Databack - Récupération de données
Demander un devis
LE BLOG

Ransomware WannaCry : comprendre l’attaque, ses chiffres, et les solutions

En mai 2017, le ransomware WannaCry a déclenché une vague d’attaques d’une ampleur rarement vue, touchant entreprises, hôpitaux, administrations, et particuliers, partout dans le monde. 

Qu’est‑ce qu’une attaque par ransomware WannaCry ?

Pour bien comprendre WannaCry, il faut d’abord rappeler ce qu’est un ransomware. Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre vos fichiers, et vous empêche d’y accéder, puis vous réclame une rançon, le plus souvent en cryptomonnaie, pour soi‑disant les déchiffrer.

Une attaque par ransomware WannaCry suit, dans les grandes lignes, le même principe, mais avec des caractéristiques qui la rendent particulièrement inquiétante, et presque pandémique à l’époque :

  • Infection: le logiciel malveillant s’installe sur un poste Windows vulnérable, souvent via un port réseau exposé, sans action de l’utilisateur.
  • Chiffrement: les fichiers les plus importants sont chiffrés (documents, images, bases de données), rendant le travail quotidien quasiment impossible.
  • Demande de rançon: un message s’affiche, réclamant en général l’équivalent de 300 à 600 dollars en Bitcoin, avec un compte à rebours, et la menace d’effacer les données.
  • Propagation automatique: c’est la particularité de WannaCry, il se propage de machine en machine, à l’intérieur d’un réseau, de façon presque autonome.

Autrement dit, si vous êtes dans la peau d’un responsable informatique en 2017, un seul poste infecté, non corrigé, pouvait suffire à contaminer rapidement une grande partie de votre parc, avec un effet de dominos saisissant.

ransomware wannacry

Retour sur 2017 : l’attaque WannaCry en quelques chiffres clés

Pour mesurer la gravité de l’épisode WannaCry, il est utile de regarder quelques chiffres, issus de rapports publics, et d’analyses de plusieurs acteurs de la cybersécurité.

IndicateurValeur approximativeCommentaires
Machines infectées> 200 000Ordinateurs compromis dans les premiers jours de l’attaque, dans le monde entier.
Pays touchés≈ 150Présence détectée sur tous les continents, y compris en Europe, en Asie, et en Amérique.
Montant total des rançons payéesEnviron 130 000 $Somme observée sur les portefeuilles Bitcoin associés à l’attaque.
Coût économique globalPlusieurs milliards $Estimations situées, selon les sources, entre 4 et 8 milliards de dollars de pertes.
Entreprises affectéesDes dizaines de milliersDe grandes entreprises industrielles, des hôpitaux, des administrations nationales.

Concrètement, des services publics de santé ont dû reporter des milliers de rendez‑vous, des chaînes de production se sont arrêtées, des transports ont été perturbés. Le choc a été tel que, dans de nombreuses organisations, la cybersécurité est passée d’un sujet périphérique, à une préoccupation stratégique, et quasi existentielle.

Comment WannaCry a‑t‑il réussi à se propager aussi vite ?

À ce stade, vous vous demandez sans doute comment un seul ransomware a pu, à lui seul, se diffuser si largement, en si peu de temps. La réponse tient à un enchaînement de facteurs techniques, organisationnels, et humains.

Une vulnérabilité Windows critique, exploitée à grande échelle

WannaCry exploite une vulnérabilité du protocole SMBv1(Server Message Block) des systèmes Microsoft Windows, connue sous le nom de MS17‑010. Microsoft avait publié un correctif de sécurité en mars 2017, soit environ deux mois avant l’attaque majeure de mai 2017.

Dans les faits, beaucoup d’organisations n’avaient pas encore déployé ce correctif, parfois par manque de temps, parfois par crainte de perturber des applications anciennes, parfois simplement par absence de processus de mise à jour rigoureux. WannaCry a profité de cette vulnérabilité, et s’est propagé de machine en machine, de façon quasi automatique.

Un « ver » plutôt qu’un simple ransomware

Une subtilité importante, souvent méconnue, réside dans le mode de propagation. WannaCry n’est pas seulement un ransomware, c’est aussi un ver informatique(worm). Autrement dit, il scanne les réseaux, et cherche activement d’autres machines vulnérables, pour s’y copier, sans interaction de l’utilisateur.

Dans un réseau d’entreprise, avec des postes souvent interconnectés, parfois peu segmentés, un ver de ce type peut se répandre de façon ubiquitaire, en quelques minutes, et dépasser très vite la capacité de réaction des équipes internes.

Des systèmes obsolètes, et une gestion des correctifs lacunaire

Un autre élément décisif, c’est la présence de nombreux systèmes obsolètes, ou non maintenus, dans les organisations touchées. On a observé, par exemple, des postes sous Windows XP, ou Windows Server 2003, des systèmes déjà hors support standard, mais encore utilisés pour piloter des équipements industriels, ou des terminaux spécialisés.

Ces machines, rarement redémarrées, parfois considérées comme trop « sensibles » pour être mises à jour, se sont révélées être des points d’entrée idéaux pour WannaCry, et ont facilité une propagation systémique, difficile à endiguer.

Quels enseignements tirer de WannaCry, pour vous aujourd’hui ?

La bonne nouvelle, c’est que l’épisode WannaCry a servi de déclencheur, presque cathartique, pour de nombreuses organisations. Il a mis en évidence, de façon brutale, les faiblesses de certaines pratiques, et il a montré qu’un effort coordonné, et régulier, permet de réduire considérablement le risque.

Si vous vous projetez dans votre propre contexte, que vous soyez dirigeant, responsable informatique, ou simple utilisateur concerné, plusieurs enseignements concrets se dégagent.

1. La mise à jour des systèmes n’est plus optionnelle

Première leçon, essentielle : un système non mis à jour, expose toute l’organisation, pas seulement le poste concerné. Dans le cas de WannaCry, deux éléments sont particulièrement parlants :

  • Le correctif MS17‑010 était disponible 2 mois avant l’attaque massive.
  • Les organisations ayant appliqué ce correctif à temps, ont généralement été épargnées, ou très peu touchées.

Pour vous, cela se traduit par la nécessité d’un processus de gestion des correctifs clair, documenté, et régulier. Même si certaines mises à jour semblent prosaïques, ou contraignantes, leur absence peut avoir un impact disproportionné, en cas de vulnérabilité exploitée à grande échelle.

2. Les sauvegardes fiables restent votre filet de sécurité ultime

Un autre enseignement fondamental concerne les sauvegardes. Beaucoup d’organisations touchées par WannaCry se sont rendu compte, dans l’urgence, que leurs sauvegardes étaient incomplètes, mal testées, ou stockées sur des supports eux‑mêmes accessibles par le ransomware.

Pour limiter l’impact d’un rançongiciel, et retrouver une capacité opérationnelle rapidement, il est crucial de disposer de sauvegardes :

  • Régulières: quotidiennes, ou au minimum hebdomadaires, selon la criticité de vos données.
  • Désolidarisées: au moins une copie doit être hors ligne, ou isolée logiquement du réseau.
  • Testées: la restauration doit être vérifiée régulièrement, de façon presque méthodique.

Les organisations qui avaient des sauvegardes robustes ont pu, malgré l’attaque, restaurer leurs systèmes, limiter les pertes de données, et souvent éviter de payer la rançon, ce qui constitue un avantage déterminant.

3. La segmentation du réseau limite la propagation

WannaCry a tiré parti de réseaux peu segmentés, où un poste infecté pouvait communiquer trop librement avec le reste de l’infrastructure. En cloisonnant davantage, vous transformez votre réseau en une série de compartiments étanches, ce qui limite drastiquement la propagation latérale d’un malware.

Concrètement, il s’agit de :

  • Isoler les serveurs critiques, des postes utilisateurs, par des règles de filtrage strictes.
  • Séparer les environnements de production, de test, et d’administration.
  • Restreindre l’usage de protocoles anciens, comme SMBv1, uniquement aux cas absolument nécessaires, voire les désactiver totalement.

Ainsi, même si un point d’entrée est compromis, l’attaque reste contenue, et vos capacités de réaction demeurent intactes.

Wannacry ransomware

Quelles actions concrètes mettre en place contre les ransomwares, y compris WannaCry ?

Passons maintenant à un plan d’action plus opérationnel, que vous pouvez adapter à votre organisation, qu’elle soit modeste, ou de grande envergure. L’objectif est de réduire, autant que possible, la probabilité d’infection, et l’impact d’un incident si, malgré tout, il survient.

1. Mettre en place une politique de mises à jour rigoureuse

Il s’agit souvent de la mesure la plus rentable, et pourtant, elle reste parfois négligée. Une politique efficace devrait inclure :

  • L’inventaire précis des systèmes et logiciels utilisés dans votre organisation.
  • Un processus automatique, ou semi‑automatique, de déploiement des correctifs de sécurité.
  • Des tests rapides, mais systématiques, sur un petit périmètre, avant un déploiement global.
  • Un suivi des systèmes obsolètes, avec un plan de remplacement, ou d’isolement renforcé.

En procédant ainsi, vous réduisez considérablement la surface d’attaque, face non seulement à WannaCry, mais aussi à toute une myriade d’autres malwares.

2. Désactiver les protocoles hérités, quand c’est possible

WannaCry a exploité une version ancienne, et vulnérable, du protocole SMB. Une bonne pratique consiste à désactiver, ou à restreindre, les protocoles considérés comme obsolètes, chaque fois que c’est possible sans compromettre vos opérations.

En d’autres termes, il peut être judicieux de :

  • Désactiver SMBv1, sauf cas très spécifiques, dûment justifiés.
  • Limiter l’exposition de services sensibles vers l’extérieur, via des pare-feu, et des listes de contrôle d’accès.
  • Mettre en œuvre le principe du moindre privilège, afin que chaque service, chaque utilisateur, ne dispose que des droits strictement nécessaires.

Ces ajustements, parfois perçus comme techniques, ont pourtant un effet très tangible sur la résilience globale de votre système d’information.

3. Renforcer la protection des postes et serveurs

En parallèle, un socle de protection technique sur les postes de travail, et les serveurs, reste indispensable. Cela comprend notamment :

  • Un antivirus, ou une solution de sécurité endpoint, à jour, et correctement configurée.
  • Un filtrage des pièces jointes, et des liens, au niveau de la messagerie.
  • Un blocage, autant que possible, de l’exécution de programmes inconnus, ou non approuvés.
  • La journalisation des événements de sécurité, pour faciliter la détection précoce, et l’analyse des incidents.

Loin d’être une panacée, ces mesures augmentent cependant votre capacité à détecter, et à bloquer, une attaque avant qu’elle ne se propage largement.

4. Sensibiliser les utilisateurs, de façon pragmatique

WannaCry s’est principalement propagé via une vulnérabilité réseau, mais de nombreux ransomwares, avant et après lui, utilisent l’erreur humaine, comme levier d’infection. C’est pourquoi, au-delà de la technologie, la sensibilisation des utilisateurs est un pilier déterminant.

Il est utile, par exemple, d’expliquer clairement à vos équipes :

  • Comment reconnaître un mail suspect, une pièce jointe douteuse, ou un lien incohérent.
  • Pourquoi il ne faut jamais brancher de clés USB inconnues, même si cela semble anodin.
  • Quelles sont les bonnes pratiques de mots de passe, et d’authentification multi‑facteur.
  • Comment réagir, immédiatement, en cas de doute : alerter, isoler la machine, ne pas redémarrer sans consigne.

Une formation régulière, concrète, avec des exemples réalistes, contribue à faire de vos collaborateurs, non plus un maillon faible, mais une ligne de défense active.

5. Préparer un plan de réponse aux incidents

Enfin, malgré toutes les précautions, le risque zéro n’existe pas. C’est pourquoi disposer d’un plan de réponse aux incidents, clair, éprouvé, est une pièce maîtresse de votre dispositif.

Ce plan devrait préciser, de façon explicite :

  • Qui alerter, en cas de suspicion de ransomware, et par quel canal.
  • Comment isoler rapidement une machine compromise, ou un segment de réseau.
  • Quelles sont les étapes de restauration, depuis les sauvegardes, prioritaires.
  • Quels sont les interlocuteurs externes à mobiliser, au besoin (assureur cyber, prestataire, autorités compétentes).

En préparant ces procédures à l’avance, vous gagnez un temps précieux, et vous réduisez le risque de décisions improvisées, parfois coûteuses, dans la panique.

Faut-il payer la rançon en cas d’attaque type WannaCry ?

La question se pose souvent, surtout lorsque des données critiques sont chiffrées, et que la pression émotionnelle est forte. Dans le cas de WannaCry, beaucoup d’organisations n’ont pas payé, soit parce qu’elles disposaient de sauvegardes, soit parce qu’elles doutaient fortement de la capacité réelle des attaquants, à restituer les données.

D’un point de vue général, payer la rançon reste déconseillé, pour plusieurs raisons :

  • Rien ne garantit que vous récupérerez vos données, même en payant.
  • Vous financez, potentiellement, la poursuite d’activités criminelles.
  • Vous risquez d’être identifié comme une cible « solvable », et donc d’être de nouveau visé.

C’est précisément pour éviter d’être acculé à ce dilemme, qu’il est si important d’investir en amont, dans la prévention, les sauvegardes, et la préparation opérationnelle.

En conclusion : de l’épisode WannaCry, vers une cybersécurité plus mature

Si l’on prend un peu de recul, WannaCry a agi comme un révélateur, presque brutal, des fragilités accumulées, au fil des années, dans de nombreux systèmes d’information. Mais il a aussi montré qu’avec des pratiques plus matures, des mises à jour régulières, des sauvegardes fiables, et une organisation mieux préparée, l’impact de ce type d’attaque peut être fortement atténué.

En vous mettant à votre place, que vous soyez responsable d’une petite structure, d’un grand groupe, ou simple utilisateur, l’essentiel est de retenir que la protection contre les ransomwares n’est pas hors de portée. Elle repose sur une combinaison de gestes techniques, de rigueur organisationnelle, et de sensibilisation humaine, certes exigeante, mais parfaitement réaliste.En adoptant ces bonnes pratiques, en tirant parti des enseignements de WannaCry, vous renforcez durablement la résilience de vos systèmes, vous gagnez en sérénité, et vous réduisez la probabilité que votre organisation se retrouve, un jour, paralysée par un écran de rançon inattendu.

Article rédigé par

17 décembre 2025
RESTONS EN CONTACT
S'INSCRIRE À LA NEWSLETTER
En renseignant votre adresse email, vous acceptez de recevoir la newsletter de Databack. Vous pouvez vous désinscrire à tout moment grâce aux liens de désinscription présents en bas des contenus diffusés. Vous pouvez consulter notre politique de confidentialité dédiée pour en savoir plus.
Databack Linkedin