Les ransomwares à double extorsion ciblent-ils plus souvent les ERP ou les systèmes CRM ?

Les ransomwares à double extorsion ciblent-ils plus souvent les ERP ou les systèmes CRM ?

La menace des ransomwares à double extorsion ne cesse de croître dans le monde de l’entreprise. Ces logiciels malveillants ne se contentent plus de chiffrer les fichiers : ils combinent désormais la cryptographie avec la menace de divulgation publique des données sensibles. La question qui se pose est de savoir quels systèmes deviennent les cibles privilégiées : les ERP, piliers des opérations internes, ou les CRM, concentrés sur la relation client et les informations stratégiques.

La valeur stratégique des ERP pour les attaquants

Les ERP (Enterprise Resource Planning) centralisent une grande partie des opérations d’une entreprise : gestion des stocks, commandes, facturation, logistique, ressources humaines et planification financière. Une compromission d’un ERP peut donc paralyser des processus critiques, entraînant des perturbations majeures et une pression immédiate pour payer la rançon.

Les ransomwares à double extorsion exploitent cette pression en menaçant non seulement de bloquer l’accès aux données mais également de publier des informations sensibles, telles que :

  • listes de fournisseurs et partenaires,
  • contrats confidentiels,
  • détails financiers et prévisions stratégiques.

La combinaison de ces deux effets — indisponibilité des services et fuite de données — accentue la capacité de négociation des attaquants. Dans certains secteurs comme l’industrie manufacturière ou la distribution, où l’ERP pilote les chaînes de production, un blocage peut générer des pertes financières significatives dès les premières heures.

À lire  Apple WebKit : L'urgence d'une faille critique sur iOS et macOS

Les systèmes CRM : un coffre aux trésors pour les données clients

Les CRM (Customer Relationship Management) sont quant à eux concentrés sur les relations avec les clients : coordonnées, historiques d’achat, préférences et données sensibles sur les contacts professionnels. Ces informations ont une valeur commerciale directe et peuvent être monétisées rapidement sur le marché noir.

Pour un attaquant, l’accès à un CRM permet de :

  • obtenir des listes de contacts qualifiés pour le phishing ou l’ingénierie sociale,
  • exfiltrer des informations sur les habitudes d’achat pour les revendre,
  • cibler des clients clés avec des demandes de rançon indirectes, en menaçant de divulguer leurs données.

Ainsi, les CRM deviennent des cibles prioritaires non seulement pour la pression financière directe sur l’entreprise, mais aussi pour l’exploitation externe des données clients, souvent plus vulnérables que les systèmes ERP bien sécurisés.

Modes d’accès privilégiés des ransomwares

Les attaquants exploitent plusieurs vecteurs pour atteindre ces systèmes :

  1. Accès distant non sécurisé : les VPN et interfaces web mal configurés peuvent permettre une intrusion initiale.
  2. Exploitation des vulnérabilités logicielles : ERP ou CRM obsolètes, sans patch récent, deviennent des portes d’entrée faciles.
  3. Phishing ciblé sur les utilisateurs clés : la compromission d’un administrateur ERP ou d’un responsable CRM peut suffire à installer un ransomware.
  4. Chaîne d’approvisionnement : une attaque sur un fournisseur logiciel ou un prestataire cloud peut se propager vers les systèmes ERP ou CRM clients.

La diversité de ces vecteurs montre que la probabilité d’attaque dépend moins du type de système que de son niveau de protection et de son exposition.

ERP vs CRM : comparaison des attaques à double extorsion

L’analyse des incidents récents montre certaines tendances :

  • Les ERP sont souvent visés dans les entreprises industrielles et logistiques, où l’interruption de production engendre une pression immédiate pour payer.
  • Les CRM sont davantage ciblés dans les secteurs où la relation client est essentielle, comme le commerce, la santé ou les services financiers. La fuite de données clients y est plus préjudiciable que le blocage temporaire du système.
  • Dans les deux cas, les ransomwares à double extorsion cherchent à maximiser la valeur perçue de la rançon, mais la nature de cette valeur diffère : opérationnelle pour l’ERP, commerciale pour le CRM.
À lire  Défibrillateurs automatiques externes : une obligation de s'équiper pour les entreprises recevant du public en France

Ces distinctions expliquent pourquoi certaines campagnes malveillantes sont sectorielles. Une attaque sur un ERP dans l’industrie lourde ou sur un CRM dans la vente de services suit une logique de rendement maximal pour l’attaquant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *