De nombreux pays, ainsi que les 50 États américains, obligent les entreprises à signaler les violations de données susceptibles de compromettre des informations personnelles identifiables (PII). Le manquement à cette obligation peut entraîner des sanctions sévères. En vertu du RGPD, par exemple, les entreprises qui ne signalent pas les violations de données peuvent se voir infliger des amendes pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Cependant, le signalement des violations de données ne devrait pas être motivé par la crainte des sanctions.
Supposons que vous soyez victime d’une violation de données qui n’a pas besoin d’être signalée selon les critères en vigueur. L’attaque par ransomware infecte un seul serveur ne contenant aucune donnée importante, vous pouvez donc l’effacer et le réinstaller. Vous trouvez un cheval de Troie sur un terminal avant qu’il ne puisse exfiltrer des données. Ces attaques peuvent être considérées comme banales, mais elles méritent tout de même d’être signalées. Dans la lutte contre la cybercriminalité, tous les points de données sont importants.
Les groupes de ransomwares sont furtifs, chaque indice est donc crucial
Les pirates sont devenus très doués pour couvrir leurs traces pendant et après une cyberattaque réussie. Pendant que l’attaque est en cours, les ordinateurs infectés communiquent avec les pirates par des moyens de communication dissimulés appelés Commande et Contrôle (C2).
Le C2 consiste souvent à dissimuler le trafic malveillant sous l’apparence d’un trafic d’application ordinaire. Le malware peut également échapper à la détection en utilisant des ports peu courants à numéros élevés. Le balisage est une autre méthode permettant d’éviter la détection. Le malware diffuse des requêtes d’instructions à intervalles aléatoires, souvent des heures ou des jours après l’infection initiale.
En dissimulant le trafic et en agissant lentement, les pirates informatiques expérimentés peuvent contourner les heuristiques, les systèmes IDS/IPS et d’autres formes de défense. Au lieu d’attirer l’attention avec une vague d’activités, le malware reste en dessous du seuil de détection. Une fois l’attaque réussie, le malware s’efface ou se crypte, supprimant ainsi toute trace de son passage.
Cette combinaison de techniques signifie que les groupes de malwares peuvent être très difficiles à traquer. Par conséquent, s’ils commettent des erreurs, il devient essentiel pour les enquêteurs d’obtenir des preuves.
Chaque acteur malveillant laisse des informations traçables
Les groupes de ransomwares et les menaces persistantes avancées (APT) les plus performants peuvent opérer pendant des années sans interruption. Le groupe LockBit, par exemple, a été actif de 2019 à 2024 avant d’être démantelé. Le groupe de ransomwares actuellement connu sous le nom de BlackSuit opère sous différents noms depuis 2016, date à laquelle il a commencé à proposer le ransomware Hermes. Certains groupes APT, généralement soutenus par des États, sont actifs depuis plus d’une décennie.
Lorsque des groupes comme celui-ci opèrent pendant une longue période, ils développent des habitudes. BlackSuit accède souvent au système à l’aide d’un e-mail de phishing qui installe un cheval de Troie d’accès à distance appelé SystemBC. Les pirates utilisent Cobalt Strike et Mimikatz, ainsi que des outils plus légitimes tels que PowerShell et PSExec, pour se propager, persister et augmenter leurs privilèges. Enfin, ils s’appuient sur une stratégie de chiffrement partiel pour chiffrer plus rapidement un plus grand nombre de fichiers avant de déclencher les seuils de détection.
Pourquoi les attaques échouées deviennent-elles des indices pour les forces de l'ordre ?
Maintenant, imaginons que vous soyez responsable de la sécurité des systèmes d’information ou analyste en sécurité. Vous constatez qu’un de vos terminaux a été infecté par SystemBC alors qu’il était en train d’envoyer une balise vers un serveur C2. Vous prenez les mesures qui s’imposent et envoyez vos journaux à un enquêteur. À partir de ces informations, l’enquêteur considère l’utilisation de SystemBC comme un signe indiquant qu’il s’agit bien de BlackSuit. Il connaît maintenant l’adresse d’un serveur BlackSuit C2.
Est-ce que BlackSuit comprend immédiatement que sa tentative d’intrusion a échoué ? Peut-être pas. Est-ce que le serveur C2 en question est immédiatement désactivé après une tentative d’intrusion infructueuse ? Peut-être pas. Si le serveur est toujours actif, l’enquêteur peut potentiellement le localiser dans un centre de données physique et découvrir qui le loue. En combinant les informations recueillies avec celles d’autres enquêteurs, il pourrait potentiellement fermer le serveur du groupe et procéder à des arrestations.
Pour information, l’exemple ci-dessus est à peine fictif. Le 24 juillet 2025, un groupe de travail conjoint composé des forces de l’ordre américaines et européennes a saisi les domaines et l’infrastructure de BlackSuit, récupérant des données susceptibles de démasquer les membres du groupe. Des conseils comme celui indiqué ci-dessus ne sont pas seulement utiles en théorie : ils peuvent avoir des implications concrètes qui permettent de mettre fin à la cybercriminalité.
Comment signaler un incident de cybersécurité (quelle que soit son ampleur)
Les signalements d’incidents de cybersécurité peuvent commencer au niveau local et finir par avoir une portée mondiale. Croyez-le ou non, mais le service de police de votre région est généralement le premier organisme à contacter pour signaler un incident de cybersécurité. De plus en plus souvent, ces services disposent d’enquêteurs spécialisés dans le domaine de la cybercriminalité. Ils seront en mesure d’enregistrer votre signalement et de vous diriger vers les autorités ou administrations compétentes selon le besoin.
Aux États-Unis, vous pouvez vous adresser à l’Internet Crime Complaint Center (IC3), une ressource issue d’un partenariat entre le ministère américain de la Justice et le FBI. Ce service sera en mesure d’examiner votre dossier et de le transmettre aux autorités locales, aux agences fédérales ou même internationales si nécessaire.
Si vous êtes dans un pays membre de l’Union européenne, vous devrez probablement prendre contact avec un service chargé de la cybercriminalité spécifique à votre pays. Pour les incidents de plus grande ampleur, Europol gère le Centre européen de lutte contre la cybercriminalité (EC3). Ce département recueille des informations sur divers acteurs malveillants et contribue à coordonner les activités entre les différents États de l’UE. Il propose également une assistance technique d’urgence pour aider à remédier aux incidents de grande envergure.
N’oubliez pas que même si un incident est relativement mineur et que le rapport d’incident est uniquement transmis au commissariat de votre région, ces informations restent accessibles aux enquêteurs internationaux. Le moindre indice peut s’avérer déterminant pour démanteler des organisations criminelles de plus grande envergure.
Minimisez les risques d'intrusion avec Barracuda
Il y a une différence entre « ne pas signaler les incidents de cybersécurité » et « n’avoir aucun incident de cybersécurité à signaler ». Barracuda propose une solution de cybersécurité complète en tant que service qui vous aide à protéger vos terminaux, à détecter les vulnérabilités en temps réel et à augmenter vos ressources informatiques. Découvrez Barracuda Managed XDR et la façon dont nous pouvons vous aider à accélérer votre délai de détection et d’atténuation de plusieurs jours à quelques heures, réduisant ainsi considérablement le risque de subir un incident de cybersécurité nécessitant d’être signalé.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
