Réponse aux rançongiciels au titre de NIS2
La mécanique des 24 premières heures : que confiner, qui prévenir, et ce que la directive exige réellement.
Ce qu'est cette page
Le rançongiciel n'est pas une catégorie réglementaire distincte. NIS2 le traite comme un incident important parmi d'autres. Le règlement d'exécution (UE) 2024/2690 de la Commission énumère explicitement le rançongiciel à la section 11.6 de l'annexe comme un type d'incident important reconnu pour les entités d'infrastructure numérique, mais les obligations résident dans l'article 21 (mesures de gestion des risques) et l'article 23 (cascade de notification) de la directive elle-même.
La page est rédigée pour un directeur général, un responsable informatique ou un RSSI d'une entreprise de 50 à 250 personnes qui vient d'être touchée ou qui veut savoir à quoi devraient ressembler les premières heures. Ce n'est pas un conseil juridique et ce n'est pas un substitut à un contrat d'astreinte de réponse aux incidents. C'est la mécanique juridique autour du travail technique.
La phrase la plus utile : le confinement, la notification, la décision de la direction et les forces de l'ordre s'exécutent en parallèle, et non en séquence. La directive ne vous permet pas d'en terminer un avant de commencer le suivant.
Directive (UE) 2022/2555 (NIS2)
Article 21(2)(c) : les politiques et les procédures relatives à la continuité des activités, telles que la gestion des sauvegardes et la reprise des activités, et la gestion des crises. Article 21(2)(i) : les politiques et les procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement.
L'article 21(2)(c) est l'endroit où réside l'obligation de sauvegarde restaurable. L'existence d'une sauvegarde n'est pas le test. La restaurabilité en conditions d'attaque l'est. L'article 21(2)(i) couvre la posture de chiffrement qui décide si l'attaquant lit tout ce qu'il touche. L'article 23 fixe ensuite la cascade de notification en quatre étapes : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport intermédiaire sur demande, rapport final sous un mois.
Règlement d'exécution (UE) 2024/2690 de la Commission
La section 11.6 de l'annexe énumère le rançongiciel parmi les scénarios d'incident qui constituent un incident important pour les entités fournissant des services d'infrastructure numérique.
La CIR est contraignante sans transposition nationale et vous indique ce qui compte comme important pour les types d'entités qu'elle couvre (essentiellement les 11 catégories d'infrastructure numérique et de services numériques). Pour les secteurs hors de son champ d'application, le test d'importance de l'article 23(3) NIS2 s'applique toujours : perturbation opérationnelle grave, perte financière, ou dommage matériel ou immatériel à des tiers. Un rançongiciel qui bloque la production satisfait presque toujours à ce test.
BSIG (Allemagne)
§30 BSIG : mesures techniques et organisationnelles appropriées au risque. §32 BSIG : notification au BSI via le Meldeportal à bsi.bund.de. §44 BSIG : coopération du BSI avec les autorités répressives.
Le BSIG est l'exemple de transposition allemande. Les Pays-Bas et l'Autriche ont les leurs. La cascade 24h / 72h / intermédiaire / un mois relève du niveau de la directive et est identique d'un État membre à l'autre. Le canal de notification est national : en Allemagne le Meldeportal du BSI, séparément l'autorité de contrôle de la protection des données au titre de l'article 33 GDPR si des données à caractère personnel sont concernées, séparément encore l'office régional de police criminelle (LKA) ou le BKA si vous voulez une enquête pénale.
Confinement technique et préservation médico-légale
Isolez les segments affectés sans les effacer. L'erreur la plus courante sous la panique est de mettre hors tension et de réinstaller avant qu'une image ne soit prise, ce qui détruit à la fois les éléments de preuve dont le BSI et les forces de l'ordre ont besoin et les indicateurs de compromission qui vous indiquent ce que l'attaquant a touché d'autre. Déconnectez du réseau, ne mettez pas hors tension. Prenez des images de la mémoire et des disques avant la remédiation. Démarrez la restauration à partir de la sauvegarde propre vérifiée la plus récente sur une infrastructure isolée. L'article 21(2)(c) NIS2 exige que la sauvegarde soit restaurable, et non simplement présente. Le mode de défaillance le plus courant dans les incidents audités est celui des sauvegardes qui étaient en ligne et ont été chiffrées en même temps que la production.
Décision de l'organe de direction
L'article 20 NIS2 met l'organe de direction sur la sellette. Dans un incident de rançongiciel en cours, il y a trois décisions que seul l'organe de direction peut signer : déclarer un incident important au titre de l'article 23, autoriser les dépenses de réponse aux incidents externes, et refuser ou examiner toute demande de rançon. La décision et le raisonnement doivent être documentés en temps réel. La piste d'audit de la plateforme est conçue pour cela. L'enjeu n'est pas d'avoir une réponse parfaite à la deuxième heure. L'enjeu est d'avoir une décision consignée par une personne responsable.
Cascade de notification au régulateur
L'article 23 NIS2 est une cascade en quatre étapes assortie d'horloges strictes. Alerte précoce au CSIRT national ou à l'autorité compétente sous 24 heures à compter de la prise de connaissance. Notification d'incident sous 72 heures avec une évaluation initiale de la gravité et de l'impact et tout indicateur de compromission disponible. Mise à jour intermédiaire sur demande de l'autorité. Rapport final sous un mois. En Allemagne, cela passe par le Meldeportal du BSI au titre du §32 BSIG. Si des données à caractère personnel sont affectées, l'article 33 GDPR court en parallèle avec sa propre horloge de 72 heures vers l'autorité de contrôle de la protection des données. Les deux notifications sont distinctes et vont à des autorités distinctes.
La rapidité avant l'exhaustivité
La position du BSI est explicite : Schnelligkeit vor Vollständigkeit. L'alerte précoce de 24 heures au titre de l'article 23(4) NIS2 n'est pas un rapport complet. C'est un signalement de ce que vous savez. Vous êtes autorisé à dire que le périmètre n'est pas encore connu. Vous n'êtes pas autorisé à attendre qu'il le soit. Déposer une alerte précoce incomplète dans les délais et la mettre à jour ensuite est la voie conforme à la directive. Attendre la clarté ne l'est pas.
Le paiement est une décision d'affaires, pas un raccourci de conformité
Le BSI déconseille de payer la rançon et la position est claire : les versements d'assurance ne constituent pas un transfert du risque au sens de l'article 21 : pauschaler Risikotransfer ist ausgeschlossen. Payer n'éteint pas l'obligation de notification, ne satisfait pas à l'obligation de sauvegarde restaurable de l'article 21(2)(c), et n'arrête pas une enquête pénale. La décision de payer ou non est distincte des quatre voies parallèles ci-dessus et ne les remplace jamais.
BSI et CERT-Bund (Allemagne)
Le Bundesamt für Sicherheit in der Informationstechnik est l'autorité compétente pour la notification NIS2 en Allemagne. Les notifications au titre du §32 BSIG passent par le Meldeportal du BSI à bsi.bund.de. Le CERT-Bund au sein du BSI gère la coordination de la réponse technique. Pour la couche UE, le réseau des CSIRT coordonné par l'ENISA est le canal en amont entre les CSIRT nationaux.
BKA et unités cybercriminalité des LKA des Länder
Le rançongiciel est une infraction pénale au titre des §202a, §202b, §303a et §303b StGB. L'enquête pénale s'exécute séparément du rapport réglementaire. Chaque office régional de police criminelle (LKA) dispose d'un point de contact central cybercriminalité (Zentrale Ansprechstelle Cybercrime, ZAC). Le BKA gère le volet cybercriminalité fédéral. Le §44 BSIG prévoit explicitement la coopération du BSI avec les forces de l'ordre, ce qui signifie que déposer auprès de l'une ne dépose pas auprès de l'autre. Déposer une plainte pénale est une décision distincte que l'organe de direction doit prendre.
Régulateur sectoriel, autorité de protection des données, chaîne d'approvisionnement
Trois canaux supplémentaires peuvent être ouverts en même temps. Si des données à caractère personnel sont affectées, la notification de l'article 33 GDPR à l'autorité de contrôle de la protection des données compétente court sur sa propre horloge de 72 heures. Certains secteurs (énergie, finance, santé) ont des notifications sectorielles supplémentaires au titre de leurs propres régimes que NIS2 préserve explicitement. Et au titre de l'article 21(2)(d) NIS2, un rançongiciel affectant un fournisseur peut déclencher vos obligations contractuelles de notification envers vos clients, même si vous n'êtes pas l'entité directement affectée.
Payer la rançon, obtenir la clé, passer à autre chose.
Le paiement ne clôt pas le dossier. La cascade de notification de l'article 23 NIS2 s'exécute toujours. L'obligation de sauvegarde restaurable de l'article 21(2)(c) est toujours testée par un auditeur l'année suivante, et une récupération payée n'en est pas la preuve. L'autorité de protection des données demandera toujours, au titre de l'article 33 GDPR, quelles données à caractère personnel ont quitté le périmètre. Et dans la plupart des cas publiés, les attaquants reviennent pour un second paiement ou revendent l'accès à un autre groupe de toute façon.
Tout mettre hors tension immédiatement pour stopper la propagation.
La mise hors tension détruit la mémoire volatile avant qu'une image ne puisse être prise. Les éléments de preuve médico-légale dont le BSI a besoin pour l'alerte précoce, les indicateurs de compromission dont le reste de votre parc a besoin, et les artefacts dont dépend une enquête pénale se trouvent tous en RAM au moment de l'attaque. Isolez au niveau réseau, préservez les images de la mémoire et des disques, puis remédiez. Les quinze minutes de preuves préservées valent plus que les quinze minutes de propagation évitée sur des segments déjà isolés.
Attendre de connaître le périmètre complet avant de déposer.
L'article 23(4) NIS2 exige l'alerte précoce sous 24 heures à compter de la prise de connaissance, et non sous 24 heures à compter de la compréhension complète. La directive autorise explicitement l'alerte précoce à être un tableau partiel. Attendre au-delà du seuil de 24 heures pour obtenir de la clarté est la raison la plus courante pour laquelle les entités manquent le délai. La position du BSI, Schnelligkeit vor Vollständigkeit, est l'intention de la directive.
Une entreprise de construction mécanique de 180 personnes en Baden-Württemberg, classée comme wichtige Einrichtung au titre de NIS2 parce que le secteur et l'effectif la placent dans le champ d'application. 07h42 un mardi : l'ERP de production lève des erreurs de certificat, les partages de fichiers sont illisibles, une note de rançon sur trois serveurs. 07h58 : le responsable informatique déconnecte le VLAN affecté au niveau du commutateur, laisse les machines en fonctionnement. 08h15 : le PDG est informé, décide de convoquer l'organe de direction dans l'heure et de mobiliser le contrat d'astreinte de réponse aux incidents externe que l'entreprise avait en dossier. 09h30 : organe de direction réuni, trois décisions documentées dans le journal d'audit : déclarer un incident important au titre de l'article 23, autoriser l'intervention de réponse aux incidents, pas encore de décision sur la rançon. 10h40 : la réponse aux incidents externe commence l'imagerie mémoire sur les hôtes affectés. 12h15 : alerte précoce de 24 heures déposée via le Meldeportal du BSI au titre du §32 BSIG, indiquant un périmètre inconnu, une famille de rançongiciel suspectée, aucune exfiltration de données à caractère personnel confirmée à ce stade.
14h00 : le délégué à la protection des données confirme que des données à caractère personnel se trouvent sur deux des partages de fichiers affectés. Notification de l'article 33 GDPR rédigée, l'horloge de 72 heures commence à courir vers l'autorité régionale de contrôle de la protection des données. 16h30 : sauvegardes vérifiées propres sur infrastructure isolée, la restauration commence sur un VLAN séparé. Le lendemain : plainte pénale déposée auprès de l'unité cybercriminalité du LKA régional. Jour trois : notification d'incident de 72 heures au titre de l'article 23 NIS2 avec un tableau plus net : vecteur d'entrée initial, périmètre du chiffrement, aucune perturbation de service public (l'entreprise n'exploite pas de services essentiels pour des tiers). Sous quatre semaines : le rapport final au titre de l'article 23(4)(d). Les sauvegardes restaurables, les quatre voies parallèles, les décisions documentées de l'organe de direction et la piste d'audit sont ce qui a sauvé cette entreprise. La posture de chiffrement au titre de l'article 21(2)(i) est ce qui a limité l'exfiltration de données. Rien de tout cela n'a nécessité une mission de conseil à six chiffres avant l'incident. Cela a nécessité quatre choses écrites au mur : qui appelle qui, ce qui est notifié et quand, qui peut signer quelle décision, et où se trouvent réellement les sauvegardes restaurables.
La plateforme stocke les quatre choses écrites au mur : la liste de contacts pour le BSI, l'autorité de protection des données et le LKA ; les modèles de notification pour la cascade 24h / 72h / un mois au titre de l'article 23 ; l'affectation du membre de l'organe de direction qui peut signer quelle décision ; et le lien vers les éléments de preuve de configuration des sauvegardes requis par l'article 21(2)(c). Tout est capturé dans la piste d'audit avec des horodatages, de sorte que le rapport final post-incident puisse être produit à partir de données réelles, et non de mémoire.
La plateforme est gratuite et open source. Il n'y a pas de palier payant ni de verrouillage. L'objet de cette page n'est pas de vendre quoi que ce soit. C'est de s'assurer que, si un incident de rançongiciel frappe la semaine prochaine, l'organe de direction sait quels quatre appels téléphoniques passer, dans quel ordre, sur quelle horloge.
- Directive (UE) 2022/2555 (NIS2) : article 20 (responsabilité de l'organe de direction), article 21(2)(c) et (i) (continuité, sauvegarde, reprise, cryptographie), article 23 (cascade de notification). EUR-Lex.
- Règlement d'exécution (UE) 2024/2690 de la Commission, section 11.6 de l'annexe (le rançongiciel comme catégorie d'incident important pour les entités d'infrastructure numérique). EUR-Lex.
- BSIG (Allemagne) : §30 (mesures de gestion des risques), §32 (Meldeportal du BSI), §44 (coopération avec les forces de l'ordre). Gesetze im Internet.
- Règlement (UE) 2016/679 (GDPR) : article 33 (notification d'une violation de données à caractère personnel à l'autorité de contrôle). EUR-Lex.
- BSI : paquets d'information NIS 2 sur Schnelligkeit vor Vollständigkeit et la position selon laquelle le pauschaler Risikotransfer n'est pas un substitut aux mesures techniques et organisationnelles. bsi.bund.de.
- ENISA : coordination du réseau des CSIRT pour les incidents transfrontaliers. enisa.europa.eu.