Ransomware : En 2025, la préparation des entreprises s'améliore

Origines et historique

Genèse du phénomène

Le ransomware a cessé d'être une simple nuisance pour devenir une activité criminelle structurée et rentable. Au début des années 2010, les rançongiciels utilisaient des schémas de chiffrement basiques et se propageaient en masse sur des postes de travail mal protégés. À partir de 2017, l'apparition d'exploit kits et des offres Ransomware-as-a-Service (RaaS) a professionnalisé l'écosystème offensif, réduisant la barrière technique à l'entrée pour de nombreux opérateurs. La tactique dite de double extorsion, qui combine chiffrement et exfiltration de données avant publication, s'est généralisée autour de 2019-2020, ajoutant une pression juridique et commerciale forte sur les victimes.

Phases récentes (2021-2025)

• 2021-2022 : des vulnérabilités d'infrastructures critiques, comme celles touchant des serveurs de messagerie, ont servi de vecteurs initiaux d'accès; les outils commerciaux tels que Cobalt Strike ont été massivement utilisés pour les déplacements internes. Cette période a également montré l'importance des correctifs rapides pour les CVE exposées.
• 2023-2024 : les négociations de rançon se sont professionnalisées, et le cadre réglementaire a commencé à imposer des obligations de notification et des impacts financiers tangibles pour les organisations touchées. Ces années ont mis en lumière le rôle des assurances et des exigences qu'elles imposent.
• 2025 : les tactiques se diversifient vers le ciblage des sauvegardes et des chaînes logicielles; en parallèle, la résilience des organisations s'est nettement améliorée grâce à des pratiques de sauvegarde immuable et à des exercices de reprise réguliers¹.

Fonctionnement technique

Chaîne d'infection typique

• Accès initial
• Le point d'entrée reste souvent le phishing ciblé ou des accès RDP mal protégés. Des vulnérabilités exposées dans des services Internet facilitent parfois ce premier pas.
• Escalade et persistance
• Une fois en place, les attaquants cherchent des identifiants, déploient des outils comme Mimikatz ou Cobalt Strike et installent des mécanismes de persistance afin de résister aux tentatives d'éradication.
• Mouvement latéral
• L'exploitation de partages réseau, de trusts Active Directory ou d'outils d'administration à distance permet d'atteindre des serveurs critiques et des sauvegardes.
• Exfiltration et chiffrement
• Les acteurs modernes prélèvent d'abord des données pour maximiser la pression avant de lancer un chiffrement massif. L'utilisation de services Cloud pour transférer rapidement de larges volumes a réduit le temps disponible pour détecter l'exfiltration.
• Extorsion
• Publication des données, menaces de divulgation au public ou à des partenaires, et négociation de rançon. La probabilité qu'une affaire implique des obligations réglementaires augmente dès que des données personnelles sont concernées².

Schéma textuel d'une attaque (simplifié)

• Accès initial -> Escalade (récupération de credentials) -> Mouvement latéral -> Exfiltration parallèle -> Chiffrement -> Extorsion

Techniques observées en 2025

• Les sauvegardes hors site et immuables deviennent des cibles délibérées: des scripts automatisés et des attaques sur comptes de service visent à effacer ou altérer ces copies.
• Des comptes de service compromis permettent de contourner des protections mal configurées, y compris certains déploiements MFA faibles.
• L'exfiltration vers des buckets Cloud ou des services de stockage tiers s'opère en quelques heures, diminuant la fenêtre d'intervention de l'équipe de défense.

Études de cas

1) PME manufacturière - restauration accélérée grâce aux tests de reprise

Une PME touchée via RDP avait investi dans des sauvegardes immuables et des procédures de reprise testées. Le scénario testé régulièrement a permis une restauration complète en 36 heures contre plusieurs jours auparavant. Ce retour d'expérience confirme que les tests de restauration réduisent significativement le MTTR et limitent l'impact opérationnel¹.

2) Organisation de santé - exfiltration maîtrisée mais conséquences réglementaires

Un hôpital a été visé par une exfiltration préalable au chiffrement. Un EDR couplé à un SIEM a permis de détecter une fuite d'information en cours et de limiter l'ampleur. Malgré une réponse technique efficace, l'incident a engagé des obligations légales et des notifications regulatoraires, illustrant le fait que la maîtrise opérationnelle n'annule pas automatiquement les responsabilités de conformité².

3) Fournisseur de services IT - contamination par la chaîne logistique

Un fournisseur MSP a vu une mise à jour signée compromise se propager chez plusieurs clients, entraînant des chiffrages multiples. Le cas souligne la nécessité d'exiger des garanties techniques chez ses fournisseurs: processus Secure SDLC, vérification des signatures et audits réguliers restent des mesures indispensables.

Perspectives

Tendances attendues pour 2026

• Les assureurs vont augmenter les exigences: tests de récupération, segmentation stricte et MFA pour les accès sensibles deviendront des prérequis pour obtenir une couverture raisonnable. Les organisations qui ne se conforment pas risquent de voir leurs primes augmenter ou leur couverture réduite¹.
• L'intelligence artificielle va améliorer la détection comportementale et l'automatisation défensive, mais les acteurs malveillants exploiteront aussi ces outils pour accélérer la reconnaissance et automatiser certaines étapes d'attaque.
• Les opérations internationales contre les opérateurs RaaS devraient se multiplier; ces actions peuvent fragiliser certains réseaux criminels mais aussi fragmenter le paysage et favoriser l'émergence de services plus opaques.

Points d'amélioration prioritaires

• Accélérer le patching: inventorier automatiquement les actifs et prioriser les correctifs selon le risque pour réduire la fenêtre d'exposition.
• Contrôler la chaîne logistique logicielle: exiger preuves d'audits, intégrer clauses contractuelles de sécurité et vérifier les signatures des artefacts.
• Renforcer la segmentation réseau: séparer environnements de production et de gestion pour limiter les mouvements latéraux.

Mesures opérationnelles concrètes

• Sauvegardes immuables et air-gapped avec tests de restauration trimestriels reproduisant des scénarios réels.
• MFA étendu à tous les accès administratifs; privilégier U2F ou FIDO2 sur les comptes à privilèges.
• Déploiement d'EDR et mise en place d'équipes de threat hunting pour détecter les signes faibles d'intrusion.
• Exercices d'incident comprenant juristes, communication, IT et métiers pour affiner la coordination et les playbooks.

En 2025, la balance penche vers une meilleure résilience collective mais reste fragile face à des tactiques ciblant les sauvegardes et la chaîne logistique. La prévention, la détection précoce et la capacité de reprise restent les leviers les plus efficaces pour réduire l'impact opérationnel et les risques réglementaires. Les décisions d'investissement en cybersécurité doivent désormais intégrer ces réalités opérationnelles et contractuelles.

Questions fréquentes

Sources

• ¹ Coalition - Ransomware trends 2025
• ² FBI IC3 - 2023 Internet Crime Report
• ³ Le Mag IT - En 2025, la préparation et la résistance au ransomware se sont renforcées