📌 En bref. Cet article décortique une vraie attaque ransomware subie par une PME industrielle de l'Oise (65 salariés) en 2025, avec accord d'anonymisation. Coût final : 287 000 €. Les 12 étapes sont analysées selon le framework MITRE ATT&CK, référence internationale du mode opératoire des attaquants : reconnaissance, phishing spear, accès initial, découverte, escalade de privilèges, mouvement latéral, persistance, exfiltration, désactivation des sauvegardes, chiffrement, extorsion, remédiation. Pour chaque étape : le détail technique, le point de détection manqué et la mesure préventive qui l'aurait bloquée. L'article inclut aussi une checklist défensive complète en 30 points.
📖 Sommaire
- Le contexte : PME industrielle Oise, 65 salariés
- La chronologie compressée en 11 semaines
- Les 12 étapes détaillées
- Étape 1 : Reconnaissance passive (OSINT)
- Étape 2 : Reconnaissance active
- Étape 3 : Phishing spear ciblé
- Étape 4 : Vol des identifiants M365
- Étape 5 : Découverte du SI
- Étape 6 : Escalade de privilèges
- Étape 7 : Mouvement latéral
- Étape 8 : Persistance
- Étape 9 : Exfiltration des données
- Étape 10 : Désactivation des sauvegardes
- Étape 11 : Déploiement du chiffrement
- Étape 12 : Extorsion et négociation
- Checklist défensive en 30 points
- Questions fréquentes
1. Le contexte : PME industrielle Oise, 65 salariés
Profil. Fonderie familiale spécialisée dans la mécanique de précision. CA 12 M€. Sous-traitante d'un donneur d'ordre du CAC 40 dans l'automobile. Trois sites de production dans l'Oise. Environnement Microsoft 365 Business Standard, VPN SSL sans MFA, sauvegardes locales sur un NAS connecté au domaine Active Directory.
Groupe attaquant identifié : affilié RansomHub (successeur d'ALPHV/BlackCat démantelé fin 2024). Attaque menée par 2 à 3 opérateurs.
2. La chronologie compressée en 11 semaines
- Semaine 1 — Reconnaissance passive (OSINT, LinkedIn, site web)
- Semaine 2 — Reconnaissance active + envoi de phishing
- Semaine 3 — Vol identifiants + première connexion réussie
- Semaines 4 à 8 — Découverte silencieuse + escalade + mouvement latéral
- Semaines 9 à 10 — Persistance renforcée + exfiltration progressive
- Semaine 11 — Désactivation des sauvegardes + déploiement du chiffrement (vendredi 18h32)
3. Les 12 étapes détaillées
1. Reconnaissance passive (OSINT)
Ce que fait l'attaquant. Collecte d'informations publiques sur la cible sans interaction directe : site web, communiqués de presse, LinkedIn des dirigeants, page équipe, offres d'emploi, présence sur les salons professionnels.
2. Reconnaissance active
Ce que fait l'attaquant. Scan technique de la surface externe : résolution DNS, ports ouverts, technologies web utilisées, présence d'un portail VPN, MX de messagerie.
3. Phishing spear ciblé
Ce que fait l'attaquant. Envoi d'un email très ciblé au commercial senior identifié via LinkedIn. Le mail imite un donneur d'ordre habituel (usurpation SPF/DKIM manquants côté cible) et contient un lien vers une fausse page Microsoft 365 hébergée sur un domaine ressemblant (typosquat).
4. Vol des identifiants M365
Ce que fait l'attaquant. Les identifiants du commercial sont capturés en clair sur la fausse page. Test immédiat de connexion sur portal.office.com : succès. Pas de MFA. L'attaquant a un accès complet à la messagerie, OneDrive et SharePoint du commercial.
5. Découverte du SI
Ce que fait l'attaquant. Reconnaissance interne discrète pendant 3 semaines : lecture de la messagerie (organigramme, prestataires IT, comptable), exploration de SharePoint (documents sensibles, cartographie IT interne, procédures), énumération des groupes Entra ID pour identifier les administrateurs.
6. Escalade de privilèges
Ce que fait l'attaquant. Découverte d'un document PDF ancien sur SharePoint contenant un mot de passe administrateur en clair (post-it numérique). Test : le mot de passe est encore valide 2 ans après. L'attaquant obtient un accès admin domaine.
7. Mouvement latéral
Ce que fait l'attaquant. Avec les droits admin domaine, l'attaquant se connecte en RDP aux serveurs de production, à l'Active Directory, au serveur ERP et surtout au NAS de sauvegarde. Il installe des outils légitimes détournés : PsExec, Cobalt Strike, AnyDesk (pour la persistance).
8. Persistance
Ce que fait l'attaquant. Installation de plusieurs mécanismes de persistance pour survivre à un éventuel nettoyage : tâches planifiées Windows, comptes de service détournés, backdoor Cobalt Strike sur 3 serveurs, tunnel SSH via un serveur RDS.
9. Exfiltration progressive des données
Ce que fait l'attaquant. Pendant 2 semaines, exfiltration lente et discrète de 45 Go de données sensibles vers un serveur externe (via HTTPS pour se fondre dans le trafic légitime) : plans techniques, contrats avec le donneur d'ordre CAC 40, données RH, données clients.
10. Désactivation des sauvegardes
Ce que fait l'attaquant. 24 heures avant le chiffrement, l'attaquant supprime ou chiffre les sauvegardes locales sur le NAS (connecté au domaine, accessible avec les droits admin). Il désactive les tâches Veeam programmées. Il modifie les règles de rétention pour effacer les points de restauration.
11. Déploiement du chiffrement
Ce que fait l'attaquant. Vendredi 18h32. Déclenchement synchrone du chiffrement RansomHub sur les serveurs de production, l'AD, l'ERP, le NAS et les postes bureautiques (via PsExec + GPO). En 4 heures, 95 % du SI est chiffré. Un fichier readme.txt apparaît partout avec la demande de rançon (450 K€ en Bitcoin).
12. Extorsion et négociation
Ce que fait l'attaquant. Lundi 8h. Le dirigeant découvre la catastrophe. Contact par chat TOR. Rançon initiale 450 K€, négociable à 220 K€ sous 72h. Menace de publication des 45 Go exfiltrés sur le blog du groupe. La cellule de crise MEDERI est activée.
4. Checklist défensive en 30 points
Basée sur les 12 étapes ci-dessus, voici la checklist qui aurait bloqué cette attaque à chacune des étapes.
- MFA activée sur 100 % des comptes M365
- Politique d'accès conditionnel Entra ID (blocage pays non-EU)
- SPF, DKIM et DMARC configurés et à l'état "reject"
- Filtre anti-phishing avancé (MailInBlack, Defender for O365 P2)
- Sensibilisation annuelle + campagne phishing simulé trimestrielle
- EDR moderne (Defender for Business, SentinelOne…) sur 100 % des postes et serveurs
- Console EDR centralisée et supervisée 24/7 (SOC managé MDR)
- Coffre-fort de mots de passe centralisé (Bitwarden Enterprise, CyberArk)
- Rotation trimestrielle des mots de passe administrateurs
- Interdiction absolue des mots de passe dans documents partagés
- AppLocker ou Windows Defender Application Control activé
- Segmentation réseau (VLAN production / bureautique / DMZ)
- SIEM avec règles de corrélation actives (créations de comptes, RDP masse)
- Revue mensuelle des comptes admin et de service
- Sauvegardes 3-2-1-1-0 avec copie immuable hors domaine
- Test de restauration formalisé au moins trimestriel
- Alerte automatique sur suppression de sauvegardes
- DLP moderne pour détecter l'exfiltration (Microsoft Purview)
- Analyse du trafic sortant avec seuils dynamiques
- Rollback anti-ransomware activé sur l'EDR
- Politique de journalisation centralisée > 90 jours
- Politique de gestion des vulnérabilités (patch < 30 jours)
- Cellule de crise 24/7 (interne ou externe) identifiée avec numéros
- Plan de crise cyber écrit, testé annuellement
- Cyber-assurance active adaptée au profil de risque
- Contacts CERT-FR, CNIL et gendarmerie dans le plan de crise
- Prestataire forensique identifié à l'avance
- Avocat cyber identifié à l'avance
- Communication de crise préparée (messages types clients, presse)
- Diagnostic cybersécurité approfondi annuel (BPI 2030 ou équivalent)
🎯 Où en êtes-vous sur ces 30 points ?
Notre Score Cyber MEDERI évalue en 4 minutes votre position sur les principales briques défensives et calcule votre exposition aux attaques comme celle décortiquée dans cet article. Gratuit, sans engagement.
Questions fréquentes
Combien de temps s'écoule entre l'accès initial et le chiffrement dans une attaque ransomware ?
Le délai moyen (dwell time) entre l'accès initial et le chiffrement s'établit en 2026 à 10 à 20 jours pour une PME française, contre plusieurs mois en 2020. Dans le cas décortiqué, l'attaquant est resté 11 semaines, ce qui est haut mais s'observe fréquemment quand l'attaquant prépare une exfiltration significative avant l'extorsion.
Qu'est-ce que le framework MITRE ATT&CK ?
MITRE ATT&CK est un framework international qui répertorie les tactiques et techniques utilisées par les attaquants dans les cyberattaques réelles. Il compte 14 tactiques principales et plus de 300 techniques. C'est la référence mondiale pour comprendre le mode opératoire des attaquants. Les EDR et SOC modernes cartographient leurs alertes sur MITRE ATT&CK.
Comment détecter une attaque ransomware avant qu'elle ne se déclenche ?
Trois indicateurs clés : (1) authentification anormale sur des comptes admin (heures inhabituelles, géolocalisation atypique), (2) exécution de scripts PowerShell ou WMI depuis comptes non-admin, (3) copie massive de fichiers vers un serveur inhabituel ou vers l'extérieur. Un EDR moderne détecte ces signaux avec un SOC managé 24/7.
Qu'est-ce que la double extorsion ?
Technique standard en 2026 : en plus de chiffrer les données (première extorsion), l'attaquant exfiltre préalablement une copie et menace de la publier sur un blog dédié si le paiement n'est pas effectué (deuxième extorsion). La triple extorsion ajoute une pression directe sur vos clients ou partenaires.
Une PME peut-elle vraiment détecter une attaque en cours ?
Oui. Un EDR moderne détecte 60 à 80 % des attaques en cours si les alertes sont traitées activement. Un SOC managé MDR à 12-40 €/poste/mois porte cette détection à 90 % avec supervision 24/7. La clé est un processus continu, pas un outil unique. Cet article détaille les 12 points de détection manqués : chacun aurait pu bloquer l'attaque plusieurs jours avant l'impact final.