Prévention des ransomwares par la gestion des vulnérabilités

Écrit par ExposIQ | mars 18, 2026

Le ransomware constitue la plus grande cybermenace pour les PME suisses. Les dommages vont d’interruptions d’activité de plusieurs jours au paiement de rançons, en passant par la perte totale de données. Pourtant, une idée reçue persiste : de nombreuses entreprises croient que les groupes de ransomware utilisent des exploits zero-day sophistiqués contre lesquels il est quasiment impossible de se protéger. La réalité est différente, et elle est à la fois préoccupante et encourageante.

Le ransomware exploite des vulnérabilités connues

La grande majorité des attaques par ransomware ne repose pas sur des vulnérabilités zero-day, mais sur des failles de sécurité connues et documentées depuis longtemps, pour lesquelles des correctifs sont disponibles. Les études montrent que plus de 80 pour cent des attaques par ransomware réussies exploitent des vulnérabilités connues depuis des mois, voire des années.

Cela signifie que ces attaques auraient pu être évitées dans la plupart des cas. Non pas grâce à une technologie coûteuse, mais par une gestion rigoureuse des vulnérabilités.

Le Centre national pour la cybersécurité (NCSC, aujourd’hui OFCS) de la Suisse a enregistré en 2023 et 2024 un flux constant de signalements de ransomware, notamment de la part des PME. Les vecteurs d’entrée les plus fréquents sont d’une prévisibilité alarmante.

Les points d’entrée les plus fréquents du ransomware

1. Passerelles VPN et appliances d’accès à distance

Les appliances VPN de Fortinet, Citrix, Ivanti et Pulse Secure figurent parmi les cibles préférées des groupes de ransomware. La raison est simple : ces appareils sont directement exposés sur Internet et offrent, en cas d’exploitation réussie, un accès immédiat au réseau interne.

Certaines des vulnérabilités les plus dévastatrices de ces dernières années concernaient précisément ces systèmes :

  • Fortinet FortiOS (CVE-2023-27997, CVE-2024-21762) : vulnérabilités critiques dans les pare-feux FortiGate, activement exploitées par des groupes de ransomware
  • Citrix NetScaler/ADC (CVE-2023-4966 « Citrix Bleed ») : permettait le vol de jetons de session et a été massivement exploitée par le groupe LockBit
  • Ivanti Connect Secure (CVE-2024-21887, CVE-2023-46805) : contournement d’authentification et injection de commandes, utilisés pour l’accès initial aux réseaux d’entreprise

Le plus pernicieux : de nombreuses PME utilisent ces appareils sans savoir quelle version de firmware est installée ni si des vulnérabilités connues les affectent. L’appliance « fonctionne » : c’est précisément le problème.

2. Remote Desktop Protocol (RDP)

Le RDP exposé reste l’un des vecteurs d’entrée de ransomware les plus fréquents. Les attaquants utilisent soit des attaques par force brute sur des mots de passe faibles, soit des vulnérabilités RDP connues comme BlueKeep (CVE-2019-0708). Tout système dont le port RDP (3389) est directement accessible depuis Internet est repéré en quelques heures par des scanners automatisés.

3. Microsoft Exchange Server

Les serveurs Exchange on-premise ont été une cible privilégiée ces dernières années. Les vulnérabilités ProxyShell et ProxyLogon (CVE-2021-26855 et apparentées) permettaient l’exécution de code à distance sans authentification. De nombreuses PME exploitent encore des serveurs Exchange qui ne sont pas entièrement patchés.

4. Applications web et CMS obsolètes

Les installations WordPress avec des plugins obsolètes, les systèmes Joomla ou les applications web développées en interne présentant des vulnérabilités d’injection SQL offrent également des points d’entrée. Via une application web compromise, un attaquant peut souvent accéder au serveur sous-jacent et se déplacer ensuite dans le réseau.

Pourquoi la sauvegarde seule ne constitue pas une prévention

« Nous avons des sauvegardes, donc nous sommes protégés. » Cette phrase revient dans presque chaque discussion avec une PME sur le ransomware. Et elle est fondamentalement erronée.

Les sauvegardes sont un élément important de la stratégie de récupération, mais elles n’empêchent pas une attaque. Les groupes de ransomware modernes ont fait évoluer leurs tactiques :

  • Double extorsion : avant que les données ne soient chiffrées, elles sont exfiltrées. Même si vous restaurez à partir de la sauvegarde, les attaquants menacent de publier des données sensibles.
  • Destruction des sauvegardes : les groupes de ransomware professionnels recherchent spécifiquement les systèmes de sauvegarde et les suppriment ou les chiffrent en premier. Si vos sauvegardes se trouvent dans le même réseau, elles sont impactées.
  • Persistance prolongée : les attaquants passent souvent des semaines dans le réseau avant de frapper. Pendant ce temps, ils comprennent votre infrastructure, identifient les systèmes critiques et préparent le maximum de dégâts.
  • Interruption d’activité : même avec des sauvegardes parfaites, la restauration prend des jours, voire des semaines. L’interruption d’activité engendre souvent des coûts supérieurs à la rançon elle-même.

La prévention, c’est-à-dire empêcher l’accès initial, est supérieure à toute mesure réactive. Et c’est précisément là qu’intervient la gestion des vulnérabilités.

Le scanning continu comme stratégie de prévention

La gestion des vulnérabilités réduit la surface d’attaque avant qu’un attaquant ne puisse l’exploiter. Le processus est clair :

  1. Créer de la visibilité : vous ne pouvez protéger que ce que vous connaissez. Un scan complet de vos systèmes externes et internes vous révèle votre surface d’attaque réelle.
  2. Identifier les vulnérabilités : des scanners automatisés vérifient vos systèmes contre des bases de données comptant plus de 64’000 CVE connus et détectent les logiciels obsolètes, les mauvaises configurations et les services exposés.
  3. Prioriser les risques : toutes les vulnérabilités ne sont pas également dangereuses. Les scores EPSS (Exploit Prediction Scoring System) montrent quelles vulnérabilités sont activement exploitées. Le catalogue KEV (Known Exploited Vulnerabilities) de la CISA répertorie les vulnérabilités effectivement exploitées dans la nature.
  4. Corriger de manière ciblée : avec des résultats priorisés, vous pouvez concentrer vos ressources limitées là où le risque est le plus élevé.
  5. Répéter en continu : de nouvelles vulnérabilités sont publiées quotidiennement. Un scan ponctuel est un instantané : seul un scanning régulier offre une protection durable.

Vérifier spécifiquement les passerelles VPN

Étant donné que les appliances VPN figurent parmi les points d’entrée les plus critiques, elles méritent une attention particulière. Mais c’est précisément là que réside le défi : de nombreux scanners de vulnérabilités détectent les ports ouverts, mais ne parviennent pas à déterminer de manière fiable la version spécifique du firmware d’une appliance Fortinet ou Ivanti.

ExposIQ résout ce problème avec une approche spécialisée : 28 chemins de connexion différents pour les produits VPN et d’accès à distance courants sont vérifiés de manière ciblée, combinés à des milliers de templates Nuclei testant des vulnérabilités spécifiques de ces produits. Ainsi, ce ne sont pas seulement les ports ouverts qui sont détectés, mais la vulnérabilité réelle de l’appliance qui est déterminée.

Appliquer les recommandations de l’OFCS

L’Office fédéral de la cybersécurité (OFCS, anciennement NCSC) recommande expressément aux entreprises suisses de réaliser des scans de vulnérabilités réguliers comme pilier de la cyberdéfense. Les recommandations concrètes comprennent :

  • Mise à jour régulière de tous les systèmes et applications
  • Réduction de la surface d’attaque par la désactivation des services non nécessaires
  • Segmentation du réseau pour contenir les mouvements latéraux
  • Authentification multi-facteurs pour tous les accès à distance
  • Surveillance continue de sa propre infrastructure

Toutes ces recommandations supposent que vous savez quels systèmes fonctionnent dans votre réseau et quelles vulnérabilités existent. Sans gestion des vulnérabilités, vous opérez à l’aveugle.

L’approche pragmatique pour les PME

La prévention du ransomware ne doit pas commencer par un budget de plusieurs millions. Une approche pragmatique pour les PME se présente ainsi :

  1. Immédiatement : vérifiez si des ports RDP ou des interfaces d’administration VPN sont directement accessibles depuis Internet
  2. À court terme : assurez-vous que vos appliances VPN disposent du dernier firmware
  3. À moyen terme : mettez en place des scans de vulnérabilités réguliers pour détecter les nouveaux risques précocement
  4. En continu : établissez un processus de correction rapide des vulnérabilités critiques

ExposIQ accompagne les PME suisses dans cette démarche. Avec plus de 35 moteurs de scan, 64’000 CVE et des vérifications spécialisées pour les passerelles VPN, la plateforme couvre les vecteurs d’entrée de ransomware les plus fréquents. Hébergée en Suisse, conforme à la nLPD et disponible dès CHF 99 par mois. Parce que la prévention est toujours moins coûteuse que la restauration : exposiq.ch

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.