Les cyberattaques par ransomware se multiplient en Suisse à une vitesse alarmante. En 2024, 63’000 cyberincidents ont été signalés auprès de l’Office fédéral de la cybersécurité, soit un toutes les 8 minutes et demie. Parmi les menaces les plus actives figurent trois groupes particulièrement redoutables : Akira, Black Basta et 8Base.
Ces organisations criminelles ciblent spécifiquement les PME suisses, responsables de plus de 40% des cyberattaques recensées dans le pays. Leur méthode combine chiffrement des données, exfiltration d’informations sensibles et extorsion financière. Les conséquences dépassent souvent la simple rançon, avec des arrêts d’activité de 5 à 7 jours en moyenne et des dommages financiers considérables.
Vous gérez une entreprise en Suisse romande et redoutez ces menaces ? Voici ce que vous devez savoir sur ces trois groupes pour protéger efficacement votre infrastructure.
Akira : le groupe qui cible les infrastructures critiques
Akira a fait son apparition sur la scène cybercriminelle en mars 2023 et s’est rapidement imposé comme l’un des groupes les plus actifs en Suisse. Ce collectif s’attaque prioritairement aux secteurs de la santé, de l’énergie et des services financiers, précisément ceux soumis à l’obligation de signalement à l’OFCS depuis avril 2025.
Leur mode opératoire repose sur une technique d’infiltration progressive. Les pirates exploitent d’abord des vulnérabilités dans les VPN ou les accès à distance non sécurisés. Une fois à l’intérieur du réseau, ils se déplacent latéralement pendant plusieurs semaines, repérant les données critiques et les systèmes de sauvegarde avant de lancer l’attaque finale.
Le chiffrement utilisé par Akira est particulièrement robuste. Le groupe utilise un malware écrit en C++ qui chiffre les fichiers avec une extension .akira et affiche une note de rançon personnalisée. Leur stratégie de double extorsion consiste à menacer de publier les données volées sur leur site dark web si la rançon n’est pas payée.
Les montants exigés varient selon la taille de l’entreprise, oscillant généralement entre 200’000 et 4 millions de dollars. Les négociations se déroulent via un chat sécurisé, avec une pression psychologique constante et des délais très courts.
Conseil pratique : Surveillez activement vos accès VPN et mettez en place une authentification multifacteur sur tous les points d’entrée réseau. Akira exploite principalement les failles de sécurité dans ces systèmes.
Black Basta : la menace qui frappe les PME suisses
Black Basta représente une menace majeure pour les PME en Suisse romande. Actif depuis avril 2022, ce groupe se distingue par sa rapidité d’exécution et son approche industrielle du cybercrime. Contrairement à Akira qui prend son temps, Black Basta peut chiffrer un réseau complet en moins de 24 heures après l’intrusion initiale.
Leur vecteur d’attaque privilégié reste le phishing massif. Le groupe envoie des milliers d’emails contenant des liens malveillants ou des pièces jointes piégées. Une fois qu’un employé clique, le malware QakBot s’installe silencieusement et ouvre la porte aux opérateurs de Black Basta. Cette technique s’avère redoutablement efficace : 975’000 messages de phishing ont été recensés en 2024 en Suisse, soit près du double par rapport à 2023.
Le ransomware de Black Basta utilise le chiffrement ChaCha20 combiné à RSA-4096, rendant toute tentative de déchiffrement sans clé pratiquement impossible. Le groupe ajoute l’extension .basta aux fichiers chiffrés et dépose une note de rançon dans chaque dossier touché.
Ce qui rend Black Basta particulièrement dangereux pour les PME, c’est son modèle économique adapté. Le groupe accepte des rançons plus modestes, généralement entre 50’000 et 500’000 CHF, ce qui correspond au budget d’urgence de nombreuses entreprises de taille moyenne. Cette stratégie augmente considérablement leur taux de paiement.
Black Basta exploite également une technique de pression sociale en contactant directement les clients et partenaires de l’entreprise victime pour les informer de la fuite de données. Cette approche force souvent la main des dirigeants qui craignent pour leur réputation.
Conseil pratique : Organisez des sessions de sensibilisation trimestrielles sur le phishing pour vos collaborateurs. Un seul clic suffit à Black Basta pour s’introduire dans votre système.
8Base : le groupe qui paralyse les chaînes d’approvisionnement
8Base opère de manière plus discrète qu’Akira ou Black Basta, mais son impact sur les entreprises suisses n’en reste pas moins dévastateur. Apparu en mars 2022, ce groupe se spécialise dans les attaques visant les fournisseurs et sous-traitants, créant ainsi un effet domino dans les chaînes d’approvisionnement.
Leur tactique consiste à identifier les entreprises qui jouent un rôle clé dans l’écosystème de leurs clients. En paralysant un fournisseur stratégique, 8Base peut indirectement affecter des dizaines d’autres organisations. Cette approche s’avère particulièrement redoutable dans les secteurs industriels et manufacturiers suisses, où les délais de production sont critiques.
8Base utilise une variante du ransomware Phobos, modifiée pour échapper aux solutions antivirus traditionnelles. Le malware se propage via des connexions RDP (Remote Desktop Protocol) mal sécurisées et des fichiers compromis partagés entre partenaires commerciaux. Une fois actif, il chiffre non seulement les données locales mais aussi les lecteurs réseau partagés.
La particularité de 8Base réside dans son absence de communication directe immédiate. Le groupe laisse souvent passer 48 à 72 heures avant d’envoyer la note de rançon, créant ainsi un climat d’incertitude et de panique. Pendant ce temps, ils continuent d’exfiltrer des données depuis les systèmes compromis.
Les montants demandés se situent généralement entre 100’000 et 2 millions de CHF, avec une certaine flexibilité selon la capacité financière de la victime. 8Base se montre plus ouvert aux négociations que les autres groupes, mais maintient toujours la menace de publication des données comme levier.
Un aspect particulièrement préoccupant concerne leur méthode de recrutement. 8Base opère selon un modèle RaaS (Ransomware as a Service), permettant à des affiliés moins expérimentés de mener des attaques sous leur bannière. Cette structure décentralisée complique considérablement le travail des autorités.
Conseil pratique : Auditez régulièrement les accès RDP de vos systèmes et désactivez ceux qui ne sont pas essentiels. 8Base exploite ces portes d’entrée souvent négligées par les équipes IT.
Comment protéger votre entreprise contre ces menaces
Face à ces trois groupes de ransomware, une approche de sécurité multicouche s’impose. La protection ne repose plus uniquement sur des outils techniques, mais sur une combinaison de mesures préventives, de détection rapide et de préparation à la crise.
Commencez par renforcer vos défenses périmétriques. Mettez à jour tous vos systèmes, en particulier les VPN, les pare-feu et les solutions de protection des endpoints. Les groupes Akira, Black Basta et 8Base exploitent systématiquement les vulnérabilités connues mais non corrigées. Une simple mise à jour de sécurité peut parfois suffire à bloquer une intrusion.
Déployez une solution EDR (Endpoint Detection & Response) capable de détecter les comportements anormaux sur vos postes de travail et serveurs. Ces outils analysent en temps réel les activités suspectes, comme un processus qui tente soudainement de chiffrer des centaines de fichiers ou des mouvements latéraux inhabituels dans le réseau.
Segmentez votre réseau pour limiter la propagation en cas d’infection. Si un poste est compromis dans le service comptabilité, les attaquants ne doivent pas pouvoir accéder directement aux serveurs de production ou aux systèmes de contrôle industriel. Cette compartimentation ralentit considérablement la progression des ransomwares.
Sécurisez vos sauvegardes selon la règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors ligne ou dans un cloud isolé. Les groupes de ransomware ciblent systématiquement les sauvegardes pour vous priver de toute solution de récupération alternative au paiement de la rançon.
Formez régulièrement vos équipes aux bonnes pratiques de cybersécurité. Le facteur humain reste la principale faille exploitée par Black Basta via le phishing. Des simulations d’attaques périodiques permettent d’identifier les collaborateurs nécessitant un accompagnement supplémentaire.
Préparez un plan de réponse aux incidents détaillant précisément qui fait quoi en cas d’attaque. Désignez un responsable de crise, listez les contacts d’urgence (assureur cyber, expert forensique, avocat spécialisé), et testez ce plan au moins une fois par an. Les entreprises qui possèdent un plan de continuité bien rodé réduisent significativement la durée d’interruption de leur activité.
Pour les infrastructures critiques, rappelons l’obligation de signalement à l’OFCS dans les 24 heures suivant la détection d’un incident majeur. Le non-respect de cette obligation peut entraîner des amendes jusqu’à 100’000 CHF.
Conseil pratique : Souscrivez une assurance cyber adaptée à votre secteur d’activité. Elle ne remplace pas une bonne sécurité, mais peut atténuer considérablement l’impact financier d’une attaque réussie.
FAQ
Les questions essentielles sur les ransomwares en Suisse
Dois-je payer la rançon si mon entreprise est touchée par Akira, Black Basta ou 8Base ?
Les autorités suisses et internationales déconseillent formellement le paiement de rançons. Payer ne garantit ni la récupération complète de vos données ni l’effacement des fichiers volés. De plus, cela finance directement les groupes criminels et vous identifie comme une cible prête à payer. Privilégiez toujours la restauration depuis vos sauvegardes et faites appel à des experts en forensique pour évaluer les options disponibles.
Comment savoir si mon entreprise a déjà été infiltrée sans le savoir ?
Les groupes de ransomware restent souvent plusieurs semaines dans un réseau avant de lancer l’attaque finale. Surveillez les signes d’alerte : connexions inhabituelles en dehors des heures de travail, ralentissements inexpliqués du réseau, tentatives d’accès répétées à des zones sensibles, ou augmentation soudaine du trafic sortant. Un audit de sécurité régulier par un expert externe peut détecter ces présences cachées.
Les PME suisses sont-elles vraiment ciblées ou s’agit-il d’attaques aléatoires ?
Les trois groupes ciblent délibérément les PME suisses. Black Basta et 8Base les considèrent comme des victimes idéales : suffisamment importantes pour payer une rançon significative, mais souvent moins bien protégées que les grandes entreprises. Le fait que plus de 40% des cyberattaques en Suisse visent les PME confirme cette stratégie ciblée et non aléatoire.
Quelle est la durée moyenne de récupération après une attaque de ransomware ?
Sans sauvegardes exploitables, la récupération complète prend en moyenne 5 à 7 jours, parfois plusieurs semaines pour les systèmes complexes. Avec des sauvegardes régulières et un plan de reprise bien préparé, ce délai peut être réduit à 24-48 heures. Cette différence souligne l’importance d’une stratégie de sauvegarde robuste et testée régulièrement.
Votre entreprise est-elle suffisamment protégée contre Akira, Black Basta et 8Base ?
