📌 En bref. Cet article décortique une vraie attaque ransomware subie par une PME industrielle de l'Oise (65 salariés) en 2025, avec accord d'anonymisation. Coût final : 287 000 €. Les 12 étapes sont analysées selon le framework MITRE ATT&CK, référence internationale du mode opératoire des attaquants : reconnaissance, phishing spear, accès initial, découverte, escalade de privilèges, mouvement latéral, persistance, exfiltration, désactivation des sauvegardes, chiffrement, extorsion, remédiation. Pour chaque étape : le détail technique, le point de détection manqué et la mesure préventive qui l'aurait bloquée. L'article inclut aussi une checklist défensive complète en 30 points.

📖 Sommaire

  1. Le contexte : PME industrielle Oise, 65 salariés
  2. La chronologie compressée en 11 semaines
  3. Les 12 étapes détaillées
    1. Étape 1 : Reconnaissance passive (OSINT)
    2. Étape 2 : Reconnaissance active
    3. Étape 3 : Phishing spear ciblé
    4. Étape 4 : Vol des identifiants M365
    5. Étape 5 : Découverte du SI
    6. Étape 6 : Escalade de privilèges
    7. Étape 7 : Mouvement latéral
    8. Étape 8 : Persistance
    9. Étape 9 : Exfiltration des données
    10. Étape 10 : Désactivation des sauvegardes
    11. Étape 11 : Déploiement du chiffrement
    12. Étape 12 : Extorsion et négociation
  4. Checklist défensive en 30 points
  5. Questions fréquentes

1. Le contexte : PME industrielle Oise, 65 salariés

Profil. Fonderie familiale spécialisée dans la mécanique de précision. CA 12 M€. Sous-traitante d'un donneur d'ordre du CAC 40 dans l'automobile. Trois sites de production dans l'Oise. Environnement Microsoft 365 Business Standard, VPN SSL sans MFA, sauvegardes locales sur un NAS connecté au domaine Active Directory.

11 semde reconnaissance discrète avant chiffrement
4 jd'arrêt total après le déclenchement
287 K€de coût total consolidé
12points de détection manqués

Groupe attaquant identifié : affilié RansomHub (successeur d'ALPHV/BlackCat démantelé fin 2024). Attaque menée par 2 à 3 opérateurs.

2. La chronologie compressée en 11 semaines

3. Les 12 étapes détaillées

ÉTAPE 1MITRE TA0043 · Reconnaissance passive

1. Reconnaissance passive (OSINT)

Ce que fait l'attaquant. Collecte d'informations publiques sur la cible sans interaction directe : site web, communiqués de presse, LinkedIn des dirigeants, page équipe, offres d'emploi, présence sur les salons professionnels.

Techniques observées : T1589 Gather Victim Identity Information, T1591 Gather Victim Org Information. Outils : hunter.io, Sales Navigator, Shodan, Google dorks.
🚨 Détection manquée : Aucune détection possible à cette étape (aucune trace sur le SI). Mais possible brand monitoring pour repérer des mentions inhabituelles.
🛡️ Prévention efficace : Réduire la surface d'attaque OSINT : profils LinkedIn épurés pour les fonctions sensibles, désactiver les auto-répondeurs qui révèlent l'organigramme, éviter les mentions publiques des outils internes utilisés.
ÉTAPE 2MITRE TA0043 · Reconnaissance active

2. Reconnaissance active

Ce que fait l'attaquant. Scan technique de la surface externe : résolution DNS, ports ouverts, technologies web utilisées, présence d'un portail VPN, MX de messagerie.

Techniques : T1595 Active Scanning, T1590 Gather Victim Network Information. Outils : nmap, Shodan, Censys, DNSdumpster.
🚨 Détection manquée : Le pare-feu périmétrique a bien loggé les scans mais sans surveillance active (pas de SIEM ni SOC), l'équipe IT n'a rien vu.
🛡️ Prévention efficace : Journalisation centralisée + supervision 24/7 (SOC managé). Alertes automatiques sur scans massifs depuis une même IP en 24h.
ÉTAPE 3MITRE TA0001 · Access initial

3. Phishing spear ciblé

Ce que fait l'attaquant. Envoi d'un email très ciblé au commercial senior identifié via LinkedIn. Le mail imite un donneur d'ordre habituel (usurpation SPF/DKIM manquants côté cible) et contient un lien vers une fausse page Microsoft 365 hébergée sur un domaine ressemblant (typosquat).

Technique : T1566.002 Phishing: Spearphishing Link. Kit AiTM (Adversary-in-the-Middle) type EvilProxy pour contourner la MFA... mais ici pas de MFA en place.
🚨 Détection manquée : Le mail a été livré normalement. Pas de filtre anti-phishing avancé. Pas de sensibilisation formelle. Le commercial a cliqué et saisi ses identifiants sans réserve.
🛡️ Prévention efficace : (1) SPF/DKIM/DMARC configurés (voir notre audit DNS gratuit), (2) filtre anti-phishing avancé type MailInBlack ou Defender for Office, (3) sensibilisation régulière + campagne de phishing simulé.
ÉTAPE 4MITRE TA0006 · Credential access

4. Vol des identifiants M365

Ce que fait l'attaquant. Les identifiants du commercial sont capturés en clair sur la fausse page. Test immédiat de connexion sur portal.office.com : succès. Pas de MFA. L'attaquant a un accès complet à la messagerie, OneDrive et SharePoint du commercial.

Technique : T1078.004 Valid Accounts: Cloud Accounts. Connexion depuis Chypre (via VPN commercial).
🚨 Détection manquée : Entra ID a bien loggé une connexion depuis un pays inhabituel mais aucune alerte configurée. La géolocalisation atypique aurait dû déclencher un blocage ou une challenge MFA.
🛡️ Prévention efficace : MFA obligatoire sur 100 % des comptes M365 (voir notre guide MFA/EDR/SOC). Politique d'accès conditionnel Entra ID pour bloquer les connexions depuis pays non-EU.
ÉTAPE 5MITRE TA0007 · Discovery

5. Découverte du SI

Ce que fait l'attaquant. Reconnaissance interne discrète pendant 3 semaines : lecture de la messagerie (organigramme, prestataires IT, comptable), exploration de SharePoint (documents sensibles, cartographie IT interne, procédures), énumération des groupes Entra ID pour identifier les administrateurs.

Techniques : T1087 Account Discovery, T1201 Password Policy Discovery, T1552.008 Credentials in Cloud Storage.
🚨 Détection manquée : Le volume de lecture SharePoint a explosé (300 documents en 2 jours au lieu de 5 habituels) mais aucune supervision d'activité utilisateur en place.
🛡️ Prévention efficace : Microsoft Defender for Cloud Apps ou solution DLP : détection des comportements anormaux (téléchargement massif). Politiques de sensibilité sur SharePoint.
ÉTAPE 6MITRE TA0004 · Privilege escalation

6. Escalade de privilèges

Ce que fait l'attaquant. Découverte d'un document PDF ancien sur SharePoint contenant un mot de passe administrateur en clair (post-it numérique). Test : le mot de passe est encore valide 2 ans après. L'attaquant obtient un accès admin domaine.

Technique : T1552.001 Unsecured Credentials: Credentials In Files. La négligence humaine reste le vecteur privilégié.
🚨 Détection manquée : Aucune rotation des mots de passe admin. Aucun coffre-fort centralisé. Le compte admin utilisé 2 ans plus tard ne déclenche aucune alerte.
🛡️ Prévention efficace : Coffre-fort de mots de passe (Bitwarden, KeePass Enterprise, CyberArk). Rotation trimestrielle des mots de passe admin. Interdiction absolue des mots de passe dans les documents.
ÉTAPE 7MITRE TA0008 · Lateral movement

7. Mouvement latéral

Ce que fait l'attaquant. Avec les droits admin domaine, l'attaquant se connecte en RDP aux serveurs de production, à l'Active Directory, au serveur ERP et surtout au NAS de sauvegarde. Il installe des outils légitimes détournés : PsExec, Cobalt Strike, AnyDesk (pour la persistance).

Techniques : T1021.001 Remote Services: RDP, T1219 Remote Access Software. Living-off-the-Land (utilisation d'outils légitimes).
🚨 Détection manquée : AnyDesk installé sans autorisation sur 4 serveurs : aucun EDR en place pour le détecter. Un antivirus classique (Norton) n'a rien vu (AnyDesk est légitime).
🛡️ Prévention efficace : EDR moderne obligatoire (Defender for Business, SentinelOne, etc.). Politique d'AppLocker pour interdire les outils non whitelistés. Segmentation réseau entre serveurs de production et bureautique.
ÉTAPE 8MITRE TA0003 · Persistence

8. Persistance

Ce que fait l'attaquant. Installation de plusieurs mécanismes de persistance pour survivre à un éventuel nettoyage : tâches planifiées Windows, comptes de service détournés, backdoor Cobalt Strike sur 3 serveurs, tunnel SSH via un serveur RDS.

Techniques : T1053.005 Scheduled Task, T1136 Create Account, T1543 Create or Modify System Process.
🚨 Détection manquée : Création de 2 nouveaux comptes de service par un admin la nuit du 3 au 4 novembre : pas d'alerte de journalisation active.
🛡️ Prévention efficace : SIEM avec règles de corrélation sur créations de comptes en horaires atypiques. Revue mensuelle des comptes de service par le DSI ou le prestataire IT.
ÉTAPE 9MITRE TA0010 · Exfiltration

9. Exfiltration progressive des données

Ce que fait l'attaquant. Pendant 2 semaines, exfiltration lente et discrète de 45 Go de données sensibles vers un serveur externe (via HTTPS pour se fondre dans le trafic légitime) : plans techniques, contrats avec le donneur d'ordre CAC 40, données RH, données clients.

Techniques : T1567 Exfiltration Over Web Service, T1030 Data Transfer Size Limits (transferts lissés pour éviter les seuils).
🚨 Détection manquée : Le pare-feu périmétrique a bien vu un volume sortant inhabituel mais aucun seuil d'alerte configuré. Un DLP ou un système d'analyse comportementale aurait détecté l'exfiltration.
🛡️ Prévention efficace : DLP moderne (Microsoft Purview, Forcepoint). Analyse du trafic sortant avec seuils dynamiques. Séparation des zones sensibles.
ÉTAPE 10MITRE TA0040 · Impact préparatoire

10. Désactivation des sauvegardes

Ce que fait l'attaquant. 24 heures avant le chiffrement, l'attaquant supprime ou chiffre les sauvegardes locales sur le NAS (connecté au domaine, accessible avec les droits admin). Il désactive les tâches Veeam programmées. Il modifie les règles de rétention pour effacer les points de restauration.

Technique : T1490 Inhibit System Recovery. Devenu l'étape STANDARD des ransomwares modernes.
🚨 Détection manquée : Aucun système d'alerte immuable sur la disparition des points de sauvegarde. L'équipe IT découvre la catastrophe le lundi matin.
🛡️ Prévention efficace : Sauvegardes immuables 3-2-1-1-0 avec au moins une copie hors domaine (compte différent, air-gap ou stockage objet WORM). Alerte automatique sur suppression de sauvegarde.
ÉTAPE 11MITRE TA0040 · Impact

11. Déploiement du chiffrement

Ce que fait l'attaquant. Vendredi 18h32. Déclenchement synchrone du chiffrement RansomHub sur les serveurs de production, l'AD, l'ERP, le NAS et les postes bureautiques (via PsExec + GPO). En 4 heures, 95 % du SI est chiffré. Un fichier readme.txt apparaît partout avec la demande de rançon (450 K€ en Bitcoin).

Technique : T1486 Data Encrypted for Impact. Chiffrement AES-256 avec clé RSA-2048.
🚨 Détection manquée : Un EDR aurait détecté l'exécution de PsExec en masse et déclenché un blocage automatique. Sans EDR, l'attaquant a eu le temps de chiffrer 95 % du SI en 4 heures.
🛡️ Prévention efficace : EDR moderne avec fonction rollback du chiffrement (SentinelOne, Sophos Intercept X). Détection comportementale du chiffrement massif. Isolation automatique.
ÉTAPE 12MITRE TA0040 · Extorsion

12. Extorsion et négociation

Ce que fait l'attaquant. Lundi 8h. Le dirigeant découvre la catastrophe. Contact par chat TOR. Rançon initiale 450 K€, négociable à 220 K€ sous 72h. Menace de publication des 45 Go exfiltrés sur le blog du groupe. La cellule de crise MEDERI est activée.

Technique : double extorsion classique. Le donneur d'ordre CAC 40 est prévenu (troisième pression).
🚨 Décision cruciale : Le dirigeant refuse de payer sur conseil de MEDERI et de l'ANSSI. Signalement CERT-FR, plainte gendarmerie, notification CNIL sous 72h.
🛡️ Ce qui a limité les dégâts : Souscription cyber-assurance récente avec cellule de crise 24/7. Communication maîtrisée envers le donneur d'ordre. Reconstruction progressive à partir d'anciennes sauvegardes personnelles retrouvées (une partie sauvée). Coût final : 287 000 €.

4. Checklist défensive en 30 points

Basée sur les 12 étapes ci-dessus, voici la checklist qui aurait bloqué cette attaque à chacune des étapes.

💡 À retenir. Sur ces 30 points, chacune des 12 étapes de l'attaque aurait pu être bloquée à condition qu'au moins 3 à 5 points soient en place. La défense cyber est en profondeur : pas de mesure miracle, mais un ensemble de couches complémentaires.

Christophe Moisan

À propos de l'auteur

Christophe Moisan est consultant senior en cybersécurité et Cloud Computing, +20 ans d'expérience en management des SI. Fondateur de MEDERI CONSULTING (Amiens, Creil). Agréé Diagnostic Cybersécurité BPI France 2030 et référencé MonExpertCyber (ANSSI + Cybermalveillance.gouv.fr).

En savoir plus →

🎯 Où en êtes-vous sur ces 30 points ?

Notre Score Cyber MEDERI évalue en 4 minutes votre position sur les principales briques défensives et calcule votre exposition aux attaques comme celle décortiquée dans cet article. Gratuit, sans engagement.

Questions fréquentes

Combien de temps s'écoule entre l'accès initial et le chiffrement dans une attaque ransomware ?

Le délai moyen (dwell time) entre l'accès initial et le chiffrement s'établit en 2026 à 10 à 20 jours pour une PME française, contre plusieurs mois en 2020. Dans le cas décortiqué, l'attaquant est resté 11 semaines, ce qui est haut mais s'observe fréquemment quand l'attaquant prépare une exfiltration significative avant l'extorsion.

Qu'est-ce que le framework MITRE ATT&CK ?

MITRE ATT&CK est un framework international qui répertorie les tactiques et techniques utilisées par les attaquants dans les cyberattaques réelles. Il compte 14 tactiques principales et plus de 300 techniques. C'est la référence mondiale pour comprendre le mode opératoire des attaquants. Les EDR et SOC modernes cartographient leurs alertes sur MITRE ATT&CK.

Comment détecter une attaque ransomware avant qu'elle ne se déclenche ?

Trois indicateurs clés : (1) authentification anormale sur des comptes admin (heures inhabituelles, géolocalisation atypique), (2) exécution de scripts PowerShell ou WMI depuis comptes non-admin, (3) copie massive de fichiers vers un serveur inhabituel ou vers l'extérieur. Un EDR moderne détecte ces signaux avec un SOC managé 24/7.

Qu'est-ce que la double extorsion ?

Technique standard en 2026 : en plus de chiffrer les données (première extorsion), l'attaquant exfiltre préalablement une copie et menace de la publier sur un blog dédié si le paiement n'est pas effectué (deuxième extorsion). La triple extorsion ajoute une pression directe sur vos clients ou partenaires.

Une PME peut-elle vraiment détecter une attaque en cours ?

Oui. Un EDR moderne détecte 60 à 80 % des attaques en cours si les alertes sont traitées activement. Un SOC managé MDR à 12-40 €/poste/mois porte cette détection à 90 % avec supervision 24/7. La clé est un processus continu, pas un outil unique. Cet article détaille les 12 points de détection manqués : chacun aurait pu bloquer l'attaque plusieurs jours avant l'impact final.