En 2025, les ransomwares ont atteint un niveau de sophistication et une ampleur sans précédent. Avec 85 groupes de ransomwares actifs opérant simultanément et des dommages estimés à 57 milliards de dollars à l'échelle mondiale, les organisations sont confrontées à un environnement de menaces qui exige à la fois des connaissances techniques approfondies et une stratégie claire. Ce guide fournit aux professionnels de la sécurité des informations actualisées sur le fonctionnement des ransomwares, cybercriminels qui cybercriminels le plus grand risque et les mesures défensives qui permettent réellement de réduire l'exposition.
Que vous développiez des capacités de détection, affiniez vos procédures de réponse aux incidents ou informiez la direction des risques organisationnels, les informations présentées ici reflètent les dernières recherches en matière de menaces et les meilleures pratiques défensives provenant de sources faisant autorité, notamment le FBI, la CISA et MITRE ATT&CK.
Un ransomware est un type de logiciel malveillant qui crypte les fichiers sur l'appareil ou le réseau d'une victime et exige le paiement d'une rançon, généralement en cryptomonnaie, pour rétablir l'accès. Selon le FBI, les ransomwares empêchent l'accès aux fichiers, systèmes ou réseaux informatiques jusqu'à ce que le paiement soit effectué.
La CISA caractérise les ransomwares comme « une forme de logiciel malveillant en constante évolution ». malware conçue pour crypter les fichiers d'un appareil, rendant inutilisables tous les fichiers et les systèmes qui en dépendent ». Cette définition reflète la réalité opérationnelle à laquelle sont confrontées les équipes de sécurité : les ransomwares ne se contentent pas de verrouiller les données, ils perturbent également les processus métier qui en dépendent.
L'impact financier des ransomwares en 2025 est stupéfiant. Selon Cybersecurity Ventures, les dommages causés par les ransomwares à l'échelle mondiale ont atteint 57 milliards de dollars cette année, soit environ 156 millions de dollars par jour. Ces coûts vont bien au-delà du paiement des rançons et incluent les perturbations commerciales, les frais de récupération, les atteintes à la réputation et les sanctions réglementaires.
Ce qui rend les ransomwares particulièrement préoccupants, c'est leur évolution d'une simple nuisance à une entreprise criminelle sophistiquée. Les opérateurs de ransomwares modernes effectuent des reconnaissances, établissent leur persistance et exfiltrent des données sensibles avant même de déployer le chiffrement. Cela transforme chaque incident lié à un ransomware en une violation potentielle des données, avec des conséquences à long terme pour les organisations touchées.
Les ransomwares appartiennent à la catégorie plus large des malware des logiciels conçus pour nuire aux systèmes informatiques ou à leurs utilisateurs. Cependant, les ransomwares possèdent des caractéristiques uniques qui les distinguent des autres malware .
Contrairement aux virus qui se propagent et corrompent les fichiers, aux chevaux de Troie qui fournissent un accès détourné ou aux logiciels espions qui exfiltrent discrètement des informations, les ransomwares s'annoncent eux-mêmes. La cyberattaque devient visible pour les victimes à travers les demandes de rançon exigeant un paiement. Cette visibilité sert la motivation financière des attaquants : les victimes ne peuvent pas payer pour quelque chose dont elles ignorent l'existence.
La motivation financière stimule également l'évolution rapide des ransomwares. Les pirates perfectionnent sans cesse leurs techniques afin de maximiser les taux de paiement et de minimiser les risques de détection, créant ainsi une course à l'armement entre innovation offensive et capacité défensive.
Les attaques modernes par ransomware suivent une séquence prévisible que les défenseurs peuvent perturber à plusieurs étapes. Comprendre cette chaîne d'attaque permet aux équipes de sécurité de mettre en place des défenses multicouches et de détecter les intrusions avant que le chiffrement ne se produise.
Une attaque typique par ransomware se déroule en cinq étapes :
Chaque étape offre des possibilités de détection et d'interruption. Les organisations qui se concentrent exclusivement sur la prévention de l'accès initial manquent des occasions d'intercepter les attaquants pendant la période souvent longue qui s'écoule entre la compromission et le chiffrement.
Les points d'entrée utilisés par les opérateurs de ransomware ont considérablement évolué. Selon le HIPAA Journal, les identifiants VPN compromis ont représenté 48 % des attaques de ransomware au troisième trimestre 2025, contre 38 % au deuxième trimestre. Cela représente un changement fondamental par rapport aux années précédentes, où phishing l'accès initial.
Le passage à un accès initial basé sur les identifiants reflète à la fois la disponibilité généralisée d'identifiants volés sur les marchés criminels et l'efficacité des courtiers en accès initial, des spécialistes qui compromettent les systèmes et vendent l'accès à des opérateurs de ransomware. Ces courtiers utilisent souvent des infostealers pour récolter des identifiants à grande échelle.
L'exploitation des services externes reste importante, avec des campagnes récentes ciblant les vulnérabilités des appareils VPN (CVE-2024-40766 dans SonicWall), des appareils Citrix NetScaler (CVE-2025-5777) et des logiciels d'entreprise tels qu'Oracle E-Business Suite (CVE-2025-61882).
Une fois à l'intérieur d'un réseau, les opérateurs de ransomware agissent rapidement. Selon Vectra AI sur les mouvements latéraux, ceux-ci se produisent en moyenne dans les 48 minutes suivant la compromission initiale. Dans les cas les plus rapides observés, les attaquants ont réussi à propager le virus dans tout le réseau en seulement 18 minutes.
Cette rapidité réduit considérablement le délai disponible pour la détection et la réponse. Les pirates utilisent des outils administratifs et des identifiants légitimes pour se déplacer latéralement, ce qui rend leur activité difficile à distinguer des opérations réseau normales sans analyse comportementale.
L'exfiltration de données est devenue quasi systématique dans les attaques par ransomware. Selon Deepstrike, 76 % des attaques par ransomware en 2025 ont impliqué une exfiltration de données avant le chiffrement. Cela permet une double extorsion : même si les victimes restaurent leurs données à partir de sauvegardes, les attaquants menacent de publier les données volées.
Les outils couramment utilisés lors de la phase d'exfiltration comprennent :
Le MITRE ATT&CK Le cadre fournit un vocabulaire normalisé pour décrire les techniques utilisées par les ransomwares. La principale technique utilisée par les ransomwares est T1486 - Données cryptées pour plus d'impact, classé dans la catégorie « Tactique d'impact ».
Le cadre ATT&CK répertorie plus de 70 familles de ransomwares et les techniques qui leur sont associées. Les équipes de sécurité peuvent utiliser cette cartographie pour valider la couverture de détection et identifier les lacunes dans leurs capacités défensives grâce à une recherche proactive des menaces.
Les ransomwares ont évolué, passant de simples outils de chiffrement à des menaces sophistiquées à multiples facettes. Comprendre les principales variantes aide les défenseurs à anticiper les schémas d'attaque et à préparer des réponses appropriées.
La distinction fondamentale entre les types de ransomware se fait entre les crypto-ransomware et les locker ransomware.
Les crypto-ransomwares (également appelés ransomwares cryptographiques) chiffrent les fichiers et les données individuels sur les appareils infectés. Selon Keeper Security, les victimes peuvent toujours utiliser leurs appareils, mais ne peuvent pas accéder aux fichiers chiffrés sans la clé de déchiffrement. Les crypto-ransomwares modernes utilisent des algorithmes de chiffrement puissants, notamment AES-256, ChaCha20 et RSA-2048, qui sont impossibles à déchiffrer par des moyens informatiques.
Les ransomwares de type « locker » (verrouillage d'écran) adoptent une approche différente : ils verrouillent l'accès des utilisateurs à l'ensemble de leur système plutôt que de crypter des fichiers individuels. Selon Check Point, les variantes de type « locker » empêchent tout accès à l'appareil jusqu'à ce que le paiement soit effectué. Si les ransomwares de type « locker » étaient plus courants au début de l'histoire des ransomwares, les crypto-ransomwares dominent aujourd'hui en raison de leur impact plus important et de leur processus de récupération plus difficile.
Les ransomwares modernes ont évolué au-delà du simple chiffrement pour devenir des systèmes d'extorsion à plusieurs niveaux.
Les ransomwares à double extorsion combinent le chiffrement des données et le vol de données. Les pirates commencent par exfiltrer les informations sensibles, puis chiffrent les systèmes. Si les victimes restaurent leurs données à partir de sauvegardes sans payer, les pirates menacent de publier ou de vendre les données volées. Selon Arctic Wolf, 96 % des cas d'incidents liés à des ransomwares en 2025 impliquaient une exfiltration de données, faisant de la double extorsion la norme plutôt que l'exception.
Les ransomwares à triple extorsion ajoutent des tactiques de pression supplémentaires au-delà du chiffrement et du vol de données. Il peut s'agir notamment :
Cette évolution signifie que les attaques par ransomware causent désormais des dommages multiples et cumulatifs : perturbation opérationnelle due au chiffrement, obligation de notification des violations de données en cas d'exfiltration et atteinte à la réputation due aux menaces de divulgation publique.
L'industrialisation des ransomwares les a transformés d'un crime technique en un modèle commercial accessible. Selon IBM, le ransomware-as-a-service (RaaS) est un modèle commercial dans lequel les développeurs de ransomwares vendent ou louent leurs malware des affiliés qui mènent les attaques proprement dites.
Les opérateurs RaaS fournissent à leurs affiliés :
En échange, les affiliés partagent le produit des rançons avec les opérateurs RaaS. Selon Flashpoint, les parts de revenus typiques des affiliés varient entre 70 et 85 % des paiements de rançons, Qilin offrant une part de 85 %, la plus élevée du secteur, afin d'attirer des affiliés.
Ce modèle réduit considérablement les barrières à l'entrée. Des criminels sans connaissances techniques particulières peuvent mener des attaques sophistiquées à l'aide d'outils professionnels, élargissant ainsi le champ des menaces et augmentant le volume des attaques.
L'écosystème des ransomwares en 2025 se caractérise par sa fragmentation, sa sophistication et un volume d'attaques record. Les équipes de sécurité ont besoin d'informations actualisées sur les cybercriminels actifs cybercriminels et leurs tactiques afin de hiérarchiser efficacement les défenses.
Selon Check Point Research, le troisième trimestre 2025 a vu un nombre record de 85 groupes de ransomware actifs opérer simultanément, soit le nombre le plus élevé jamais observé. Cette fragmentation fait suite aux perturbations causées par les forces de l'ordre aux principaux groupes et reflète la facilité avec laquelle de nouveaux groupes peuvent se lancer en utilisant l'infrastructure RaaS.
Le volume des attaques a considérablement augmenté, avec 4 701 incidents liés à des ransomwares enregistrés dans le monde entre janvier et septembre 2025, soit une augmentation de 46 % par rapport à la même période en 2024.
Qilin s'est imposé comme le groupe de ransomware dominant en 2025, traitant plus de 75 victimes par mois au troisième trimestre. La part de revenus de 85 % accordée aux affiliés du groupe, supérieure à celle de ses concurrents, a attiré des affiliés qualifiés issus d'opérations dissoutes. Il convient de noter que cybercriminels nord-coréens cybercriminels des charges utiles Qilin en mars 2025, ce qui indique une collaboration entre l'État et des opérations criminelles de ransomware.
Selon les avis de la CISA, Akira avait accumulé 244,17 millions de dollars de recettes à la fin septembre 2025. Le groupe cible les PME et les infrastructures critiques dans les secteurs de la fabrication, de l'éducation, des technologies de l'information, des soins de santé et des services financiers.
LockBit a refait surface avec la version 5.0 en septembre 2025, malgré la pression considérable exercée par les forces de l'ordre, notamment dans le cadre de l'opération Cronos. Bien qu'il ait perdu de son importance par rapport à son apogée, le groupe continue d'exister, ce qui démontre la résilience des opérations RaaS bien établies.
Change Healthcare (2024-2025) : L'attaque ALPHV/BlackCat contre Change Healthcare représente la plus grande violation de données de santé de l'histoire des États-Unis. Selon l'AHA, environ 192,7 millions de personnes ont été touchées, pour un coût total estimé à 3 milliards de dollars. La cause première était la compromission des identifiants d'un serveur Citrix sans authentification multifactorielle, une défaillance élémentaire des contrôles de sécurité aux conséquences catastrophiques.
Campagne « Korean Leaks » de Qilin (septembre 2025) : selon The Hacker News, Qilin a compromis un seul fournisseur de services gérés (GJTec) et a utilisé cet accès pour attaquer 28 organisations en aval, dont 24 dans le secteur financier sud-coréen. Plus d'un million de fichiers et 2 To de données ont été exfiltrés. Cette attaque de la chaîne d'approvisionnement démontre comment les compromissions des MSP peuvent amplifier de manière exponentielle l'impact des ransomwares.
Campagne Clop Oracle EBS (novembre 2025) : Selon Z2Data, le groupe de ransomware Clop a exploité la vulnérabilité CVE-2025-61882 (CVSS 9.8) dans Oracle E-Business Suite pour compromettre plus de 100 entreprises, dont Broadcom, Estee Lauder, Mazda, Canon, Allianz UK et le Washington Post. Cette campagne a démontré la tendance continue de Clop à mener des attaques massives, à l'instar des attaques MOVEit similaires en 2023.
Les ransomwares ciblent des secteurs très variés. Selon Industrial Cyber, les infrastructures critiques ont représenté la moitié des attaques par ransomware en 2025.
Les PME sont touchées de manière disproportionnée. Selon l'analyse DBIR de Verizon, 88 % des violations de données dans les PME impliquent des ransomwares (contre 39 % pour les grandes entreprises), et 60 % des petites entreprises victimes d'attaques ferment leurs portes dans les six mois. Le manque de ressources dédiées à la sécurité et de capacités de réponse aux incidents rend les petites entreprises particulièrement vulnérables.
Une défense efficace contre les ransomwares nécessite des contrôles à plusieurs niveaux couvrant la prévention, la détection et la réponse. Si la prévention reste l'approche la plus rentable, les organisations doivent également se préparer à détecter les attaques en cours et à réagir efficacement lorsque les défenses échouent.
Le guide #StopRansomware de la CISA fournit des conseils de prévention faisant autorité que les équipes de sécurité devraient mettre en œuvre comme contrôles de base :
Actions prioritaires (à mettre en œuvre immédiatement) :
Contrôles techniques supplémentaires :
Étant donné que 48 % des attaques de 2025 ont utilisé des identifiants VPN compromis, les entreprises devraient vérifier leurs configurations VPN, mettre en place une authentification multifactorielle (MFA) pour tous les accès à distance et envisager des alternatives d'accès réseau zéro confiance.
La règle de sauvegarde moderne 3-2-1-1-0, telle que détaillée par Veeam, offre une protection des données résistante aux ransomwares :
Le stockage immuable convertit les sauvegardes au formatWORM(Write Once, Read Many) qui ne peut être ni écrasé, ni modifié, ni supprimé, même par les administrateurs disposant de toutes les autorisations. Cela permet de se protéger contre les ransomwares qui ciblent spécifiquement les systèmes de sauvegarde.
Il est essentiel de tester régulièrement les sauvegardes. Les organisations doivent vérifier les procédures de restauration au moins une fois par trimestre et documenter des objectifs de temps de récupération réalistes basés sur les résultats réels des tests.
Il existe des possibilités de détection tout au long de la chaîne d'attaque des ransomwares. détection et réponse aux incidents offrent une visibilité sur les comportements des attaquants que endpoint peuvent manquer.
malware précurseur malware surveiller :
Indicateurs réseau de l'activité des ransomwares :
Les références comportementales permettent de détecter les anomalies. Lorsque les utilisateurs ou les systèmes s'écartent des modèles établis (accès à des ressources inhabituelles, authentification à des moments inhabituels ou transfert de volumes de données inhabituels), ces écarts justifient une enquête.
Si votre organisation est victime d'un ransomware, la CISA fournit des conseils pour réagir immédiatement:
Activer rapidement votre plan d'intervention en cas d'incident améliore les résultats. Les organisations disposant de procédures d'intervention testées se remettent plus rapidement et minimisent les dommages.
Les délais de rétablissement se sont considérablement améliorés. Selon Sophos, 56 % des entreprises ont pu rétablir leurs activités en moins d'une semaine en 2025, contre 33 % en 2024. Cette amélioration reflète de meilleures pratiques de sauvegarde et des capacités de réponse aux incidents plus matures dans l'ensemble du secteur.
Le FBI et la CISA déconseillent de payer les rançons. Les données corroborent cette position :
Le comportement des victimes reflète ces recommandations. Selon Sophos, 63 % des victimes de ransomware ont refusé de payer en 2025, contre 59 % en 2024. Parallèlement, 97 % des organisations ont réussi à récupérer leurs données grâce à des sauvegardes ou d'autres moyens, ce qui démontre que le paiement n'est pas nécessaire pour récupérer les données.
Si vous envisagez un paiement, consultez d'abord un conseiller juridique et les autorités chargées de l'application de la loi avant de prendre une décision. Certains paiements peuvent enfreindre les réglementations en matière de sanctions, et les autorités peuvent disposer d'informations sur l'auteur de la menace spécifique qui influencent la décision.
Les cadres réglementaires imposent de plus en plus souvent des contrôles spécifiques aux ransomwares et des obligations de déclaration. Les équipes de sécurité doivent comprendre les obligations de conformité et mettre en correspondance les contrôles existants avec les exigences du cadre réglementaire.
NIST IR 8374 - Profil de gestion des risques liés aux ransomwares : cette publication du NIST applique les cinq fonctions essentielles du cadre de cybersécurité (identifier, protéger, détecter, réagir, récupérer) spécifiquement aux risques liés aux ransomwares. Mise à jour pour le CSF 2.0 en janvier 2025, elle fournit des conseils pratiques conformes à la norme ISO/IEC 27001:2013 et au NIST SP 800-53 Rev. 5.
MITRE ATT&CK : la version 18 d'ATT&CK (octobre 2025) répertorie plus de 70 familles de ransomwares et leurs techniques. Les organisations peuvent utiliser ATT&CK pour valider la couverture de détection par rapport aux comportements connus des ransomwares et identifier les lacunes en matière de capacités.
Directive NIS2 (UE) : La directive NIS2 impose aux entités essentielles et importantes de 18 secteurs critiques de mettre en œuvre des contrôles spécifiques aux ransomwares. Les principales exigences comprennent un système d'alerte précoce 24 heures sur 24 pour les incidents importants et des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial en cas denon-conformité.
Les ransomwares ont un impact significatif sur les marchés de l'assurance cyber. Selon Resilience, le montant moyen des demandes d'indemnisation liées aux ransomwares a atteint 1,18 million de dollars en 2025, soit une augmentation de 17 % par rapport à l'année précédente. Les ransomwares représentent 76 % des pertes subies, alors qu'ils ne représentent que 56 % des demandes d'indemnisation.
Les défis en matière de couverture sont de plus en plus nombreux. Selon le HIPAA Journal, environ 40 % des demandes d'indemnisation au titre de l'assurance cyber ont été rejetées en 2024, souvent en raison d'exclusions pour « défaut de maintien de la sécurité ». Les assureurs examinent minutieusement les pratiques de gestion des vulnérabilités, le déploiement de l'authentification multifactorielle (MFA) et les procédures de sauvegarde lorsqu'ils évaluent les demandes d'indemnisation.
Une préoccupation émergente : le groupe de ransomware Interlock a été observé en train de voler les polices d'assurance cyber des victimes afin de comparer les demandes de rançon aux limites de couverture. Cette approche fondée sur le renseignement pour fixer le prix des rançons fait d'une couverture adéquate une responsabilité potentielle sans amélioration correspondante de la sécurité.
Le paysage des ransomwares exige une évolution constante des stratégies défensives. À mesure que les attaquants développent de nouvelles techniques (telles que les EDR killers, les menaces cloud comme l'exploitation AWS SSE-C de Codefinger et la collaboration entre États-nations), les défenseurs doivent adapter leurs capacités de détection et de réponse en conséquence.
La détection basée sur le réseau est devenue essentielle, car les pirates contournent de plus en plus endpoint . Les solutions NDR offrent une visibilité sur les mouvements latéraux, l'exfiltration de données et les communications de commande et de contrôle que endpoint ne peuvent pas détecter.
Les plateformes de détection et de réponse étendues (XDR) corrèlent les signaux provenant des sources de données endpoint, du réseau, cloud et des identités. Cette visibilité intercouches réduit les faux positifs et accélère les investigations en reliant les activités connexes dans l'ensemble de l'environnement.
L'adoption Zero trust continue de se développer, les entreprises prenant conscience que la sécurité périmétrique ne peut pas protéger contre les attaques basées sur les identifiants. Lorsque 48 % des incidents liés aux ransomwares commencent par une compromission des identifiants, il devient essentiel de partir du principe que le réseau est déjà compromis et de valider chaque demande d'accès.
Vectra AI la défense contre les ransomwares à travers Attack Signal Intelligence en se concentrant sur la détection des comportements des attaquants tout au long de la chaîne d'attaque plutôt que de se fier uniquement aux signatures ou aux indicateurs connus. En analysant le trafic réseau, cloud et les signaux d'identité, la plateforme identifie les mouvements latéraux, les élévations de privilèges et les modèles d'exfiltration de données qui précèdent le déploiement des ransomwares.
La philosophie « Assume Compromise » (supposer la compromission) reconnaît que les attaquants déterminés finiront par contourner les contrôles préventifs. La capacité essentielle consiste à détecter les attaquants pendant la fenêtre entre l'accès initial et le chiffrement, qui ne dure souvent que 18 minutes, mais qui est généralement suffisante pour que la détection comportementale des menaces identifie les activités malveillantes.
Les capacités de sécurité de l'IA permettent de détecter les nouveaux comportements des ransomwares sans connaissance préalable des variantes spécifiques. Lorsque les attaquants développent de nouvelles techniques d'évasion, l'analyse comportementale continue d'identifier les modèles d'attaque sous-jacents (utilisation abusive d'identifiants, accès inhabituel aux données, tentatives de connexion latérale) qui restent cohérents d'une campagne à l'autre.
En 2025, les ransomwares constituent une menace mature, sophistiquée et très fragmentée qu'aucune organisation ne peut se permettre d'ignorer. Avec 85 groupes actifs, 57 milliards de dollars de dommages à l'échelle mondiale et des attaques qui combinent systématiquement le chiffrement et le vol de données, les enjeux n'ont jamais été aussi élevés.
Les données montrent que la prévention et la préparation sont efficaces. Les organisations qui mettent en œuvre l'authentification multifactorielle (MFA), conservent des sauvegardes testées et immuables, et segmentent leurs réseaux se remettent plus rapidement et évitent de payer des rançons. Celles qui investissent dans des capacités de détection, en particulier l'analyse comportementale basée sur le réseau, interceptent les attaquants avant que le chiffrement ne commence.
La voie à suivre nécessite une évolution continue. À mesure que les opérateurs de ransomware développent de nouvelles techniques et exploitent de nouvelles vulnérabilités, les défenseurs doivent s'adapter. Des tests réguliers de la couverture de détection par rapport au MITRE ATT&CK , une formation continue à la sensibilisation à la sécurité et des tests trimestriels de restauration des sauvegardes constituent la base d'opérations résilientes.
Pour les organisations qui cherchent à renforcer leurs défenses contre les ransomwares, l'approche Vectra AI en matière de Attack Signal Intelligence une détection tout au long de la chaîne d'attaque, en identifiant les comportements qui précèdent le déploiement d'un ransomware, indépendamment des malware spécifiques malware ou des techniques d'évasion.
Un ransomware est un logiciel malveillant qui verrouille vos fichiers en les cryptant, puis exige un paiement, généralement en cryptomonnaie, pour les déverrouiller. Selon le FBI, il s'agit de l'une des formes de cyberattaque les plus coûteuses financièrement, coûtant en moyenne 5,5 à 6 millions de dollars par incident aux organisations en 2025. Les attaquants fournissent une demande de rançon avec des instructions de paiement et une date limite. Si vous payez, ils prétendent vous fournir une clé de décryptage, mais la récupération n'est pas garantie. Les ransomwares modernes volent également vos données avant de les crypter, menaçant de publier des informations sensibles si vous ne payez pas, même après avoir restauré vos données à partir de sauvegardes.
Les ransomwares s'introduisent généralement par plusieurs voies courantes. Au troisième trimestre 2025, les identifiants VPN compromis représentaient 48 % des attaques de ransomwares, selon le HIPAA Journal. Phishing Les e-mails contenant des pièces jointes ou des liens malveillants restent un vecteur principal. L'exploitation des vulnérabilités non corrigées dans les systèmes connectés à Internet, en particulier les appareils VPN, les dispositifs Citrix et les logiciels d'entreprise, constitue un autre point d'entrée. Les attaques de la chaîne d'approvisionnement par l'intermédiaire de fournisseurs de services gérés ou de fournisseurs de logiciels peuvent compromettre plusieurs organisations simultanément. Une fois que les attaquants ont obtenu un accès initial, ils passent généralement plusieurs jours ou semaines à se déplacer dans le réseau et à voler des données avant de déployer le chiffrement.
Le FBI et la CISA déconseillent de payer les rançons. Les statistiques corroborent cette recommandation : seules 46 % des organisations qui paient récupèrent leurs données, tandis que 80 % des payeurs subissent de nouvelles attaques par la suite. En 2025, 63 % des victimes de ransomware ont refusé de payer et 97 % des organisations ont récupéré leurs données grâce à des sauvegardes ou d'autres moyens. Le paiement des rançons finance les entreprises criminelles et encourage les attaques futures. Si vous envisagez de payer, consultez d'abord un conseiller juridique et faites appel aux forces de l'ordre. Certains paiements peuvent enfreindre les réglementations en matière de sanctions, et les autorités peuvent disposer d'informations qui influenceront votre décision.
Isolez immédiatement les systèmes affectés en les déconnectant du réseau afin d'empêcher toute propagation supplémentaire. Ne redémarrez pas les systèmes, car cela pourrait causer des dommages supplémentaires ou détruire des preuves médico-légales. Sécurisez et déconnectez les systèmes de sauvegarde afin de les protéger contre le chiffrement. Documentez tout en prenant des captures d'écran des notes de rançon et en conservant l'état du système. Évaluez l'ampleur de l'attaque afin de comprendre quels systèmes sont affectés. Contactez le FBI, la CISA ou les forces de l'ordre locales. Avant d'envisager un paiement, consultez le projet No More Ransom pour obtenir des outils de décryptage gratuits. Ceux-ci proposent des décrypteurs pour plus de 100 familles de ransomwares.
Les protections clés commencent par l'activation de l'authentification multifactorielle (MFA) phishing sur tous les services externes et points d'accès à distance. Conservez des sauvegardes hors ligne et immuables en suivant la règle 3-2-1-1-0 détaillée par Veeam. Corrigez rapidement les vulnérabilités connues exploitées — donnez la priorité aux entrées du catalogue CISA Known Exploited Vulnerabilities. Mettez en place une segmentation du réseau pour limiter les mouvements latéraux. Déployez des solutions EDR, NDR ou XDR dotées de capacités de détection en temps réel. Séparez les comptes administratifs des comptes à usage quotidien et imposez des mots de passe d'au moins 15 caractères. Envisagez l'accès zero trust comme alternative au VPN traditionnel, étant donné que les identifiants VPN compromis représentent 48 % des attaques.
Les ransomwares à double extorsion combinent le chiffrement traditionnel des fichiers et le vol de données. Les pirates commencent par exfiltrer les données sensibles de votre réseau, puis chiffrent les systèmes et exigent un paiement. Si les victimes restaurent leurs données à partir de sauvegardes sans payer, les pirates menacent de publier ou de vendre les données volées sur des sites de fuite. Selon Arctic Wolf, 96 % des cas d'incidents liés à des ransomwares en 2025 impliquaient l'exfiltration de données, faisant de la double extorsion le modèle opérationnel standard. Cette évolution signifie que même les organisations disposant d'excellentes pratiques de sauvegarde sont soumises à une pression importante pour payer, car l'exposition des données peut entraîner des sanctions réglementaires, une atteinte à la réputation et un préjudice concurrentiel.
Les ransomwares modernes sont principalement utilisés par des groupes cybercriminels organisés qui exploitent des plateformes de ransomware-as-a-service (RaaS). Selon Check Point Research, 85 groupes distincts de ransomwares étaient actifs au troisième trimestre 2025. Parmi les groupes les plus actifs, on trouve Qilin (plus de 75 victimes par mois, 85 % de partage des revenus des affiliés), Akira (244 millions de dollars de recettes), Medusa plus de 300 victimes dans des infrastructures critiques) et DragonForce (en pleine expansion en raison de faibles exigences en matière de partage des bénéfices). Certains groupes ont des liens avec des États-nations : des pirates informatiques nord-coréens ont déployé le ransomware Qilin en mars 2025, ce qui indique une collaboration entre des acteurs étatiques et des organisations criminelles. Les courtiers en accès initial sont spécialisés dans la violation des systèmes et la vente d'accès aux opérateurs de ransomware, ce qui contribue à industrialiser davantage l'écosystème.