Ransomware en 2025 : Évolution du RaaS et de la double-extorsion
Les faits
Qui - Acteurs
Le paysage des ransomwares a pris une tournure industrielle. Des groupes organisés proposent désormais des services « RaaS » (Ransomware-as-a-Service) qui mettent à disposition des outils, des infrastructures et des méthodes à des opérateurs extérieurs, un peu comme une plateforme qui met en relation développeurs et exécutants d'attaques. Ce modèle abaisse la barrière technique pour les attaquants et diversifie leurs profils, des équipes techniques aux opportunistes disposant d'un accès acheté sur des marchés clandestins¹.
En France, les victimes couvrent tous les secteurs et toutes les tailles d'organisation, du commerce de détail aux établissements d'enseignement. Les entreprises qui composent des chaînes d'approvisionnement complexes sont particulièrement exposées, car une compromission locale peut se répercuter largement².
Quoi - Modes d'action
La double-extorsion s'est généralisée: au-delà du chiffrement des systèmes, les attaquants approvisionnent un lever de fonds supplémentaire en exfiltrant des données et en menaçant de les rendre publiques. Les tactiques se complexifient également par l'utilisation d'outils capables de chiffrer de grandes volumétries de fichiers en moins de 30 minutes, ce qui réduit le temps disponible pour répondre efficacement³.
Les campagnes peuvent inclure plusieurs volets: infection initiale, biais de persistance, mouvement latéral, exfiltration puis déploiement du chiffrement. Les acteurs adaptent leur pression sur la victime: publication partielle de données, diffusion sur des forums publics, ou revente d'informations sensibles pour multiplier l'impact et les leviers de négociation¹ ³.
Quand - Temporalité
Les vagues d'attaques se sont intensifiées fin 2024 et au début de 2025, avec une stratégie d'exploitation des fenêtres de vulnérabilité humaines - week-ends, vacances et horaires creux - pour réduire les chances d'une détection rapide. Ces créneaux sont choisis parce que les équipes de détection et d'intervention réagissent plus lentement, ce qui augmente la probabilité de succès pour les attaquants².
Le délai observé entre l'accès initial et le déploiement du ransomware est souvent très court, fréquemment inférieur à sept jours, ce qui met en difficulté les processus de réponse traditionnels³.
Où - Cibles
Les secteurs les plus touchés sont la santé, l'éducation, la logistique et les infrastructures critiques, là où les données sont sensibles et où l'interruption de service a un coût élevé. Une attaque sur un fournisseur cloud ou sur un prestataire de services peut impacter des centaines de clients en cascade, ce qui fait des fournisseurs partagés des cibles à forte valeur et fort effet multiplicateur².
Comment - Vecteurs
Les vecteurs d'entrée restent principalement le spear-phishing, l'exploitation de comptes cloud mal configurés, l'accès à distance non protégé (RDP/SMB) et l'utilisation d'identifiants exposés. Les 'initial access brokers' commercialisent ces accès sur des marchés clandestins, accélérant l'escalade vers des campagnes de ransomware¹ ³.
La plupart des attaques ne reposent pas sur des zero-days spectaculaires: elles tirent parti de vulnérabilités connues non corrigées ou de configurations faibles, ce qui signifie que des mesures basiques mais rigoureuses restent très efficaces pour réduire le risque².
Chiffres observés
- Augmentation notable des incidents signalés fin 2024, avec une concentration dans les secteurs critiques et les services partagés².
- Montants de rançons en hausse, parfois atteignant des montants considérables et constituant pour certains groupes criminels un modèle économique rentable³.
- Délai entre intrusion et chiffrement souvent inférieur à sept jours, rendant la fenêtre d'intervention très courte³.
Contexte
Depuis 2019, l'écosystème des ransomwares a évolué d'acteurs isolés vers des structures quasi-commerciales où services, support et partenariats facilitent l'industrialisation des attaques. Cette maturation se traduit par des outils plus robustes, une spécialisation des rôles et une sophistication des méthodes d'extorsion¹.
Des entreprises françaises ont déjà subi des impacts financiers et réputationnels significatifs. Les attaques récentes montrent que les conséquences dépassent le périmètre technique: obligations réglementaires, enquêtes, atteinte à la confiance des clients et pertes indirectes de chiffre d'affaires sont monnaie courante² ³.
Précédents notables
Des incidents touchant des établissements de santé et des sociétés de logistique ont démontré la vitesse de propagation et l'ampleur des effets opérationnels. Ces cas illustrent aussi les coûts non seulement de la restauration technique mais aussi de la gestion de crise, de la communication et des obligations de notification aux autorités et aux clients³.
Facteurs amplificateurs
- Le modèle RaaS démocratise l'accès à la criminalité numérique et réduit le besoin de compétences techniques élevées pour mener des attaques¹.
- L'adoption rapide du cloud sans gouvernance adéquate ouvre des portes aux attaquants, par exemple via des configurations erronées et des contrôles d'accès insuffisants².
- L'automatisation et l'intelligence artificielle améliorent la qualité des campagnes de phishing et la recherche d'accès, augmentant les taux de succès³.
Réactions et conséquences
Réactions publiques
Les autorités nationales et les organismes européens renforcent la coopération, le partage d'information et les actions de disruption contre les groupes malveillants. Des structures comme ENISA et les CERT nationaux intensifient l'échange de bonnes pratiques et l'alerte aux menaces, ce qui améliore la détection collective mais n'élimine pas la menace à court terme².
Conséquences immédiates pour les organisations
Une attaque peut paralyser l'activité, engendrer des coûts importants de remédiation et de perte de revenus, et déclencher des obligations réglementaires et juridiques. Pour certaines entreprises, les impacts financiers d'une seule compromission peuvent se chiffrer en millions d'euros³.
Effets sur les chaînes d'approvisionnement
Compromettre un fournisseur critique peut provoquer un effet domino: arrêt de production, indisponibilité de services et coûts opérationnels pour les partenaires. La dépendance à des services partagés augmente la surface d'impact et la volatilité du risque².
Évolution tactique à court terme
Les acteurs affinent leurs techniques pour accroître la pression: publication ciblée de données, revente à tiers, et exploitation multi-canal des informations volées. Cette diversification des leviers d'extorsion exige des réponses intégrées mêlant sécurité technique, juridique et communicationnelle¹ ³.
Impacts sur la posture de défense
Les organisations doivent prioriser la prévention active, la détection rapide et la résilience opérationnelle. Des mesures éprouvées réduisent significativement le risque et l'impact:
- Authentification renforcée et déploiement généralisé du MFA.
- Segmentation réseau et principe du moindre privilège.
- Gouvernance stricte des configurations cloud et revues régulières des accès.
- Déploiement d'EDR et d'outils SOAR pour accélérer détection et réponse.
- Sauvegardes immuables et tests réguliers de restauration afin d'assurer la reprise d'activité² ³.
La professionnalisation des ransomwares impose une posture de sécurité dynamique: prévention, automatisation de la détection et exercices de reprise doivent devenir la norme opérationnelle pour limiter l'impact des attaques à venir.
