Les ransomwares ne forcent pas les pare-feux — ils passent par des portes que les collaborateurs maintiennent ouvertes. Chaque attaque par ransomware commence par un comportement humain : un clic, un téléchargement, un identifiant partagé. Les défenses techniques sont nécessaires mais insuffisantes sans renforcement comportemental continu.
8h47 — Quand le cabinet du Dr Martinez s’est éteint
Le Dr Martinez dirigeait son cabinet dentaire depuis 15 ans. Son équipe avait suivi la formation annuelle de sécurité. Son prestataire IT avait installé un antivirus et un pare-feu. Sur le papier, il faisait ce qu’il fallait.
Puis Jessica, du service facturation, a ouvert ce qui ressemblait à un e-mail parfait de leur fournisseur de matériel dentaire. Elle a cliqué sur la pièce jointe — un PDF qui semblait être une grille tarifaire mise à jour.
En moins de 6 heures, tous les ordinateurs du cabinet affichaient le même message :
« VOS FICHIERS ONT ÉTÉ CHIFFRÉS. PAYEZ 50 000 $ EN BITCOIN SOUS 48 HEURES OU PERDEZ TOUT À JAMAIS. »
Jessica n’était pas négligente. Elle n’était pas ignorante. Elle avait eu de bons résultats à son quiz de formation anti-phishing. L’e-mail était bien conçu, utilisant de vrais détails sur les commandes récentes du cabinet.
Sur le moment, ses connaissances acquises n’ont pas pris le pas sur sa réponse habituelle aux e-mails fournisseurs. C’est l’histoire de presque toutes les attaques par ransomware.
Pas un exploit technique sophistiqué. Un comportement humain qui a ouvert la porte — exactement le schéma documenté dans pourquoi la formation seule ne change pas le comportement.
L’anatomie comportementale d’une attaque par ransomware
Étape 1 : la phase de reconnaissance (des semaines avant l’attaque)
Les criminels n’envoient pas simplement des e-mails au hasard. Ils étudient leurs cibles :
- Les profils LinkedIn révèlent qui travaille à la finance, qui gère les paiements fournisseurs
- Les sites web d’entreprise montrent les relations fournisseurs et les processus métiers
- Les réseaux sociaux révèlent quand les personnes clés sont en vacances ou en déplacement
- Les offres d’emploi révèlent quels outils et systèmes l’entreprise utilise
Cette reconnaissance produit des attaques hautement personnalisées. L’e-mail que Jessica a reçu n’était pas un spam générique. Il était spécifiquement conçu pour son rôle, utilisant de vrais détails sur la chaîne d’approvisionnement de son entreprise — le type de pretexting que nous décortiquons dans la défense contre l’ingénierie sociale.
Étape 2 : l’exploit comportemental
C’est le moment qui compte. Le criminel n’exploite pas une vulnérabilité logicielle. Il exploite un schéma comportemental :
Traitement habituel des e-mails. Jessica ouvrait des e-mails fournisseurs des dizaines de fois par semaine. C’était automatique, partie intégrante de son flux de travail. Le module de formation qu’elle avait suivi 4 mois plus tôt disait « vérifiez les e-mails suspects », mais celui-ci ne semblait pas suspect. Il semblait routinier.
Ouverture de pièces jointes sans vérification. La formation disait « n’ouvrez pas les pièces jointes inattendues ». Mais Jessica s’attendait à des mises à jour tarifaires fournisseurs. La pièce jointe était « attendue » dans son modèle mental.
Pas de réflexe de vérification. La formation disait « en cas de doute, vérifiez ». Mais Jessica n’avait pas de doute. L’e-mail a passé son filtre conscient parce qu’il correspondait parfaitement à ses attentes.
Étape 3 : la phase de présence (dwell phase)
Après l’accès initial, les criminels passent typiquement 2 à 6 semaines dans le réseau :
- Cartographier les données précieuses
- Identifier les systèmes de sauvegarde (pour les désactiver)
- Élever leurs privilèges
- Choisir le moment de l’attaque pour un impact maximal
Pendant toute cette phase, le criminel mise sur des comportements : que personne ne remarquera les schémas d’accès inhabituels, que les identifiants seront réutilisables d’un système à l’autre, que les outils de sécurité alerteront sur des signatures techniques mais pas sur des anomalies comportementales.
Étape 4 : le déclenchement
Le ransomware se déploie. Les dégâts sont faits. Et le post-mortem commence.
Le post-mortem identifie presque toujours la chaîne technique : pièce jointe malveillante > exécution de macro > mouvement latéral > chiffrement.
Le post-mortem n’aborde presque jamais la chaîne comportementale : traitement habituel des e-mails > pas de réflexe de vérification > réutilisation d’identifiants permettant le mouvement latéral > personne n’a remarqué le comportement anormal pendant la phase de présence.
Pourquoi les contrôles techniques seuls ne suffisent pas
Le problème du « on a un antivirus »
L’antivirus attrape les menaces connues. Les ransomwares modernes utilisent des méthodes de diffusion inédites, des exploits zero-day et des techniques sans fichier qui échappent à la détection par signature. Au moment où une nouvelle variante entre dans la base antivirus, elle a déjà été déployée.
Le problème du « on a un filtrage e-mail »
La sécurité e-mail en attrape beaucoup, mais le spear-phishing sophistiqué qui utilise de vrais détails fournisseurs et des domaines propres passe au travers. Si l’attaquant cible votre organisation spécifique, il concevra des e-mails qui contourneront vos filtres spécifiques. L’IA rend cela encore plus efficace et plus passable à l’échelle.
Le problème du « on a des sauvegardes »
Les sauvegardes sont essentielles. Mais les groupes de ransomwares modernes ciblent spécifiquement les systèmes de sauvegarde. Ils passent des semaines à les identifier et à les désactiver avant de déclencher l’attaque. Si l’exploit comportemental leur donne assez de temps de présence, vos sauvegardes ne vous sauveront peut-être pas.
Le fil conducteur
Tout contrôle technique peut être contourné quand le point d’entrée initial est un comportement humain.
Le pare-feu n’empêche pas un employé de cliquer sur un lien. L’antivirus n’empêche pas quelqu’un de partager des identifiants. Le filtre e-mail n’attrape pas tous les e-mails de phishing soigneusement conçus.
La couche comportementale est celle que les contrôles techniques ne peuvent pas couvrir entièrement — c’est pourquoi les architectures zero-trust ont toujours besoin d’une couche comportementale pour fonctionner réellement.
La défense comportementale : changer ce que les gens font, pas seulement ce qu’ils savent
Défense 1 : construire des réflexes de vérification, pas seulement de la sensibilisation
Le problème : Jessica « savait » qu’il fallait vérifier les e-mails suspects. Mais l’e-mail ne semblait pas suspect, donc l’étape de vérification ne s’est jamais déclenchée.
L’approche comportementale :
- Déployer des micro-quiz continus qui simulent des scénarios réalistes dans Slack/Teams via le cybertraining contextuel
- Utiliser la répétition espacée pour ancrer le réflexe de vérification à des intervalles scientifiquement chronométrés
- Rendre les quiz spécifiques à votre PSSI : « Votre politique de sécurité exige que les communications de paiement fournisseur soient vérifiées par téléphone avant toute action »
- Suivre si les employés vérifient réellement en pratique, pas seulement s’ils répondent correctement au quiz
L’objectif : faire de la vérification un réflexe qui se déclenche automatiquement pour certaines catégories de communication, indépendamment du fait que l’e-mail spécifique « semble » suspect.
Défense 2 : traiter les comportements habituels, pas seulement la conscience des risques
Le problème : ouvrir des e-mails fournisseurs est habituel. Les habitudes résistent au changement par la seule information. C’est l’écart connaissance-comportement en action.
L’approche comportementale :
- Les outils d’audit SaaS observent les vrais schémas de traitement des e-mails dans toute l’organisation
- Identifier quelles équipes ont le traitement le plus habituel et non vérifié des e-mails sensibles
- Déployer des nudges ciblés : « Équipe finance : votre PSSI exige que les e-mails avec pièces jointes d’expéditeurs externes soient vérifiés avant ouverture. Cette semaine, 3 pièces jointes non vérifiées ont été ouvertes. »
- Décaler progressivement l’habitude en faisant du bon comportement (vérifier, puis ouvrir) la nouvelle réponse automatique
Défense 3 : surveiller les anomalies comportementales pendant la phase de présence
Le problème : les criminels passent des semaines dans le réseau en utilisant des identifiants compromis. Les outils techniques cherchent des signatures. L’observation comportementale cherche des schémas.
L’approche comportementale :
- Les outils d’audit SaaS détectent quand les comptes sont utilisés selon des schémas inhabituels (horaires inhabituels, accès aux données inhabituels, partage de fichiers inhabituel)
- Les nudges alertent les employés quand leur compte montre une activité qu’ils n’ont pas initiée : « Votre compte a été utilisé pour accéder à [système] à 2h47. C’était bien vous ? »
- La surveillance du partage d’identifiants attrape les mouvements latéraux qui viennent des identifiants réutilisés — un sujet que nous couvrons en détail dans la sécurité des mots de passe en entreprise
- La couche comportementale attrape ce que la couche technique manque
Défense 4 : créer une culture du signalement qui attrape les attaques tôt
Le problème : beaucoup d’attaques par ransomware réussissent non pas parce que le clic initial n’a pas été détecté, mais parce que personne n’a signalé les premiers signaux d’alerte.
L’approche comportementale :
- Les nudges normalisent le signalement : « Vous voyez quelque chose d’inhabituel ? Le signaler prend 10 secondes et pourrait prévenir un incident majeur. Écrivez sur #security-alerts. »
- Suivre les taux de signalement comme une métrique comportementale clé — fondement d’un véritable pare-feu humain
- Célébrer les détections : « Alex de la comptabilité a signalé un e-mail suspect cette semaine qui s’est avéré être une vraie tentative de phishing ciblant notre équipe finance. »
- Ne jamais punir celui qui signale, même s’il a causé le problème initial
L’économie de la prévention comportementale
Ce que coûte vraiment un ransomware
En prenant le cas du Dr Martinez comme référence :
Semaine 1 : l’attaque. Cabinet fermé. Pas de chiffre d’affaires, pas de prise en charge des patients. Chiffre d’affaires perdu : 18 000 $. Intervention IT d’urgence : 8 000 $.
Semaine 2 : le chaos. Reprise partielle. Dossiers patients reconstitués manuellement. Chiffre d’affaires perdu : 15 000 $. Heures supplémentaires : 3 000 $.
Mois 1 : les conséquences. Des patients partent. Les assureurs remettent en cause les dossiers. Patients perdus : 25 000 $ en valeur à vie. Frais juridiques et de notification : 8 000 $.
Année 1 : les coûts cachés. Primes d’assurance doublées. Nouveaux investissements de sécurité. Atteinte à la réputation. Coûts supplémentaires : 20 000 $+.
Total : 97 000 $+ suite à un seul clic d’un seul employé.
Ce que coûte la prévention comportementale
Un programme comportemental continu (audits SaaS, nudges, micro-quiz dans Slack/Teams) coûte une fraction d’un seul incident de ransomware. Pas par an. Par incident.
Le calcul n’est pas compliqué :
- Prévention comportementale : coût mensuel récurrent
- Une attaque par ransomware évitée : économise 97 000 $+ (moyenne pour les PME, beaucoup plus pour les grandes organisations)
- Seuil de rentabilité : prévenir un seul incident en plusieurs années d’activité
La plupart des organisations font face à des tentatives d’attaque chaque mois. Le ROI se mesure en multiples, pas en pourcentages — voir le guide cybersécurité pour PME pour le découpage budgétaire.
Comment les restaurants de Maria ont vaincu un ransomware
Maria possède trois restaurants. Un vendredi soir, un ransomware a frappé ses systèmes de point de vente.
Ce qui s’est passé :
- La détection automatisée a attrapé l’attaque en 30 secondes
- Les systèmes de sauvegarde ont restauré les opérations en 4 minutes
- Les clients n’ont rien remarqué
Mais voici la vraie histoire : l’attaque n’aurait jamais dû aller aussi loin.
Deux mois plus tôt, l’audit SaaS de Maria avait signalé que son personnel ouvrait des pièces jointes sans vérification. Des nudges ont été déployés. Des micro-quiz ont ancré l’habitude de vérification.
Le personnel était sollicité dans Teams chaque semaine : « Un e-mail arrive d’un fournisseur alimentaire avec une facture en pièce jointe. Quelle est votre première étape avant de l’ouvrir ? »
L’e-mail de phishing qui a livré le ransomware a été ouvert par un membre du personnel qui venait d’arriver et n’avait pas encore suivi le programme de nudges. Tous les autres employés de l’équipe avaient déjà signalé des e-mails similaires les semaines précédentes.
Les contrôles techniques de Maria (sauvegardes, détection) ont sauvé la situation. Mais son programme comportemental réduisait déjà la surface d’attaque.
Le plan pratique de défense contre les ransomwares
Jours 1-7 : observer et protéger
Bases techniques (faites-les si ce n’est pas déjà fait) :
- Mettre en œuvre la règle de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site)
- Activer le MFA sur tous les comptes critiques
- Mettre à jour tous les logiciels et systèmes d’exploitation
Observation comportementale :
- Déployer des outils d’audit SaaS pour voir comment votre équipe gère réellement les e-mails, les identifiants et les données
- Identifier les 3 comportements les plus à risque dans votre organisation
- Les cartographier aux sections de votre PSSI — guidance pertinente dans la conformité PSSI pour les entreprises françaises
Jours 8-14 : commencer les nudges
- Déployer des nudges ciblés sur le comportement le plus à risque (généralement la vérification des e-mails)
- Diffuser via Slack/Teams, pas par e-mail (l’e-mail est le vecteur d’attaque — ne l’utilisez pas pour la défense)
- Référencer vos sections spécifiques de PSSI
- Garder les nudges à moins de 30 secondes
Jours 15-21 : construire la répétition espacée
- Lancer des micro-quiz qui ancrent l’habitude de vérification des e-mails
- Calendrier : Jour 1, Jour 3, Jour 7, Jour 14, puis mensuel
- Utiliser des scénarios réalistes pertinents pour votre secteur et vos rôles
- Suivre la complétion et la justesse
Jours 22-30 : mesurer et ajuster
- Comparer les métriques comportementales du Jour 1 au Jour 30
- Quels nudges ont produit le plus de changement de comportement ?
- Quelles équipes se sont le plus améliorées ?
- Où sont les écarts persistants ?
- Ajuster votre programme de nudges sur la base de données comportementales réelles — et l’associer à des simulations de phishing pour une couverture complète du vecteur e-mail lui-même
En continu : défense comportementale permanente
- Revue mensuelle des métriques comportementales
- Analyse trimestrielle de l’efficacité des nudges
- Surveillance continue des audits SaaS pour les nouveaux schémas à risque
- Répétition espacée qui maintient les comportements appris
- Célébration des bons comportements de sécurité
Les trois types d’entreprises
| Type | Description | Réalité |
|---|---|---|
| Défense par espoir | « On a un antivirus et des sauvegardes. Notre équipe a fait la formation l’année dernière. » | Risque le plus élevé. Les contrôles techniques sans renforcement comportemental laissent le plus grand écart. |
| Défense technique | « On a les meilleurs outils de sécurité : EDR, SIEM, filtrage e-mail, segmentation. » | Bien mieux. Mais le point d’entrée initial (le comportement humain) n’est toujours pas traité. |
| Comportementale + technique | « On a de solides contrôles techniques ET on observe et corrige en continu les comportements humains. » | Cible la plus difficile. Les attaquants doivent franchir à la fois des barrières techniques et des schémas comportementaux améliorés. |
En résumé
Les ransomwares ne franchissent pas les pare-feux. Ils passent par des portes que les collaborateurs maintiennent ouvertes.
Non pas parce que les employés sont négligents ou stupides. Parce qu’ils sont humains. Ils ont des habitudes, des raccourcis cognitifs et des schémas comportementaux que des criminels bien renseignés savent exploiter.
Les défenses techniques (sauvegardes, filtrage e-mail, antivirus, EDR) sont nécessaires. Elles sont votre filet de sécurité. Mais la couche comportementale est ce qui empêche la chute en premier lieu.
Corriger les comportements, c’est :
- Observer ce que les gens font réellement via les audits SaaS
- Nudger au moment du comportement avec des conseils ancrés dans votre PSSI
- Renforcer par la répétition espacée calée sur la courbe de l’oubli
- Mesurer le changement de comportement, pas la complétion de la formation
- Construire une culture où le signalement est récompensé et les erreurs sont des opportunités d’apprentissage
Quand un incident survient, assurez-vous que votre plan de réponse à incident traite la cause comportementale racine, pas seulement la chaîne technique. Et si on vous demande de prouver que cela fonctionne à des auditeurs, la conformité a besoin de preuves comportementales — pas de PDF de politique.
La question n’est pas de savoir si les attaquants vont essayer. C’est de savoir si les comportements de vos collaborateurs vont les laisser réussir.
Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — combine audits comportementaux SaaS, nudges en temps réel dans Slack et Teams, et quiz à répétition espacée ancrés dans votre PSSI. C’est la couche comportementale qui transforme la porte par laquelle les attaquants passent en une porte qui se ferme d’elle-même.
Sources : IBM Cost of a Data Breach Report 2024 · Verizon 2024 DBIR · RAND — Beyond Technicality
