D’après une étude de FireEye, une société de cybersécurité américaine, la plupart des ransomwares ont lieu soit pendant la nuit, soit le week-end. Pour être précis : 76% des ransomwares visant les entreprises se produisent en dehors des heures de travail.

Les ransomwares se produisent en majorité le week-end.

Crédit : FireEye

Des ransomwares de plus en plus sournois

L’enquête montre que les hackers préfèrent déclencher une cyberattaque le soir ou le week-end, mais pour quelles raisons ? Tout simplement parce que la plupart des entreprises n’ont pas d’équipes informatiques à plein temps. En dehors des horaires de travail, les infrastructures des entreprises sont beaucoup plus vulnérables. Si on regarde dans le détail, on s’aperçoit que 27% des ransomwares ont lieu le week-end.

L’enquête de FireEye a été réalisée sur des dizaines de cyberattaques menées entre 2017 et 2019. Les résultats sont implacables. En agissant la nuit ou le week-end, les pirates sont mois inquiétés par les alertes de sécurité déclenchées au sein de l’entreprise. Sur ces plages horaires, personne ne peut réagir immédiatement et fermer le réseau. Le processus de ransomware a donc plus de chance d’aboutir.

D’après FireEye, les hackers s’introduisent dans le réseau d’une entreprise en se « déplaçant » sur plusieurs ordinateurs pour maximiser les chances de l’attaque. La société de cybersécurité estime qu’en général, trois jours s’écoulent entre la compromission initiale et l’attaque réelle. Dans tous ces cas, le ransomware est déclenché sur l’ordre de l’attaquant, et non pas automatiquement une fois qu’un réseau est infecté. Les hackers sont capables de décider avec précision du moment le plus approprié pour attaquer un réseau.

Des attaques qui visent souvent les établissements de santé

En France, le CHU de Rouen a été victime d’un ransomware le 15 novembre 2019. Cette attaque a eu un impact direct sur le CHU normand. Les patients qui n’étaient pas en situation d’urgence ont été orientés vers d’autres établissements, la prise en charge des patients, les prescriptions, la gestion des admissions… ont été perturbées. L’attaque a entraîné des délais très longs de prise en charge, même s’il n’y a pas eu de mise en péril de la santé des personnes hospitalisées.

Parmi les ransomwares les plus célèbres, on pense forcément à WannaCry ou à Petya. WannaCry est une attaque qui avait totalement déstabilisé le Natural Health Service (NHS), le service de santé britannique. Les hôpitaux avaient alors dû refuser des patients, incapables de les prendre en charge. De nombreux experts soupçonnent la Corée du Nord d’être à l’origine de WannaCry.