Pas la peine de chercher très loin en fait, si on prend l'exemple de WannaCry , il exploite les failles de windows.
Au départ c'est une backdoor pour la NSA dans windows qui a été exploité ensuite par des groupes de pirates, puis patché par Microsoft.

La première faille est certainnement des machines avec des versions obsolètes, non patché.
Et la seconde faille est très certainnement humaine, un mail frelaté avec un virus qui a été ouvert.

Le problème est donc complexe, tant que la NSA se prendra pour le maître du monde à obliger tous les géants du numériques a lui ménager des backdoors, on aura des problèmes.

La solution est souvent la même : rupture de protocole entre le stockage de données sensible et les postes des utilisateurs , sauvegarde en lieu sûr et contrôle d'accès strict.

La première faille est certainnement des machines avec des versions obsolètes, non patché.

Pas forcément, le virus peut ne pas être (encore) dans les bases. De quelle faille a-t-il besoin, autre que quelqu'un l'exécute, qui a accès aux fichiers ? Et donc un mail avec un fichier joint suffit.

Oui aussi, mais y-a-t-il forcément besoin d'une élévation de privilèges quand on a accès à ses propres fichiers (et à ceux des autres partagés sur un serveur) ?

On peut d'ailleurs imaginer une pièce jointe qui ne contient qu'un script qui va télécharger la charge malveillante sur un site, et l'exécuter.

Oui mais là faut être un peu idiot pour exécuter ça. Car tu vas voir que tu lances un programme.

Pas forcément, et je parle d'expérience, j'ai vu il y a quelques années le cas se produire. Quand tu ouvres une pièce jointe, tu exécutes le programme. Après, il agit en tâche de fond, sans que tu ne vois rien. Ce n'est que quelques dizaine de minutes plus tard qu'un texte apparait, disant que tes fichiers ont été cryptés, et te réclamant une rançon. Et quand tu vérifies, en ouvrant l'explorateur sur tes données, tu t'aperçois qu'elles ont une extension bizarre, et que c'est vrai, tu n'y as plus accès...

Tu ne chiffres pas tout le disque, seulement certains répertoires auxquels tu as accès, et notamment ceux qui ont des extensions jpg, docx, xslx, pptx etc...

Le système reste intact.

On notera que cette mairie a eu moins le mérité de communiquer au sujet de l'attaque, ce que beaucoup de grandes structures ne font visiblement pas : https://www.nextinpact.com/news/108673-rancongiciel-maze-bouygues-construction-fait-lautruche-lanssi-sen-mele.htm.

Je suis d'accord, globalement les petites structures comme des mairies ou des petites sociétés sont démunies contre ce genre d'attaque.
Peut importe si c'est un mail piégé ou une clé USB au final, si tu n'es pas à jour ou pas au fait des dernières failles de sécurité, tu es vulnérable.
Souvent les gens pensent que c'est l'affaire d'un spécialiste en sécurité de protéger une installation. Or c'est complètement faux.
On voit que c'est souvent une faute humaine.

En face on a quand même un marché de l'escroquerie : acheter une mailing liste, des noms , des mots de passes , j'en passe ou des meilleures est librement accessible sur le darknet.
Des kits prêt à l'emploi de virus ou tout genre sont aussi disponible.
N'importe quel petit groupe d’escrocs , même pas besoin de connaitre l'informatique, est capable de monter des attaques en achetant facilement tout ce qu'ils ont besoin.

Si je prend en exemple mon cas perso, je possède un site internet ou j'expérimente des services REST écrits en java, ça tourne avec spring boot sur un serveur linux.
Rien de spécial, je n'ai strictement rien d’intéressant, c'est pour me former à java.
Sans mentir j'ai des requêtes plusieurs fois par jour qui testent les failles de CMS php les plus courants : wordpress, drupal, joomla etc ... alors que je n'ai même pas de php qui tourne.
Autant vous dire que si j'avais un CMS non à jour il serait piraté tous les jours.
Ca c'est sur un site internet insignifiant ... je vous laisse imaginer sur un gros site ce que ça doit être.

Ma conclusion : Nous ne sommes globalement pas assez informé et encore moins préparé contre ça.
Il faut bien se mettre dans la tête que c'est le far west sur internet.
Comme le dit le slogan du site zataz.com : s'informer c'est déjà se protéger.