandes campagnes de ransomware ont exploité des vulnérabilités non corrigées alors que des correctifs étaient disponibles depuis des mois.
  • Contrôle des accès: limiter les personnes autorisées à accéder aux systèmes critiques et exiger une authentification à plusieurs facteurs pour les accès à distance. Le ransomware se propage via des identifiants compromis; un contrôle d’accès solide ralentit sa propagation.
  • Segmentation du réseau: diviser le réseau afin qu’une compromission dans une zone ne se propage pas automatiquement à toutes les autres. Si l’ordinateur portable d’un utilisateur est infecté, la segmentation empêche l’infection d’atteindre immédiatement les serveurs de fichiers et les bases de données.
  • Surveillance et détection: surveiller les systèmes à la recherche de signes d’activité inhabituelle. Le ransomware a souvent un comportement distinctif: opérations de fichiers inhabituelles, activité de chiffrement rapide, connexions réseau inattendues. La détection peut arrêter le ransomware avant qu’il ne termine le chiffrement.
  • Sauvegardes: des sauvegardes régulières et automatisées, stockées hors ligne (déconnectées du réseau principal). Si le ransomware chiffre les systèmes de production, la victime peut restaurer à partir des sauvegardes sans payer de rançon.
  • Réponse aux incidents: disposer d’un plan de réponse rapide au ransomware, incluant la notification des parties concernées, l’isolement des systèmes pour empêcher la propagation et la coopération avec les forces de l’ordre.

Réponse aux incidents de ransomware

Lorsqu’un ransomware frappe, les organisations doivent réagir rapidement:

  • Isoler les systèmes infectés: déconnecter les systèmes du réseau pour empêcher la propagation.
  • Déterminer la portée: identifier quels systèmes sont infectés et quelles données sont chiffrées.
  • Notifier les autorités: signaler l’incident aux forces de l’ordre et aux autorités compétentes.
  • Consulter des experts: faire appel à des professionnels de la réponse aux incidents, à des spécialistes de la cybersécurité et à des conseillers juridiques.
  • Évaluer les options de sauvegarde: déterminer si des sauvegardes saines existent et peuvent servir à la restauration.
  • Négocier ou payer: certaines victimes négocient des rançons nettement à la baisse. D’autres choisissent de restaurer à partir de sauvegardes. Certaines organisations disposent d’une cyberassurance qui couvre les paiements de rançon, ce qui influe sur la décision.
  • Communiquer avec transparence: informer les employés, les clients et les parties prenantes de la situation et des mesures prises.
  • Enquêter et remédier: une fois la crise immédiate traitée, déterminer comment l’attaque s’est produite et corriger la vulnérabilité sous-jacente.

Le dilemme du paiement de la rançon

La directive n’interdit pas explicitement aux organisations de payer une rançon. Cependant, le considérant 54 appelle à des politiques qui dissuadent le paiement. La logique est convaincante: chaque paiement reçu par un attaquant renforce l’incitation à mener de nouvelles attaques. Si toutes les victimes paient, le ransomware reste rentable. Si personne ne paie, le modèle économique s’effondre. Par conséquent, un refus collectif de payer est dans l’intérêt de tous.

Cependant, du point de vue individuel de la victime, refuser de payer peut sembler irrationnel. Un hôpital incapable de restaurer les dossiers de patients en quelques heures subit une pression énorme pour payer. Un industriel avec des pertes de 100 000 € par heure pourrait rationnellement payer une rançon de 500 000 € plutôt que de passer des semaines à restaurer depuis des sauvegardes.

Les États membres devraient traiter ce dilemme via:

  • Campagnes de sensibilisation: expliquer aux victimes que payer une rançon finance de nouvelles attaques et que la promesse de l’attaquant de supprimer les données exfiltrées est souvent rompue.
  • Contrôles financiers: travailler avec les banques et les plateformes de cryptomonnaies pour rendre le paiement des rançons plus difficile. Certains pays ont durci la régulation des plateformes de cryptomonnaies pour prévenir les paiements de rançon.
  • Incitations à l’assurance: encourager les polices de cyberassurance qui récompensent les organisations refusant de payer ou négociant des montants plus faibles.
  • Soutien aux victimes: fournir une aide publique aux organisations qui refusent de payer, par exemple un financement d’urgence, un appui à la réponse aux incidents ou une assistance accélérée à la reprise.
  • Forces de l’ordre: prioriser l’enquête et la poursuite des attaquants de ransomware. C’est un défi car nombre d’entre eux opèrent depuis des pays qui n’extradent pas, mais lorsqu’ils sont arrêtés, une poursuite ferme joue un rôle dissuasif.
  • Coopération internationale: coordonner avec d’autres pays pour isoler les groupes de ransomware de haut profil, geler leurs avoirs et perturber leurs opérations.

Attaques par ransomware sur la chaîne d’approvisionnement

Les attaques par ransomware sur la chaîne d’approvisionnement ciblent un fournisseur pour atteindre plusieurs victimes en aval. Par exemple, un attaquant compromet un éditeur de logiciels, injecte un ransomware dans une mise à jour de routine, et cette mise à jour infecte tous les clients de l’éditeur. Cette approche est efficace pour l’attaquant: au lieu de compromettre chaque client directement, il compromet un seul fournisseur et atteint des milliers de clients.

Se défendre contre les attaques par ransomware sur la chaîne d’approvisionnement nécessite:

  • Évaluation des fournisseurs: évaluer les pratiques de cybersécurité des fournisseurs, en portant une attention particulière à la manière dont ils développent et distribuent les mises à jour.
  • Déploiement échelonné: ne pas déployer les mises à jour sur tous les systèmes immédiatement. Il convient de les déployer d’abord sur un groupe test, d’attendre les éventuels problèmes, puis d’élargir le déploiement.
  • Vérification d’intégrité: vérifier que les mises à jour logicielles n’ont pas été altérées, à l’aide de signatures cryptographiques. Cela suppose que les fournisseurs signent leurs versions et que les clients vérifient les signatures avant l’installation.
  • Surveillance: surveiller les changements inattendus après le déploiement des mises à jour.
  • Segmentation: segmenter les réseaux afin qu’une mise à jour compromise dans une zone ne se propage pas automatiquement partout.

Un changement de mentalité

L’accent mis par la directive sur le ransomware traduit un basculement: la cybersécurité n’est plus vue comme un problème informatique, mais comme un enjeu stratégique de sécurité nationale. Le ransomware n’est pas une faille technique que de meilleurs pare-feu suffiront à corriger. C’est une menace persistante dont les moteurs économiques existeront tant que des victimes seront prêtes à payer.

Ce changement de mentalité implique:

  • Engagement des dirigeants: la cybersécurité n’est pas une question technique; c’est un enjeu critique pour l’entreprise et pour la sécurité nationale qui exige l’attention des dirigeants et des pouvoirs publics.
  • Action collective: la protection individuelle des organisations est nécessaire mais insuffisante. Des politiques collectives qui dissuadent le paiement des rançons sont nécessaires.
  • Investissement de long terme: bâtir la résilience, détecter les attaques tôt et maintenir des sauvegardes saines requiert un investissement continu, pas seulement une réponse de crise.
  • Partage d’informations: les forces de l’ordre, les agences publiques, les organisations du secteur privé et les partenaires internationaux doivent partager le renseignement sur les menaces afin que les attaques puissent être détectées et attribuées.

Points clés à retenir

  • Le considérant 54 de NIS2 identifie explicitement le ransomware comme une menace stratégique nourrie par l’évolution des modes opératoires, les modèles économiques de ransomware en tant que service, l’infrastructure de paiement en cryptomonnaies et les attaques sur la chaîne d’approvisionnement.
  • Le ransomware touche tous les secteurs, mais la santé, les infrastructures critiques et la finance sont particulièrement exposés à des conséquences graves.
  • La détection et la prévention reposent sur la sécurité des e-mails, la gestion des correctifs, le contrôle des accès, la segmentation du réseau, la surveillance, les sauvegardes et la planification de la réponse aux incidents.
  • Les États membres devraient élaborer des politiques anti-ransomware couvrant la détection, la prévention, la réponse et, surtout, la dissuasion du paiement des rançons, qui financent collectivement de nouvelles attaques.
  • Les attaques par ransomware sur la chaîne d’approvisionnement sont particulièrement dangereuses car elles touchent plusieurs victimes via un seul fournisseur compromis; la défense passe par l’évaluation des fournisseurs, le déploiement échelonné, la vérification d’intégrité et la surveillance.
  • L’approche de la directive traduit un basculement: la cybersécurité n’est plus une affaire informatique, mais un enjeu stratégique de sécurité nationale exigeant une action collective et un investissement de long terme.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.