Un adversaire qui s'installe avant de frapper
En 2025, le NCSC a enregistré une hausse de 30 % des signalements d'incidents ransomware impliquant des PME helvétiques. Les attaquants passent en moyenne 14 jours dans le réseau avant de déclencher le chiffrement — ce délai est votre fenêtre d'intervention. La majorité des victimes n'ont détecté aucun signal d'alerte pendant cette période, faute de surveillance adaptée à leur taille de parc.
Cet article cartographie les indicateurs techniques observables avant le chiffrement, les obligations légales qui s'appliquent dès la compromission initiale, et la procédure de réponse à adopter pour une PME romande de 20 à 150 endpoints.
Anatomie d'une attaque ransomware moderne contre une PME
Les quatre phases préliminaires au chiffrement
Les groupes actifs en 2025-2026 (LockBit 4.x, Akira, Play, Black Basta) opèrent selon un schéma en plusieurs étapes avant de déployer le payload de chiffrement. Comprendre ces phases permet de définir les indicateurs à surveiller.
- Accès initial : phishing ciblé (spear-phishing), exploitation de VPN non patchés (Fortinet, Cisco ASA, Ivanti), ou achat d'accès initial sur des forums clandestins. Les accès RDP exposés sur le port TCP 3389 restent un vecteur majeur en Suisse.
- Persistance : installation de Remote Access Tools (RAT) légitimes détournés — AnyDesk, TeamViewer, ScreenConnect — ou création de comptes locaux avec des noms anodins. Surveillance des clés de registre
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. - Mouvement latéral : utilisation de PsExec, WMI, ou de protocoles natifs (SMB, DCOM) pour pivoter d'un poste à l'autre. À ce stade, les journaux d'authentification montrent des connexions inhabituelles entre postes de travail, hors des horaires normaux.
- Exfiltration : avant de chiffrer, les groupes modernes copient les données vers des services cloud légitimes (Mega.nz, rclone vers S3, SFTP vers des serveurs compromis). Un pic de trafic sortant vers des destinations inconnues, sur des ports non standards, est souvent le dernier signal visible.
Signes précurseurs techniques classifiés par niveau de criticité
Criticité haute — réponse immédiate requise :
- Désactivation ou modification de Windows Defender / d'un agent EDR (événement Windows ID 5001, 5004 dans l'observateur d'événements Security).
- Suppression des copies shadow (VSS) via
vssadmin delete shadows /allou via PowerShellGet-WmiObject Win32_ShadowCopy | Remove-WmiObject. - Modification des GPO ou des politiques de sécurité locales depuis un compte non privilégié habituel.
- Tentatives d'escalade de privilèges vers SYSTEM ou Domain Admin depuis un compte de service.
Criticité moyenne — investigation sous 4 heures :
- Connexions RDP entre postes de travail (pas uniquement depuis un serveur de saut) entre 22h00 et 06h00.
- Exécution de
nltest /domain_trusts,net group "Domain Admins", ou de scripts de reconnaissance Active Directory. - Installation d'outils de compression (7-Zip, WinRAR) sur des machines qui n'en avaient pas, suivie d'une création d'archives volumineuses.
- Trafic DNS vers des domaines enregistrés il y a moins de 30 jours (domaines « fraîchement créés »).
Criticité basse — corrélation à surveiller sur 48h :
- Nombre inhabituel d'authentifications échouées (> 20 en 10 minutes sur un même compte, événement Windows ID 4625).
- Accès à des partages réseau inhabituels depuis un poste de travail standard.
- Modification du fichier
hostsou des paramètres proxy système.
Obligations légales dès la détection d'une compromission
Ce que la nLPD impose concrètement
Depuis le 01.09.2023, la nouvelle Loi fédérale sur la protection des données (nLPD) impose aux responsables du traitement de notifier le Préposé fédéral à la protection des données (PFPDT) en cas de violation de données susceptible d'entraîner un risque élevé pour les personnes concernées, dans les meilleurs délais. Contrairement au RGPD européen, la nLPD ne fixe pas de délai rigide de 72 heures, mais le terme « meilleurs délais » est interprété de façon stricte par le PFPDT : au-delà de 72 heures après la prise de connaissance certaine de la violation, la charge de la preuve de la diligence incombe au responsable.
Un ransomware qui exfiltre des données avant de chiffrer constitue quasi systématiquement une violation au sens de l'art. 24 nLPD si les données concernées incluent des données personnelles de clients, employés, ou fournisseurs. Pour une PME romande traitant des données de santé, financières, ou relatives à des mineurs, le seuil de risque élevé est atteint d'emblée.
Signalement au NCSC : procédure étape par étape
- Isolement immédiat (DSI/RSSI) : déconnecter les systèmes affectés du réseau (port switch désactivé ou VLAN d'isolement), sans éteindre les machines si possible — la mémoire vive contient des artefacts forensiques précieux.
- Documentation initiale (DSI) : horodater toutes les actions dès la première détection. Capturer les journaux d'événements Windows (fichiers .evtx) et les logs des équipements réseau avant qu'ils ne soient écrasés.
- Signalement au NCSC (RSSI ou dirigeant) : via le formulaire de signalement en ligne du NCSC. Le signalement est gratuit, confidentiel, et non obligatoire pour les PME non critiques — mais il permet d'accéder à un appui technique et de contribuer aux alertes sectorielles.
- Évaluation juridique (juriste/DPO) : déterminer si des données personnelles ont été compromises et si le seuil de notification PFPDT est atteint. Cette évaluation doit être documentée même si la décision est de ne pas notifier.
- Notification PFPDT si requise (DPO/dirigeant) : via le portail du PFPDT. La notification doit inclure la nature de la violation, les catégories et le volume approximatif de données concernées, les mesures prises, et le nom d'un point de contact.
- Communication aux personnes concernées (DPO) : si le risque est élevé pour des individus identifiables, ceux-ci doivent être informés individuellement, en des termes clairs, des mesures qu'ils peuvent prendre pour se protéger.
- Préservation des preuves (DSI/SOC ou prestataire forensique) : image disque des systèmes affectés, copie des journaux, capture réseau si disponible. Essentiel pour toute procédure pénale ultérieure.
Architecture de détection adaptée aux PME suisses de 20-150 endpoints
Ce qui doit être en place avant l'incident
Les CIS Benchmarks (niveau 1 pour les PME) définissent un socle de contrôles dont plusieurs couvrent directement les vecteurs ransomware : désactivation du protocole SMBv1, restriction de l'exécution des macros Office, segmentation des partages réseau par rôle. Ces contrôles sont applicables sur un parc de 20 postes avec des outils natifs (GPO, Intune ou tout MDM d'entreprise).
Pour un parc de 50 à 150 endpoints, les éléments de détection minimaux sont :
- Centralisation des logs : collecte des journaux Windows (Security, System, PowerShell/Script Block Logging) dans un SIEM ou un agrégateur de logs avec rétention d'au moins 90 jours.
- Surveillance des modifications VSS : alerte automatique sur toute commande touchant le service VSS en dehors des plages de sauvegarde définies.
- Détection des outils de double usage : PsExec, Mimikatz, BloodHound, rclone — leur présence sur un endpoint standard est un signal fort.
- Analyse du trafic DNS : un résolveur DNS interne avec journalisation permet de détecter les requêtes vers des domaines de commande et contrôle (C2) et les tentatives d'exfiltration DNS.
- MFA obligatoire sur tous les accès distants : VPN, RDP, accès cloud. Idéalement avec des clés FIDO2 matérielles pour les comptes à privilèges.
Sauvegardes : la seule assurance qui fonctionne à coup sûr
La règle 3-2-1-1 reste la référence : 3 copies, sur 2 médias différents, dont 1 hors site, et 1 copie air-gapped (déconnectée du réseau). Pour une PME avec 50 endpoints et 2 To de données critiques, un stockage de sauvegarde immuable (object lock S3, ou bande LTO-8) coûte entre 200 et 600 CHF/mois selon le prestataire et le volume. Tester la restauration au moins une fois par trimestre : le taux d'échec de restauration constaté lors d'incidents réels oscille entre 20 et 40 % pour des PME qui ne testent jamais leurs sauvegardes.
Cas pratique : fiduciaire vaudoise de 45 endpoints
Contexte : Cabinet fiduciaire à Lausanne, 38 collaborateurs, 45 endpoints (32 Windows 11 23H2, 8 macOS 14 Sonoma, 5 iPads en accès client). Traitement de données fiscales, comptables, et de paie pour environ 280 clients PME. Hébergement des données sur un serveur NAS Synology en salle technique locale, avec sauvegarde nightly vers un cloud helvétique. Pas d'EDR déployé. VPN Fortinet FortiGate 60F, version firmware 7.2.4 (une version en retard sur le correctif critique CVE-2024-21762).
Scénario de compromission détecté : Le 14.03.2025, la responsable informatique remarque que plusieurs postes affichent une utilisation CPU anormalement élevée la nuit. En consultant les journaux du FortiGate, elle identifie des connexions sortantes vers une IP géolocalisée en dehors de l'UE sur le port TCP 443, depuis un serveur interne — serveur qui n'aurait aucune raison d'initier des connexions sortantes directes.
Investigation :
- Isolement du serveur NAS et du segment réseau correspondant (16h00, J+0).
- Analyse des journaux Windows du serveur : présence d'un compte local
support_admcréé le 08.03.2025 à 02h47, sans correspondance dans l'Active Directory. - Identification de rclone.exe dans
C:\ProgramData\Temp\— outil de synchronisation utilisé pour exfiltrer des données vers un bucket cloud externe. - Estimation du volume exfiltré : 47 Go transférés entre le 08.03 et le 14.03, correspondant à l'arborescence des dossiers clients de l'exercice 2024.
- Signalement NCSC effectué à 18h30 le 14.03.2025 via le formulaire en ligne.
- Évaluation juridique : données personnelles de clients (personnes physiques) exfiltrées → seuil nLPD atteint. Notification PFPDT transmise le 16.03.2025 (J+2).
- Communication aux clients concernés effectuée le 19.03.2025 (J+5), par courrier recommandé pour les 280 mandants, avec indication des données potentiellement exposées et conseils de surveillance (extraits bancaires, avis de l'AFC, données de paie).
- Coût total estimé de l'incident : 34 000 CHF (forensique externe : 12 000 CHF, restauration et durcissement : 8 000 CHF, communication juridique : 6 000 CHF, temps interne et perte de productivité : 8 000 CHF). Aucune rançon payée — les sauvegardes étaient intactes.
Leçon opérationnelle : Le vecteur d'accès initial était la vulnérabilité CVE-2024-21762 sur le FortiGate, corrigée dans le firmware 7.2.5 publié six semaines avant l'incident. Un cycle de patching mensuel avec fenêtre de mise à jour documentée aurait bloqué l'intrusion. La fiduciaire a depuis déployé un agent EDR sur l'ensemble du parc et segmenté le NAS sur un VLAN dédié sans accès direct depuis les postes de travail.
Récapitulatif opérationnel
- Patcher en continu : VPN, firewall, OS. Définir un SLA interne de 7 jours pour les correctifs critiques (CVSS ≥ 9.0) et 30 jours pour les correctifs élevés (CVSS 7.0-8.9).
- Activer Script Block Logging PowerShell (GPO :
Computer Configuration → Administrative Templates → Windows Components → Windows PowerShell) et centraliser les logs avec rétention 90 jours minimum. - Créer des alertes sur la suppression VSS et la création de comptes locaux en dehors des plages horaires définies.
- Tester les sauvegardes chaque trimestre : documenter le RTO (objectif de reprise) et le RPO (objectif de point de reprise) réels, pas théoriques. Pour une PME de 50 endpoints, viser RTO < 4h, RPO < 24h.
- Imposer le MFA sur tous les accès distants : VPN, RDP, accès cloud (M365, Google Workspace). Privilégier FIDO2 pour les comptes administrateurs.
- Documenter la procédure de réponse à incident : qui appelle qui, dans quel ordre, avec les numéros de contact du prestataire forensique et du juriste spécialisé.
- Connaître le seuil de notification nLPD : préparer un modèle de notification PFPDT à l'avance, validé par le DPO ou un juriste, pour ne pas perdre de temps sous stress.
- Segmenter le réseau : les partages NAS et les serveurs de sauvegarde ne doivent pas être accessibles directement depuis les postes de travail — passer par un serveur de rebond authentifié.
- Former les collaborateurs deux fois par an : simulation de phishing, reconnaissance des pièces jointes suspectes (.iso, .lnk, .vbs), procédure de signalement interne en moins de 15 minutes.
- Envisager un SOC externalisé ou une surveillance managée pour les PME sans RSSI interne : le coût d'un MDR de niveau entry-level oscille entre 800 et 2 500 CHF/mois pour un parc de 20-50 endpoints, largement inférieur au coût moyen d'un incident.
Les PME romandes qui souhaitent évaluer leur niveau de maturité face au ransomware peuvent s'appuyer sur le NIST Cybersecurity Framework (fonctions Identify, Protect, Detect, Respond, Recover) comme grille d'auto-évaluation structurée. SynGuard propose des évaluations de posture pour accompagner cette démarche sans présupposer d'une solution particulière.
Sources
- Centre national pour la cybersécurité (NCSC) — Statistiques d'incidents, alertes sectorielles et formulaire de signalement pour les entreprises suisses.
- Loi fédérale sur la protection des données (nLPD) — fedlex.admin.ch — Texte consolidé de la loi entrée en vigueur le 01.09.2023, notamment les art. 24 et 25 sur la violation de données.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) — Procédure de notification en cas de violation de données personnelles.
- CIS Benchmarks — Center for Internet Security — Référentiels de durcissement pour Windows, macOS et systèmes réseau, applicables aux PME.
- NIST Cybersecurity Framework — nist.gov — Cadre de gestion du risque cybersécurité utilisé comme grille d'évaluation de la maturité organisationnelle.