Tout savoir sur les ransomwares à double extorsion : le guide complet de la protection

Aperçu de la situation

La double extorsion est désormais le mode opératoire standard des ransomwares. Étant donné que 96 % des attaques s'accompagnent d'un vol de données avant le chiffrement, chaque incident lié à un ransomware doit être traité dès le départ comme une violation de données.
La fenêtre de détection se réduit rapidement. Alors que la durée médiane de présence reste comprise entre quatre et cinq jours, les pirates les plus rapides parviennent désormais à exfiltrer des données en seulement 72 minutes, ce qui exige des capacités de détection en moins d'une heure.
Le paiement de la rançon ne garantit pas la sécurité. L'affaire Change Healthcare a montré que les escroqueries de sortie et les extorsions secondaires peuvent exposer les données même après le versement de 22 millions de dollars.
Les cas d'extorsion sans cryptage sont en forte hausse. Les cas d'extorsion visant uniquement les données sont passés de 2 % à 22 % des interventions liées aux incidents en l'espace d'une seule année, rendant ainsi insuffisantes les défenses axées sur la sauvegarde.
La visibilité au niveau du réseau constitue un rempart essentiel. La détection d'outils d'exfiltration tels que rclone (présents dans 57 % des incidents) et de schémas de trafic sortant anormaux offre la meilleure chance de bloquer les attaques avant que les données ne soient perdues.

Les ransomwares ne se contentent plus de verrouiller des fichiers. En 2025, 96 % des attaques par ransomware impliquaient une exfiltration de données en plus du chiffrement, transformant chaque incident en une violation potentielle des données. Cette évolution — connue sous le nom de « ransomware à double extorsion » — a profondément bouleversé le paysage des menaces pour les équipes de sécurité. Les sauvegardes ne suffisent plus à elles seules à garantir la restauration des données, et les enjeux comprennent désormais des sanctions réglementaires, une atteinte à la réputation et l’exposition permanente de données sensibles sur des sites de fuite du dark web. Un nombre record de 7 458 à 7 960 victimes ont été identifiées sur les sites de fuite de ransomware en 2025, soit une augmentation de 53 % par rapport à l'année précédente. Ce guide explique en détail comment fonctionne la double extorsion, qui en est à l'origine et ce que les équipes de sécurité peuvent faire pour détecter et stopper ces attaques avant que les données ne quittent le réseau.

Qu'est-ce qu'un ransomware à double extorsion ?

Le ransomware à double extorsion est un modèle de cyberattaque dans lequel cybercriminels volent des données sensibles avant de chiffrer les systèmes de la victime, puis menacent de publier les informations volées sur des sites de divulgation du dark web à moins qu'une rançon ne soit versée. Contrairement aux ransomwares traditionnels qui reposent uniquement sur le chiffrement, cette approche crée deux leviers de pression simultanés : l'impossibilité d'accéder aux systèmes chiffrés et le risque d'exposition publique des données.

Le groupe de ransomware Maze a été le premier à mettre en œuvre cette tactique fin 2019, lorsqu'il a publié les données volées d'une victime après que celle-ci eut refusé de payer. En l'espace de quelques mois, la quasi-totalité des grands groupes de ransomware ont adopté cette approche. Au troisième trimestre 2025, BlackFog a indiqué que 96 % des attaques par ransomware impliquaient une exfiltration de données, faisant de la double extorsion le modèle d'attaque dominant plutôt qu'une exception.

Cela est important car les sauvegardes — longtemps considérées comme la principale ligne de défense contre les ransomwares — ne traitent que l'aspect « chiffrement ». Même les organisations capables de restaurer entièrement leurs systèmes à partir de sauvegardes immuables restent exposées au risque de voir leurs données sensibles divulguées, vendues ou utilisées dans le cadre d'autres attaques. La double extorsion ne se limite pas à la simple extorsion de données ; elle combine spécifiquement le chiffrement et le vol de données, qui constituent deux mécanismes de pression parallèles.

Extorsion simple, double ou triple

Comparaison des modèles d'extorsion par ransomware

Modèle d'extorsion	Tactique	Influence de la victime	La sauvegarde est-elle efficace ?
Extorsion unique	Systèmes de chiffrement	Perte d'accès aux données et aux opérations	Oui — la restauration à partir de sauvegardes permet de remettre les systèmes en état
Double chantage	Voler des données + crypter les systèmes	Risque de divulgation des données + perte d'accès	En partie — restaure les systèmes mais ne peut empêcher la publication des données
Triple extorsion	Vol de données + chiffrement + attaques DDoS ou pressions exercées par des tiers	Tout ce qui précède, plus des perturbations dans les services ou une pression sur les clients et les partenaires	Non — il reste plusieurs points d'action indépendants

L'«extorsion triple» étend encore ce modèle en y ajoutant des attaques par déni de service distribué (DDoS) contre la victime, en exerçant des pressions sur des tiers tels que des clients ou des partenaires, ou en menaçant de dénoncer la victime aux autorités de régulation. Certains opérateurs de ransomware en tant que service proposent désormais des capacités DDoS en tant que service complémentaire, rendant ainsi les ransomwares à extorsion multiple de plus en plus accessibles.

Comment fonctionnent les attaques par double chantage

Le cycle de vie d'une attaque par double extorsion suit une succession d'étapes prévisibles. Il est essentiel de bien comprendre cette progression, car chaque étape offre des possibilités de détection, en particulier pendant la phase d'exfiltration qui précède le chiffrement.

Accès initial. Les pirates parviennent à s'introduire via phishing (T1566), l'exploitation d'applications accessibles au public ou l'utilisation d'identifiants achetés auprès de courtiers en accès initial (IAB). Cisco Talos a documenté l'IAB ToyMaker, qui vend directement des accès au réseau à des opérateurs de ransomware tels que CACTUS.
L'escalade des privilèges et mouvement latéral. Les pirates utilisent des services à distance (T1021) pour se déplacer latéralement au sein du réseau, étendre leurs privilèges et identifier les référentiels de données à forte valeur ajoutée.
Préparation des données et exfiltration. Les pirates archivent les données ciblées (T1560.001) et l'exporter vers cloud (T1567.002). Étude Symantec/Broadcom a révélé que rclone est impliqué dans 57 % des incidents d'exfiltration liés aux ransomwares.
Cryptage. Les pirates informatiques ont recours au chiffrement des données pour maximiser l'impact (T1486). Analyse Splunk/Sophos estime que la durée de séjour moyenne est de quatre à cinq jours avant le chiffrement. Cependant, le Rapport 2026 de l'Unité 42 sur la gestion des incidents à l'échelle mondiale Il s'avère que le quartile le plus rapide des pirates parvient désormais à exfiltrer des données en seulement 72 minutes.
Demande de rançon et négociation. Les pirates publient une preuve de compromission — souvent un échantillon représentant environ 1 % des données volées — sur leur site de divulgation, fixent des délais de paiement et négocient via des canaux cryptés.
Publication sur des sites de divulgation. Si le paiement n'est pas effectué, les données sont publiées sur des sites de divulgation spécialisés du dark web. Entre 7 458 et 7 960 victimes ont été répertoriées sur ces sites en 2025.

Outils et techniques d'exfiltration

Les groupes actuels pratiquant la double extorsion s'appuient sur un ensemble cohérent d'outils d'exfiltration de données. Savoir ce qu'il faut rechercher constitue la première étape vers leur détection.

Selon les rapports de Symantec/Broadcom et d'Infosecurity Magazine, les outils d'exfiltration les plus courants sont notamment rclone (57 % des incidents), MEGAsync, Cobalt Strike, FileZilla, WinSCP, curl et WinRAR/7-Zip pour l'archivage avant transfert. Le rapport DFIR a documenté un cas LockBit dans lequel les attaquants ont utilisé Cobalt Strike les communications de commande et de contrôle et rclone pour l'exfiltration massive de données.

Les indicateurs de détection pour ces outils comprennent des volumes inhabituels de données sortantes vers des fournisseurs cloud , des connexions à des points de terminaison rclone ou MEGAsync connus, des anomalies DNS indiquant un acheminement de données, ainsi que des analyses comportementales signalant des accès massifs aux fichiers ou des schémas de préparation.

Mécanismes des fuites d'informations et dynamique des négociations

Les sites de divulgation de données par ransomware — également appelés « sites de fuite de données » (DLS) ou « sites de dénonciation » — fonctionnent comme des plateformes du dark web sur lesquelles des groupes publient les données volées à des victimes qui n'ont pas payé. Du point de vue des responsables de la sécurité, il est essentiel de comprendre le fonctionnement de ces sites pour planifier la réponse aux incidents.

L'escalade suit généralement un schéma bien défini. L'auteur de la menace commence par publier le nom de la victime et une description des données volées, souvent accompagnées d'un compte à rebours. Un petit échantillon (généralement entre 1 % et 5 % des données volées) sert de preuve. Si la victime entame des négociations, le délai peut être prolongé. Si le délai expire sans que le paiement ait été effectué, les données sont publiées par tranches ou dans leur intégralité.

Les équipes de sécurité doivent savoir que la présence de données sur un site de fuite confirme qu'une exfiltration a eu lieu, ce qui déclenche l'obligation de notification des violations de données prévue par la plupart des cadres réglementaires. La surveillance des sites de fuite à l'aide de flux de renseignements sur les menaces permet d'émettre une alerte précoce, mais l'objectif est de détecter et d'empêcher l'exfiltration avant même que les données n'atteignent ces plateformes.

cybercriminels notoires pratiquant la double extorsion cybercriminels études de cas

Les groupes pratiquant la double extorsion vont des opérations de menaces persistantes avancées, dotées de moyens importants, aux réseaux d'affiliés peu structurés. Le paiement de la rançon ne garantit pas la sécurité des données, comme le montrent plusieurs affaires très médiatisées.

Principaux groupes de ransomware pratiquant la double extorsion actifs en 2025-2026

Groupe	En activité depuis	Nombre de victimes en 2025	Stratégie principale	Campagne marquante
Qilin	2022	1,034	Double extorsion visant le secteur de la santé	NHS Synnovis (suspension de 90 % des analyses sanguines)
Clop	2019	Des centaines (campagnes de grande envergure)	Zero-day attaques de la chaîne d'approvisionnement	MOVEit Transfer (environ 2 000 victimes)
Medusa	2021	300+	Ciblage des infrastructures critiques	Avis conjoint CISA/FBI AA25-071A
BlackCat/ALPHV	2021	Dissoute à la suite d'une arnaque de type « exit scam »	RaaS et trahison d'un affilié	Change Healthcare (paiement de 22 millions de dollars)
LockBit	2019	Réapparaître	Modèle de coalition de cartels	Annonce d'une collaboration avec DragonForce et Qilin
DragonForce	2023	363	RaaS en marque blanche (répartition 80/20)	Expansion d'une franchise selon le modèle du cartel

L'affaire Change Healthcare / BlackCat ALPHV constitue l'exemple le plus révélateur. Après avoir versé une rançon de 22 millions de dollars, les opérateurs de BlackCat ont mis en place une arnaque de type « exit scam », empochant la somme sans procéder à la suppression des données promise. Un autre groupe affilié, RansomHub, a ensuite tenté une double extorsion en utilisant ces mêmes données volées. Les données d'environ 100 millions de personnes ont été compromises.

Qilin s'est imposé comme le groupe le plus actif en 2025, avec jusqu'à 1 034 victimes recensées. Son attaque contre Synnovis, prestataire de services d'analyses sanguines du NHS, en juin 2024, a paralysé 90 % des services d'analyses sanguines et entraîné l'annulation de plus de 1 100 interventions chirurgicales. La violation de données subie par Covenant Health en mai 2025 a donné lieu à l'exfiltration de 852 Go de données et touché 478 188 patients.

Clop a été le premier à zero-day massivement zero-day à des fins d'extorsion de données. Sa campagne « MOVEit Transfer » de 2023 a touché environ 2 000 organisations et 17 millions de personnes, sans qu'aucun cryptage n'ait été utilisé.

Le modèle « ransomware en tant que service » continue de réduire les barrières à l'entrée. DragonForce propose désormais un modèle de franchise en marque blanche avec une répartition des revenus à 80/20, tandis que Medusa ses affiliés jusqu'à 1 million de dollars pour un accès initial à des cibles de grande valeur.

Impact sur l'activité et statistiques

Les statistiques relatives aux ransomwares de double extorsion pour la période 2024-2026 révèlent un paradoxe : le nombre de victimes est en forte hausse tandis que les paiements de rançons sont en baisse, ce qui indique que de plus en plus d'entreprises refusent de payer — mais les attaques se poursuivent.

Le ransomware à double extorsion en chiffres (2024-2026)

Métrique	Valeur	Année	Source
Les victimes citées sur les sites de divulgation	7,960	2025	SecurityBrief
Augmentation du nombre de victimes par rapport à l'année précédente	53%	2025 contre 2024	SecurityBrief
Montant total des rançons versées	$813.55M	2024	Chainalysis
Baisse des paiements par rapport à l'année précédente	35 % (sur 1,25 milliard de dollars)	2024 par rapport à 2023	Chainalysis
Attaques impliquant l'exfiltration de données	96%	Q3 2025	Brouillard noir
Groupes de ransomware actifs	134	2025	Actualités sur la cybersécurité
Violations de la confidentialité dans le secteur de la santé	Plus de 700 (plus de 275 millions de dossiers médicaux)	2025	Boulevard de la sécurité
Incidents de janvier 2026	678 (hausse de 10 % par rapport à l'année précédente)	janvier 2026	Check Point

Chainalysis a indiqué que le montant total des rançons versées a chuté de 35 %, passant de 1,25 milliard de dollars en 2023 à 813,55 millions de dollars en 2024, le montant médian ayant quant à lui baissé de 50 % pour s'établir à 1 million de dollars en 2025 (Sophos). Pourtant, le nombre d'attaques continue d'augmenter. Entre 45 et 84 nouveaux groupes de ransomware et d'extorsion ont fait leur apparition en 2025, portant le nombre total d'opérations actives à pas moins de 134 cybercriminels distincts.

Le secteur de la santé reste le plus visé par les ransomwares de double extorsion, avec plus de 700 incidents survenus entre 2024 et 2025, qui ont exposé plus de 275 millions de dossiers de patients. Les États-Unis représentent environ 48 % des victimes à l'échelle mondiale (Check Point, janvier 2026).

Éléments à prendre en compte en matière d'assurance cyber

L'assurance cyber s'adapte rapidement à la menace de la double extorsion. Étant donné que la double extorsion implique par nature une exfiltration avérée de données, elle déclenche à la fois la couverture du paiement des rançons et celle de la gestion des violations de données — deux domaines dans lesquels les assureurs ont de plus en plus tendance à appliquer des sous-limites plutôt qu'une couverture intégrale.

Les assureurs exigent désormais couramment la mise en place de mesures de sécurité spécifiques avant d'accorder une couverture, notamment l'installation d'une solution EDR ou XDR sur tous les terminaux, la réalisation de sauvegardes immuables et l'authentification multifactorielle (MFA) pour tous les comptes privilégiés. Environ 76 % des sinistres couverts par les assurances sont dus à des ransomwares, et 70 % des courtiers s'attendent à une augmentation des primes en 2026. Le marché mondial de la cyberassurance devrait atteindre 22,5 milliards de dollars en 2026. Les organisations devraient examiner leurs polices pour déterminer si des sous-limites spécifiques aux ransomwares s'appliquent indépendamment des limites relatives à l'interruption d'activité et à la réponse aux violations de données.

Détecter et prévenir la double extorsion

Pour détecter les attaques par double extorsion, il faut cesser de se concentrer sur les indicateurs de chiffrement — qui apparaissent trop tard — pour se concentrer plutôt sur les anomalies d'exfiltration au niveau du réseau qui se manifestent pendant la phase précédant le chiffrement. Le délai médian de quatre à cinq jours avant le chiffrement offre une fenêtre de détection cruciale, mais le quartile le plus rapide des attaquants exfiltre désormais les données en 72 minutes. Les entreprises ont besoin de capacités de détection et de réaction en moins d'une heure.

Le rapport Picus Red 2026 a révélé que les taux de prévention de l'exfiltration de données ont chuté de 9 % à seulement 3 %, soulignant ainsi une faille critique dans les systèmes de défense de la plupart des organisations.

Parmi les principales stratégies de détection, on peut citer :

Analyse du trafic réseau. Surveillez les volumes inhabituels de données sortantes, les connexions aux API cloud (MEGA, points de terminaison rclone) et les anomalies DNS pouvant indiquer un acheminement détourné de données. Des recherches universitaires confirment que la détection au niveau du réseau est l'approche la plus efficace pour identifier les exfiltrations en cours.
Surveillance des outils d'exfiltration. Surveillez l'activité de rclone, MEGAsync, WinSCP et curl sur les terminaux et dans le trafic réseau. Ces outils sont présents dans la majorité des incidents d'exfiltration liés aux ransomwares.
Détection des menaces liées à l'identité. Le vol d'identifiants dépasse désormais l'exploitation des vulnérabilités en tant que principal vecteur d'accès initial. Surveillez les schémas d'authentification anormaux, l'utilisation abusive des comptes de service et l'escalade des privilèges.
Analyse comportementale. Détectez les schémas d'accès aux données inhabituels, la préparation massive de fichiers et la collecte d'identifiants qui précèdent l'exfiltration, conformément aux recommandations du guide #StopRansomware de la CISA.
Surveillance BYOVD. Soyez attentifs aux schémas de chargement des pilotes vulnérables. Le ransomware Reynolds a récemment mis en œuvre la technique « Bring Your Own Vulnerable Driver » (BYOVD) pour contourner endpoint avant de déployer le ransomware.

Liste de contrôle pour la défense en profondeur

Organisez vos mesures de prévention et de détection de la double extorsion selon les fonctions du cadre de cybersécurité du NIST:

Identifiez et classez les ressources de données sensibles, puis cartographiez les flux de données. Déterminez quelles sont les données les plus précieuses et les plus exposées.
Protéger. Mettre en place une segmentation du réseau pour limiter les mouvements latéraux. Imposer l'authentification multifactorielle (MFA) pour tous les comptes privilégiés. Maintenir des sauvegardes immuables et testées.
Détection. Déploiement détection et réponse aux incidents pour identifier les schémas d'exfiltration. Utilisez des outils de détection des menaces qui établissent des corrélations entre les indicateurs de compromission au niveau du réseau, des identités et cloud.
Réagir. Mettre à jour et tester régulièrement les plans d'intervention en cas d'incident qui partent du principe qu'une exfiltration de données s'est produite. Prévoir des procédures de notification des violations de données ainsi que des mesures de restauration du système.
Récupérer. Restaurer à partir de sauvegardes immuables. Effectuer une analyse post-incident afin de colmater la faille d'accès initiale et d'améliorer la couverture de détection.

Outils courants d'exfiltration et leurs signatures de détection

Le cadre	Date limite de notification	Qui prévenir	Condition de déclenchement
RGPD	72 heures	Autorité de contrôle ; personnes concernées en cas de risque élevé	Confirmation d'une fuite de données personnelles
NIS2	24 heures pour le rapport préliminaire ; 72 heures pour le rapport détaillé ; un mois pour le rapport final	CSIRT national ou autorité compétente	Incident majeur touchant des entités essentielles ou importantes
HIPAA	60 jours (particuliers) ; immédiat (HHS pour les entreprises de plus de 500 salariés)	le ministère américain de la Santé et des Services sociaux (HHS), les personnes concernées, les médias (si plus de 500 personnes sont concernées)	Fuite de données médicales confidentielles
PCI DSS	Conformément au plan IR (exigence 12.10)	Banque acquéreuse, enquêteur spécialisé en criminalistique PCI	Fuite de données relatives aux titulaires de cartes

Conformité et gestion des incidents

La double extorsion constitue toujours une violation avérée des données, car l'exfiltration de données est inhérente à cette tactique. Cela déclenche des délais de notification obligatoires, ce qui n'est pas nécessairement le cas avec les ransomwares qui se contentent de crypter les données. Les équipes de sécurité doivent se préparer à respecter leurs obligations de conformité dès l'instant où une attaque de double extorsion est identifiée.

Obligations de notification réglementaires déclenchées par une violation de données à double extorsion

Outil	Indicateur de réseau	Endpoint	Approche de détection
Rclone	HTTPS vers les API cloud (MEGA, Backblaze, S3)	rclone.exe ou un fichier binaire renommé contenant les fichiers de configuration de rclone	Surveiller les transferts sortants à haut débit vers cloud
MEGAsync	Connexions aux domaines mega.nz	Processus MEGAsync ou sessions de navigation sur mega.nz	Bloquer ou signaler le trafic provenant de mega.nz
Cobalt Strike	Modèles de balisage, profils C2 adaptables	Canaux nommés, injection de DLL par réflexion	Détection comportementale des intervalles entre les signaux lumineux
WinSCP/FileZilla	FTP/SFTP vers des adresses IP externes	WinSCP.exe et filezilla.exe se trouvent dans des répertoires inattendus	Alerte concernant l'exécution d'un outil de transfert de fichiers non autorisé
WinRAR/7-Zip	N/A (mise en scène locale)	Archivage en masse des répertoires sensibles	Suivi des opérations d'archivage de fichiers en masse

Le Cadre MITRE ATT&CK de MITRE ATT&CK correspond directement aux techniques de double extorsion : T1566 (Phishing), T1021 (Services à distance), T1560.001 (Archives via Utility), T1567.002 (Transfert vers Cloud ), T1486 (Données cryptées pour plus d'impact), et T1657 (Fraude financière). Harmonisation gestion des incidents L'association de guides de procédure à ces identifiants de technique garantit une couverture à chaque étape.

En février 2026, la FTC a publié son deuxième rapport au Congrès sur les ransomwares, signe d'une attention accrue de la part des autorités fédérales en matière de réglementation. Les organisations doivent partir du principe que tout incident lié à un ransomware s'accompagne d'une exfiltration de données et inclure dans leurs plans d'intervention en cas d'incident des procédures de notification des violations, et pas seulement la restauration des systèmes.

L'évolution de l'extorsion : du rançongiciel au rançongiciel de données

Le paysage des ransomwares connaît actuellement une mutation profonde. De plus en plus, les groupes malveillants renoncent complètement au chiffrement et se contentent de voler des données pour faire pression — une tendance connue sous le nom d’« extorsion par les données seules » ou « extorsion sans chiffrement ».

Les chiffres sont sans appel. Le Rapport Picus Red 2026 a constaté que T1486 (Données cryptées pour des raisons de confidentialité) : l'utilisation a baissé de 38 % par rapport à l'année précédente. Rapport sur les menaces 2026 d'Arctic Wolf a constaté une multiplication par onze des cas d'extorsion visant uniquement les données, leur proportion passant de 2 % à 22 % des interventions en cas d'incident. Unité 42 a confirmé une baisse de 15 % des cas d'extorsion par cryptage, parallèlement à une accélération des vitesses d'exfiltration.

Les campagnes MOVEit Transfer et Cleo de Clop ont démontré l'efficacité de ce modèle à grande échelle. En exploitant zero-day des logiciels de transfert de fichiers, Clop a dérobé des données à environ 2 000 organisations sans jamais recourir au chiffrement. Le résultat était le même : payez, ou vos données seront rendues publiques.

Cette évolution a des implications directes sur la stratégie défensive. Les défenses axées sur la sauvegarde perdent toute pertinence lorsque le chiffrement ne fait pas partie de l'attaque. L'analyse du trafic réseau et la détection des fuites de données deviennent alors la première ligne de défense. La « triple extorsion » — qui ajoute les attaques DDoS, les pressions exercées par des tiers ou les menaces liées aux obligations réglementaires de déclaration — accroît encore davantage la complexité des réponses à apporter face aux ransomwares recourant à des formes multiples d'extorsion.

Approches modernes pour se prémunir contre le chantage double

Le secteur de la sécurité s'oriente vers une approche axée sur la détection pour lutter contre la double extorsion. Les solutions actuelles couvrent détection et réponse aux incidents NDR), la détection et la réponse étendues (XDR), la détection et la réponse aux menaces liées à l'identité, l'analyse comportementale, la prévention des pertes de données et la corrélation SIEM.

Les entreprises qui évaluent des solutions doivent privilégier la visibilité en temps réel du réseau dans les environnements hybrides, la détection automatisée des exfiltrations, la corrélation des menaces basée sur l'identité et des accords de niveau de service (SLA) garantissant une détection en moins d'une heure. Les services de détection et de réponse gérés (MDR) peuvent compléter les opérations du centre de sécurité (SOC) interne pour les entreprises qui ne disposent pas d'une couverture 24 h/24, 7 j/7. La détection des schémas d'exfiltration basée sur l'IA et la convergence entre la NDR et l'analyse des identités constituent les tendances émergentes les plus prometteuses. Les approches basées sur les signaux qui réduisent le bruit des alertes permettent aux équipes de sécurité de se concentrer sur les comportements qui comptent — les mouvements latéraux, la préparation des données et l'exfiltration — plutôt que de se noyer dans des alertes de faible fiabilité.

Vectra AI sur la double extorsion

La double extorsion renforce la philosophie du « présumer la compromission », qui est au cœur de l'approche Vectra AI. Étant donné que les attaquants parviendront à s'introduire dans le système, la question cruciale est de savoir à quelle vitesse les équipes de sécurité peuvent les repérer — en particulier pendant les phases de déplacement latéral et de préparation des données qui précèdent à la fois l'exfiltration et le chiffrement. Attack Signal Intelligence Vectra AI Attack Signal Intelligence sur l'identification des comportements des attaquants à travers le réseau moderne — environnements sur site, cloud, d'identité et SaaS — plutôt que de s'appuyer uniquement sur la prévention. Des validations indépendantes montrent que cette approche réduit le temps moyen de détection des menaces de plus de 50 % (IDC) et diminue le bruit des alertes jusqu'à 99 % (Globe Telecom), permettant ainsi aux équipes de sécurité d'agir dans la fenêtre de détection critique avant que les données ne soient perdues.

Conclusion

Les ransomwares à double extorsion sont désormais le modèle dominant en matière de cyberattaques, transformant chaque incident de ransomware en une fuite potentielle de données aux conséquences réglementaires, financières et réputationnelles. Le taux d'exfiltration des données de 96 %, le raccourcissement des délais de détection et la tendance à l'extorsion sans chiffrement mènent tous à la même conclusion : les entreprises ne peuvent plus se contenter de miser uniquement sur la prévention et les sauvegardes.

La défense la plus efficace combine une visibilité au niveau du réseau pour détecter les exfiltrations en cours, une détection axée sur l'identité pour identifier les identifiants compromis, et une analyse comportementale pour signaler les agissements des attaquants pendant les phases de déplacement latéral et de préparation des données. Les attaquants les plus rapides étant désormais capables d'exfiltrer des données en 72 minutes, il n'est plus possible de se passer de capacités de détection et de réaction en moins d'une heure.

Les équipes de sécurité qui adaptent leurs stratégies de détection au cycle de vie de la double extorsion — en se concentrant sur la phase critique précédant le chiffrement — se donnent les meilleures chances de mettre fin à ces attaques avant que les données ne soient perdues et que l'avantage ne passe du côté de l'attaquant.

Découvrez comment Vectra AI et bloque les menaces de ransomware dans l'ensemble de votre environnement hybride.

Foire aux questions

Qu'est-ce que la double extorsion dans le domaine de la cybersécurité ?

La double extorsion est une tactique de ransomware dans laquelle les attaquants dérobent des données sensibles avant de chiffrer les systèmes, créant ainsi deux moyens de pression simultanés sur la victime. L'organisation est confrontée à une perte définitive de données due au chiffrement et à la divulgation publique des informations volées sur des sites de fuite du dark web. Les défenses traditionnelles basées uniquement sur la sauvegarde ne traitent que la composante chiffrement, laissant la menace d'exposition des données sans solution. Avec 96 % des attaques par ransomware impliquant désormais l'exfiltration de données (BlackFog, T3 2025), la double extorsion est devenue le modèle dominant en matière de ransomware. Les équipes de sécurité doivent partir du principe que chaque incident de ransomware inclut un vol de données et planifier leur réponse aux incidents en conséquence, en incluant des procédures de notification des violations parallèlement à la restauration du système.

Comment fonctionne un ransomware à double extorsion ?

L'attaque suit un cycle en six étapes. Les attaquants obtiennent d'abord un accès initial par phishing, exploitation de vulnérabilités ou achat d'identifiants auprès de courtiers en accès initial. Ils se déplacent ensuite latéralement au sein du réseau pour identifier et accéder à des données de grande valeur. La phase suivante consiste à préparer les données — souvent en les compressant à l'aide d'outils tels que WinRAR ou 7-Zip — avant de les exfiltrer vers une infrastructure contrôlée par les attaquants à l'aide d'outils tels que rclone, qui apparaît dans 57 % des incidents (Symantec/Broadcom). Après l'exfiltration, un chiffrement est mis en place. Les attaquants émettent alors une demande de rançon en jouant à la fois sur le chiffrement des systèmes et la menace de publication des données. Si la victime ne paie pas, les données sont publiées sur un site dédié aux fuites sur le dark web.

Quelle est la différence entre un ransomware à extorsion simple et un ransomware à double extorsion ?

L'extorsion simple repose uniquement sur le chiffrement des systèmes et consiste à exiger le paiement d'une clé de déchiffrement. Si la victime dispose de sauvegardes fiables, elle peut récupérer ses données sans payer. La double extorsion ajoute une composante de vol de données, ce qui signifie que l'attaquant détient une copie des données sensibles et menace de les publier, que la victime puisse ou non restaurer ses systèmes chiffrés. Cela modifie fondamentalement l'évaluation des risques : même les organisations disposant d'excellentes capacités de sauvegarde et de restauration s'exposent à des conséquences réglementaires, juridiques et en termes de réputation en cas de divulgation des données. La triple extorsion va encore plus loin en ajoutant des attaques DDoS, en faisant pression sur des tiers ou en menaçant de dénoncer la victime aux autorités de régulation.

Les sauvegardes peuvent-elles protéger contre les ransomwares à double extorsion ?

Les sauvegardes protègent contre le composant de chiffrement, mais pas contre la divulgation des données. Étant donné que la grande majorité des attaques par ransomware s'accompagnent désormais d'une exfiltration de données, la restauration à partir des sauvegardes rétablit la disponibilité du système, mais n'empêche pas que les données volées soient publiées, vendues ou utilisées à des fins d'extorsion secondaire. Les organisations ont besoin d'une défense multicouche combinant des sauvegardes immuables pour la restauration et une détection de l'exfiltration au niveau du réseau afin de repérer les vols de données en cours. détection et réponse aux incidents, l'analyse comportementale et la détection des menaces liées à l'identité offrent la visibilité nécessaire pour identifier les attaquants pendant les phases de mouvement latéral et de préparation des données qui précèdent l'exfiltration.

Que se passe-t-il si vous ne payez pas les rançons demandées par un ransomware de double extorsion ?

Les données volées sont généralement publiées sur le site de divulgation de l'acteur malveillant une fois le délai écoulé, souvent par étapes afin d'accroître la pression. Cependant, le paiement ne garantit pas non plus la sécurité. L'incident de Change Healthcare l'a clairement démontré : après un paiement de 22 millions de dollars, les opérateurs de BlackCat/ALPHV ont mis en place une arnaque de sortie, et un groupe affilié distinct (RansomHub) a tenté une extorsion secondaire en utilisant les mêmes données. Les données de Chainalysis montrent que les paiements de rançons ont diminué de 35 % en 2024, ce qui indique que davantage d'organisations refusent de payer et se concentrent plutôt sur la détection, le confinement et la récupération.

Quelle est la première attaque par ransomware de double extorsion connue ?

Le groupe de ransomware Maze est largement considéré comme le pionnier de la double extorsion à la fin de l'année 2019. Lorsqu'une victime refusait de payer la rançon, Maze publiait les données volées de l'organisation, établissant ainsi le modèle que la grande majorité des groupes de ransomware suit aujourd'hui. Avant Maze, les opérateurs de ransomware s'appuyaient exclusivement sur le chiffrement. Le succès de l'approche de Maze a conduit à une adoption rapide dans l'ensemble du paysage des menaces, des groupes tels que REvil, DoppelPaymer et Conti mettant rapidement en place leur propre infrastructure de sites de divulgation. En 2025, la double extorsion était devenue le modèle opérationnel par défaut des ransomwares.

Quels sont les secteurs les plus touchés par la double extorsion ?

Le secteur de la santé est le plus visé, avec plus de 700 violations de données en 2024-2025 ayant exposé plus de 275 millions de dossiers de patients. La combinaison de données sensibles sur les patients, d’obligations réglementaires (HIPAA) et d’urgences opérationnelles rend les organismes de santé particulièrement vulnérables aux pressions exercées à des fins d’extorsion. Parmi les autres cibles principales figurent l'industrie manufacturière, les infrastructures critiques (ce qui a donné lieu à un avis conjoint de la CISA et du FBI concernant Medusa), les services financiers, les télécommunications, l'éducation et les administrations publiques. Les États-Unis représentent environ 48 % des victimes à l'échelle mondiale (Check Point, janvier 2026), tandis que l'Europe occidentale (Royaume-Uni, Allemagne, Italie, Espagne) et la région Asie-Pacifique apparaissent comme des zones cibles en pleine expansion.