Akira, le ransomware qui aime votre VPN. Comment se protéger en 2026

Expertise & Partage

9 Min

ransomware akira pme

Akira cible spécifiquement les PME via les VPN non patchés. Mode opératoire, signaux d'alerte, sept mesures défensives concrètes à mettre en place dès cet été.

Sur 2025 et le premier semestre 2026, cinq familles de ransomware (Akira, RansomHub, Qilin, DragonForce, Medusa) reviennent en tête des analyses françaises. Selon i-lead Consulting, elles concentreraient une part majeure des attaques ; le chiffre exact varie selon les sources et se lit comme un ordre de grandeur. Parmi elles, Akira présente un profil utile à connaître pour les PME : le groupe cible souvent les structures de 20 à 250 salariés, et son vecteur d'entrée le plus documenté reste le VPN (CERT-FR, CISA).

Pas un VPN exotique. Le vôtre. Celui que vos commerciaux utilisent pour accéder à leurs fichiers en déplacement, celui qui sert au télétravail depuis 2020, celui que l'équipe IT a installé en quelques jours pendant le confinement et qu'on n'a jamais vraiment audité depuis.

Cet article décrit comment Akira opère, pourquoi les PME sont sa cible parfaite, et sept mesures défensives concrètes à mettre en place avant la fin de l'été.


Comment Akira entre dans le système


Le mode opératoire d'Akira est documenté par le CERT-FR depuis fin 2024, avec une évolution constante. Les variantes 2026 du groupe combinent plusieurs techniques d'intrusion, mais le VPN reste la porte d'entrée la plus utilisée. Trois scénarios principaux.

Premier scénario, l'exploitation d'une vulnérabilité connue mais non patchée. Les concentrateurs VPN Fortinet, Cisco ASA, Citrix ADC, SonicWall sont régulièrement la cible de failles documentées. Akira automatise le scan d'Internet à la recherche d'équipements non à jour, et exploite la faille pour obtenir un accès initial. Le délai entre la publication d'une faille et l'exploitation industrielle par Akira est souvent inférieur à 72 heures.

Deuxième scénario, l'usage d'identifiants volés. Les marchés d'identifiants compromis sur le dark web vendent des accès VPN d'entreprise pour quelques dizaines d'euros par compte. Akira achète, teste, et entre dans le réseau avec des identifiants valides. Aucune faille technique, juste un mot de passe qui circule.

Troisième scénario, le brute force ciblé. Les VPN exposés sans MFA et avec des comptes utilisateurs nominatifs sont des cibles faciles. Le brute force ne demande que du temps, et le groupe en a.


Ce qui se passe une fois Akira dans le réseau


L'attaque ne déclenche pas immédiatement. Akira s'installe, observe, cartographie. Le délai entre l'intrusion initiale et le chiffrement se compte souvent en semaines : les analyses de réponse à incident (Mandiant) situent la présence des attaquants autour de deux à trois semaines en médiane, avec des cas plus longs. Pendant cette période, le groupe fait quatre choses.

Premièrement, il escalade les privilèges. À partir du compte initial, il cherche à obtenir un accès administrateur du domaine, généralement en exploitant des outils légitimes (Mimikatz, BloodHound) ou des comptes mal protégés.

Deuxièmement, il cartographie l'environnement. Inventaire des serveurs, des bases de données, des partages, identification des sauvegardes connectées au réseau, identification des contrôleurs de domaine et des outils de sécurité en place.

Troisièmement, il exfiltre les données les plus sensibles. C'est l'étape de la double extorsion : avant de chiffrer, Akira copie vos données vers une infrastructure qu'il contrôle. Cela lui permet de menacer de publication même si vous avez des sauvegardes saines.

Quatrièmement, il détruit ou chiffre les sauvegardes accessibles. Les serveurs de sauvegarde, les NAS, les snapshots, les copies réseau. Quand le chiffrement principal se déclenche, la restauration depuis sauvegarde est déjà compromise.


Pourquoi les PME sont des cibles privilégiées


Trois raisons.

La première, la surface VPN. Les PME ont massivement adopté le travail à distance, et beaucoup ont déployé leur VPN en urgence pendant la crise sanitaire, sans audit ultérieur. Beaucoup tournent encore sur des versions non patchées, sans MFA généralisé, avec des comptes administrateurs faibles.

La deuxième, le faible niveau de supervision. Les PME ont rarement un SOC, rarement un EDR sur l'ensemble des postes, et cette phase d'installation, qui dure souvent plusieurs semaines, passe inaperçue dans la grande majorité des cas. L'attaquant a le temps.

La troisième, la capacité de paiement. Une grande entreprise peut négocier ou refuser, parce qu'elle a des équipes de réponse, des assureurs, des juristes. Une PME face à un arrêt total de son activité, avec ses clients qui attendent, son personnel à payer, paie souvent. La rançon moyenne demandée aux PME est souvent citée au-delà de 50 000 euros (ordre de grandeur, sources presse spécialisée), mais le vrai coût reste celui de l'arrêt d'activité et de la reconstruction.


Une faille VPN connue peut être exploitée très vite après sa publication. La discipline de patching n'est pas un confort, c'est la première barrière.


Sept mesures défensives à mettre en place cet été


Aucune de ces mesures ne nécessite une stack exotique. Elles sont accessibles à une PME avec un partenaire technique sérieux, en quelques semaines.


Mesure 1 · patcher le VPN, vraiment

Vérifier que votre concentrateur VPN est sur la dernière version stable. Si vous êtes sur Fortinet, Cisco, Citrix ou SonicWall, vérifier les CVE publiées en 2024-2026 et les correctifs associés. Mettre en place une procédure de patching mensuelle, documentée, avec une fenêtre de maintenance régulière. C'est la mesure qui ferme la porte d'entrée la plus fréquente.


Mesure 2 · MFA obligatoire sur tous les accès VPN

Sans exception. Pas d'exemption pour les dirigeants, pas d'exemption pour les comptes administrateurs, pas d'exemption pour les "comptes techniques". Le MFA bloque l'usage des identifiants volés, qui représentent un des trois vecteurs d'entrée principaux. Privilégier les solutions résistantes au phishing (clés physiques type YubiKey, ou applications authenticator), plutôt que les SMS qui peuvent être interceptés.


Mesure 3 · segmenter le réseau

Une fois Akira dans votre réseau via le VPN, la facilité avec laquelle il se propage dépend de votre segmentation. Si le VPN donne accès à tout le SI, le mouvement latéral est immédiat. Si le VPN ouvre uniquement sur un sous-réseau utilisateur restreint, et que l'accès aux serveurs critiques nécessite une seconde authentification, vous gagnez du temps précieux. La micro-segmentation n'est pas réservée aux grandes entreprises, des solutions accessibles existent pour les PME.


Mesure 4 · EDR sur les postes et les serveurs

Un EDR (Endpoint Detection and Response) détecte les comportements suspects de manière proactive : élévation de privilèges, déplacement latéral, exécution de scripts malveillants. Il ne remplace pas l'antivirus traditionnel, il le complète. Un EDR bien configuré détecte les premières étapes d'une attaque Akira pendant la phase d'incubation, ce qui donne la fenêtre nécessaire pour réagir avant le chiffrement.


Mesure 5 · sauvegarde immuable testée

La sauvegarde 3-2-1 classique ne tient plus contre Akira et ses pairs. Il faut passer à 3-2-1-1-0 : trois copies, deux supports, une copie hors site, une copie immuable, zéro erreur de restauration. L'immutabilité signifie que la sauvegarde ne peut pas être chiffrée ou supprimée, même par un compte administrateur compromis. Object Lock S3, snapshots ZFS verrouillés, ou stockage cloud immuable côté français (Beemo, ARX One) sont les options techniques crédibles.


Mesure 6 · supervision et journalisation

Sans journaux, vous ne détectez rien. Activer la journalisation des connexions VPN, des authentifications, des accès aux fichiers sensibles, des opérations administratives. Centraliser ces journaux dans un outil de SIEM ou au minimum dans un stockage centralisé. Sans cela, vous découvrirez l'attaque seulement quand le chiffrement déclenchera. Avec, vous pouvez la détecter pendant la phase d'installation, avant le chiffrement.


Mesure 7 · exercice de gestion de crise sur table

Au moins une fois par an, simuler un scénario de ransomware avec votre équipe. Pas un test technique, mais un exercice sur table : qui appelle qui, dans quel ordre, avec quelles décisions à prendre dans les six premières heures. Cet exercice révèle les angles morts (numéros de téléphone non disponibles hors réseau, procédure de communication client absente, contact assureur introuvable) avant que la situation réelle ne se présente.


Si vous suspectez déjà une compromission


Signaux d'alerte à surveiller cette semaine : connexions VPN à des horaires inhabituels, comptes administrateurs qui se connectent depuis des géolocalisations inattendues, ralentissements réseau inexpliqués, fichiers ouverts en masse depuis un compte unique, désactivation soudaine de la sauvegarde ou de l'antivirus, création de nouveaux comptes administrateurs non documentée.

Si un ou plusieurs de ces signaux apparaissent, ne pas chercher à diagnostiquer en interne. Appeler immédiatement le CERT-FR (cert.ssi.gouv.fr) et un prestataire spécialisé en réponse à incident. Pendant la phase d'incubation d'Akira, il est encore possible d'empêcher le chiffrement, mais la fenêtre est étroite.


Pour aller plus loin


Chez SPMDIGITAL, nous proposons un audit de surface d'attaque VPN et une mise en conformité avec les sept mesures défensives décrites ici. Si votre concentrateur VPN n'a pas été audité depuis 2020, c'est probablement le bon moment.