Barracuda full logo

L’attaque par ransomware du Nevada : des enseignements en matière de cyber-résilience à l’échelle d’un État

Thèmes:
11 déc. 2025
|
Christine Barry

Une planification stratégique et une réponse aux incidents qui transforment une attaque catastrophique en modèle de reprise

Ce qu’il faut retenir

  • La préparation porte ses fruits : les investissements antérieurs du Nevada en cyber-résilience ont permis une mobilisation et une reprise rapides, même après la suppression des volumes de sauvegarde par les pirates.
  • Des tactiques d’attaque sophistiquées : les acteurs malveillants sont restés indétectés pendant des mois et ont accédé à des milliers de fichiers sensibles.
  • Une réponse et une reprise coordonnées : des playbooks bien rodés, des relations établies avec les fournisseurs et des partenariats fédéraux ont permis au Nevada de restaurer les services essentiels en moins d’une semaine et d’atteindre une reprise complète en 28 jours.

En août 2025, les systèmes informatiques du gouvernement de l’État du Nevada ont soudainement cessé de fonctionner. Ce qui semblait au départ être une panne de routine était en fait une attaque par ransomware à grande échelle, touchant plus de 60 agences de l’État, dont les systèmes du Department of Motor Vehicles (DMV), les services sociaux, les forces de l’ordre, le service de paie de l’État, et bien d’autres. Certains systèmes sont restés inaccessibles pendant 28 jours.

 

Le Procureur général du Nevada annonce la fermeture des bureaux de l'État

L’attaque et son impact à l’échelle de l’État sont décrits en détail dans un rapport post-incident (AAR) publié vers la fin du mois d’octobre. L’AAR a été rédigé par Info-Tech Research Group, avec des contributions de la branche exécutive de l’État du Nevada et une déclaration liminaire du directeur informatique (DSI) de l’État. Le rapport offre une vue d’ensemble de l’attaque ainsi que des enseignements sur le plan de réponse aux incidents du Nevada. Les investissements antérieurs de l’État en matière de résilience et de préparation opérationnelle jouent un rôle central dans cette histoire. Vous pouvez télécharger le PDF ici.

Avant l’attaque

Le Nevada est entré dans cette crise mieux préparé que la plupart des États, grâce à des années de planification et d’exercices de réponse aux incidents. Selon le rapport :

  • Le Nevada a financé la planification de la réponse aux incidents, une cyberassurance et des mesures de durcissement technique ayant permis une reprise rapide. Les investissements antérieurs dans les stratégies de sauvegarde, la formation du personnel et la préparation à la reprise ont permis à l’État de se mobiliser rapidement, même après la suppression des volumes de sauvegarde par les pirates.
  • Des playbooks bien conçus et régulièrement répétés, combinés à des simulations annuelles multi-agences, ont permis à l’ensemble des agences de l’État de comprendre clairement leur rôle lors d’une urgence réelle. Ces exercices ont également instauré une structure de gouvernance unifiée pour la prise de décision et la communication.
  • Un programme de cyberassurance et des relations prénégociées avec Mandiant et d’autres fournisseurs ont facilité l’intervention rapide de spécialistes techniques et analystes légaux en l’espace de quelques heures. Des liens préexistants avec le DHS et le FBI ont permis une intégration fluide de l’assistance fédérale.

L’AAR attribue cette réponse maîtrisée et disciplinée à tous ces préparatifs.

L’attaque

Le rapport ne nomme ni les acteurs malveillants ni les souches de malwares : les rapports publics incluent rarement des détails susceptibles d’exposer des défenses ou d’aider d’autres pirates. Ces informations sont partagées en interne et via des groupes fermés comme les Information Sharing and Analysis Centers (ISAC) afin d’améliorer les défenses. Au 28 octobre 2025, l’AAR du Nevada demeure le compte rendu public le plus complet de ce cyberincident à l’échelle de l’État.

Accès initial

Le 14 mai 2025, un employé de l’État a téléchargé et exécuté par erreur un outil d’administration système piégé par un malware, depuis un site usurpé. Le pirate a utilisé des techniques d’empoisonnement SEO et des annonces Google Ads afin de faire apparaître le lien malveillant comme légitime. Bien que le rapport n’identifie pas le malware, les tactiques observées ressemblent à celles des attaques utilisant le chargeur Nitrogen. Même si l’attribution reste incertaine, les similitudes sont notables.

Le rapport ne confirme pas si l’employé disposait de privilèges administrateur, laissant ouvertes plusieurs hypothèses : comme des droits d’administrateur local ou l’utilisation d’un système où les outils administratifs étaient couramment installés.

Persistance et communications

Le malware installé le 14 mai a créé une porte dérobée restée active même après que Symantec a détecté et supprimé le fichier source le 26 juin. Cette porte dérobée a probablement modifié certaines configurations et laissé des artefacts non détectés par la protection des points de terminaison. Elle se connectait à l’infrastructure des pirates à chaque ouverture de session utilisateur, leur permettant d’opérer dans le contexte de l’utilisateur et de limiter les alertes issues des contrôles système globaux ou des anomalies réseau.

Élévation de privilèges et mouvement latéral

Après avoir pris pied sur un poste de travail, les pirates ont installé un outil de surveillance et de gestion à distance (RMM), leur permettant d’enregistrer les frappes clavier, de visualiser les écrans et, à terme, de capturer 26 jeux d’identifiants. L’outil RMM est devenu le principal moyen de collecter des informations, tandis que la porte dérobée garantissait un accès persistant. Dans ce contexte, voici le chemin probable utilisé entre le poste de travail / contexte utilisateur et l’accès au réseau et aux serveurs :

  • Démarrage avec un accès de niveau utilisateur, en maintenant la communication via la porte dérobée.
  • Installation manuelle d’un outil RMM commercial à l’aide des identifiants de l’utilisateur.
  • Utilisation de RMM pour capturer les identifiants standard et privilégiés, permettant les connexions administratives.
  • Exploitation de privilèges administrateur et du protocole RDP pour naviguer dans le réseau via des tunnels chiffrés.

Exfiltration de données

Les pirates ont regroupé des dizaines de milliers de fichiers sensibles dans une archive ZIP unique, divisée en six parties pour en faciliter le transfert. Les enquêteurs n’ont trouvé aucune confirmation d’exfiltration réussie ni de preuves sur des sites de fuite de données. Cependant, un communiqué du Bureau de la technologie du gouverneur datée du 27 août a suggéré que certaines données avaient pu être déplacées hors du réseau. Ces deux affirmations peuvent être compatibles, les critères de « preuve » et de « confirmation » variant selon les contextes.

L’AAR indique que 26 408 fichiers ont été consultés et que 3 241 fichiers ont potentiellement été exposés. L’un de ces fichiers contenait des informations personnelles concernant un ancien employé de l’État, qui a été notifié. Les enquêteurs poursuivent la surveillance afin de détecter d’éventuels signes d’exfiltration.

Chiffrement

La famille de ransomware et le binaire de chiffrement demeurent non identifiés. Avant le déploiement du ransomware, les pirates ont supprimé l’ensemble des volumes de sauvegarde et utilisé un accès de niveau racine sur le serveur de gestion de la virtualisation afin de chiffrer simultanément plusieurs machines virtuelles. 

 

Avis public du Bureau de la Technologie du Gouverneur de l'État du Nevada, publié sur LinkedIn

La perturbation du réseau a débuté vers 1 h 52 (heure du Pacifique), affectant le DMV, la sécurité publique, les services de santé, les tribunaux et d’autres portails à l’échelle de l’État. Une note de rançon a été déposée sur les systèmes affectés.

La réponse aux incidents

Le Bureau de la technologie du gouverneur a immédiatement fait remonter l’incident au DSI Timothy D. Galluzi ainsi qu’à d’autres responsables. L’équipe de réponse a alors :

  • isolé les machines virtuelles touchées ;
  • mobilisé les conseillers juridiques et Mandiant via les canaux de cyberassurance ;
  • déclenché les playbooks de reprise le jour même.

La reprise complète à l’échelle de l’État a pris 28 jours, mais les services essentiels ont été rétablis dès la première semaine. L’État a récupéré 90 % des données affectées et aucune rançon n’a été payée.

Améliorations post-incident

Suite à l'attaque, le Nevada a renforcé sa posture de cybersécurité grâce à plusieurs améliorations:

  • Extension de la détection et de la réponse aux terminaux (EDR) : L’État a renforcé la protection de ses points de terminaison en y intégrant des analyses comportementales avancées et une surveillance continue, réduisant le risque de persistance non détectée.
  • Initiatives en matière d’architecture Zero Trust : Le Nevada a accéléré l’adoption des principes Zero Trust, avec des contrôles d’identité plus stricts, une application rigoureuse du moindre privilège et une segmentation renforcée des systèmes critiques.
  • Stratégie de sauvegarde améliorée : L’État a introduit des Backup immuables et un stockage hors site pour empêcher les pirates de supprimer les volumes de récupération, garantissant ainsi une restauration plus rapide en cas d’incidents futurs.
  • Amélioration des contrats fournisseurs et de réponse aux incidents : Les accords prénégociés ont été révisés afin de garantir une mobilisation encore plus rapide des spécialistes en investigation et en reprise, avec des accords de niveau de service (SLA) plus clairs pour les situations d’urgence.
  • Formation complète du personnel : Les programmes de sensibilisation à la cybersécurité ont été élargis pour inclure des simulations d’hameçonnage et des formations à l’utilisation sécurisée des outils, réduisant le risque de compromission initiale.
  • Chasse aux menaces continue et exercices de type red teaming : Le Nevada a mis en place une équipe dédiée à la chasse aux menaces et programmé des évaluations régulières en red team afin d’identifier les vulnérabilités de manière proactive.
  • Opérations de sécurité centralisées : L'État a investi dans un centre d'opérations de sécurité (SOC) doté d'une surveillance 24/7, ainsi que de flux intégrés de renseignements sur les menaces pour une détection et une réponse en temps réel.

Rétrospective

L’évaluation de la performance de reprise de l’État est globalement positive. L’AAR souligne que le délai de reprise complet de 28 jours est « inférieur à la moyenne nationale » et « bien en deçà des délais habituellement observés dans le secteur public pour des incidents de cette ampleur ». Comparitech indique que le délai moyen de reprise pour les entités gouvernementales est de 27,8 jours. Le Nevada a toutefois restauré les services critiques en une semaine et a pu assurer le versement de l’ensemble des salaires dans les délais. L’État a également mené l’intégralité du processus de reprise sans payer de rançon pour le déchiffrement des fichiers. Si certains délais de reprise du Nevada sont inférieurs à la moyenne nationale, le délai global de 28 jours semble cohérent avec d’autres incidents comparables dans le secteur public.

Le temps de présence des attaquants dans l’environnement de 102 jours pourrait lui aussi être inférieur à la moyenne nationale. Selon Gregory Moody, de l’Université du Nevada à Las Vegas (UNLV), « il faut généralement entre sept et huit mois » pour détecter une intrusion de ce type. Le rapport d’IBM de 2024 sur le coût d’une violation de données indique que le délai moyen mondial d’identification est de 194 jours, soit environ 6 mois et demi.

En n’ayant pas payé de rançon, le Nevada a probablement économisé plus de 2 millions de dollars sur ce poste. Les dépenses directes de reprise de l’État, estimées à environ 1,5 million de dollars (fournisseurs et heures supplémentaires du personnel), se situent dans la moyenne basse nationale, plusieurs rapports évaluant les coûts moyens entre 1,5 et 1,8 million de dollars.

Pris dans leur ensemble, ces éléments montrent que le Nevada était bien préparé et a fait preuve d’une forte résilience sous pression. Si ni le temps de présence des attaquants ni la durée totale de reprise ne constituent des cas exceptionnellement atypiques, la capacité de l’État à restaurer les services critiques en quelques jours, à éviter le paiement d’une rançon et à contenir les coûts de reprise dans les normes nationales témoigne d’un programme de cybersécurité solidement structuré. Cet incident rappelle que la préparation peut avoir un impact décisif sur la rapidité et l’efficacité de la reprise après une attaque sophistiquée et de grande ampleur.

 

EXPLOREZ LA PLATEFORME BARRACUDAONE
Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Going off message: CISA warns of sophisticated spyware attacks
Going off message: CISA warns of sophisticated spyware attacks
 Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
 Malware Brief : Android dans la ligne de mire de FvncBot, SeedSnatcher et ClayRat
Malware Brief : Android dans la ligne de mire de FvncBot, SeedSnatcher et ClayRat
 Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.