Les ransomwares ont causé des dommages estimés à 57 milliards de dollars à l'échelle mondiale en 2025, avec 85 groupes actifs, ce qui représente une fragmentation sans précédent du paysage des menaces (Check Point Research, 2025)
Les identifiants VPN compromis représentent désormais 48 % des attaques par ransomware, faisant de l'accès initial basé sur l'identité le principal vecteur d'intrusion (HIPAA Journal, 3e trimestre 2025)
Dans 76 % des incidents liés aux ransomwares, l'exfiltration des données a lieu avant même que le chiffrement ne commence, ce qui fait de chaque attaque par ransomware une véritable violation de données (Deepstrike, 2025)
Les délais de reprise ont considérablement diminué : 56 % des entreprises parviennent désormais à se remettre sur pied en moins d'une semaine, contre 33 % l'année précédente (Sophos, 2025)
Le FBI déconseille de payer les rançons, car seules 46 % des victimes qui ont payé récupèrent leurs données et 80 % d'entre elles subissent de nouvelles attaques (CSO Online, 2025)
Au troisième trimestre 2025, 85 groupes de ransomware opéraient simultanément, soit le nombre le plus élevé jamais enregistré, tandis que les dommages s'élevaient à 57 milliards de dollars à l'échelle mondiale (Check Point Research, 2025 ; Cybersecurity Ventures, 2025). Rien qu'en mars 2026, trois groupes, Qilin, Akira et DragonForce, ont été à l'origine de 40 % des 672 incidents enregistrés en un seul mois (Infosecurity Magazine, 2026).
Ce guide fournit aux professionnels de la sécurité, aux analystes SOC et aux RSSI des informations actualisées sur le fonctionnement des ransomwares, ainsi que sur les cybercriminels représentent le plus grand risque et quelles mesures défensives permettent réellement de réduire l'exposition. Que vous développiez des capacités de détection, affiniez vos procédures de réponse aux incidents ou informiez la direction sur les risques organisationnels, les informations contenues ici reflètent les recherches sur les menaces et les meilleures pratiques défensives du FBI, de la CISA et de MITRE ATT&CK.
Qu'est-ce qu'un ransomware ?
Un ransomware est un type de logiciel malveillant qui crypte les fichiers présents sur l'appareil ou le réseau d'une victime et exige le paiement d'une rançon, généralement en cryptomonnaie, pour rétablir l'accès. Selon le FBI, un ransomware empêche l'accès aux fichiers, aux systèmes ou aux réseaux informatiques jusqu'à ce que le paiement soit effectué.
La CISA définit le ransomware comme malware crypte les fichiers d'un appareil, rendant ainsi ces fichiers et les systèmes qui en dépendent inutilisables. Les conséquences opérationnelles vont au-delà du simple verrouillage des fichiers : le ransomware perturbe les processus métier qui reposent sur ces données.
Selon Cybersecurity Ventures, les dommages causés par les ransomwares à l'échelle mondiale ont atteint 57 milliards de dollars en 2025, soit environ 156 millions de dollars par jour. Ces coûts vont bien au-delà du simple paiement des rançons et englobent les perturbations de l'activité, les frais de remise en état, l'atteinte à la réputation et les sanctions réglementaires.
Les auteurs de ransomware modernes procèdent à des opérations de reconnaissance, s'assurent de la persistance de leur présence et exfiltrent des données sensibles avant de lancer le chiffrement. Cela transforme chaque incident de ransomware en une violation potentielle des données, avec des conséquences à long terme pour les organisations touchées.
En quoi les ransomwares diffèrent-ils des autres malware?
Les ransomwares se distinguent des autres malware parce qu’ils se font connaître de la victime. Alors que les logiciels espions, les chevaux de Troie et les virus agissent généralement en secret, volant des données, créant des portes dérobées ou corrompant des fichiers sans se faire remarquer, les ransomwares exigent un paiement par le biais de notes de rançon explicites. Cette visibilité est délibérée : l’attaque informatique doit être détectée avant que la victime puisse être contrainte de payer.
Chaque malware se distingue par son objectif, son niveau de visibilité et la manière dont les pirates en tirent profit.
Type de Malware
Objectif principal
Visibilité
Modèle financier
Ransomware
Extorsion via le chiffrement
Explicite (demande de rançon)
Demande de paiement direct
Logiciels espions
Vol de données
Caché
Indirect (vente de données)
chevaux de Troie
Accès à distance
Caché
Variable
Vers
Auto-propagation
Souvent visible
Variable
Virus
Corruption de fichier
Souvent visible
Variable
Les incitations financières poussent à une adaptation constante ; le passage d'une situation phishing en 2023 à une situation où les identifiants VPN compromis représentent 48 % des attaques au troisième trimestre 2025 montre à quelle vitesse les cybercriminels changent de méthode lorsque les défenseurs bloquent un vecteur d'attaque.
Comment fonctionne un ransomware
Les attaques modernes par ransomware se déroulent en cinq étapes, et les défenseurs peuvent les contrer à chaque étape. C'est la mise en place de mesures de détection adaptées à chaque étape qui distingue les organisations qui interceptent les attaquants avant le chiffrement de celles qui ne découvrent les dégâts qu'après coup.
Une attaque typique par ransomware se déroule en cinq étapes :
Accès initial — les pirates s'introduisent via phishing, l'utilisation d'identifiants compromis ou l'exploitation de vulnérabilités
Mouvement latéral — malware à travers le réseau tout en collectant des identifiants supplémentaires.
Élévation des privilèges — les attaquants obtiennent un accès administratif pour maximiser l'impact
Exfiltration de données — les informations sensibles sont volées avant leur chiffrement afin de permettre une double extorsion.
Chiffrement et demande de rançon — les fichiers sont chiffrés et les victimes reçoivent des instructions de paiement.
Chaque étape correspond à une possibilité de détection distincte et à un point de défaillance distinct.
Vecteurs d'attaque des ransomwares et accès initial
Selon le HIPAA Journal, les identifiants VPN compromis ont été à l'origine de 48 % des attaques par ransomware au troisième trimestre 2025, contre 38 % au deuxième trimestre. Cela marque un changement radical par rapport aux années précédentes, où phishing d'accès initial.
L'accès par usurpation d'identifiants a désormais supplanté phishing, l'exploitation de vulnérabilités et toutes les autres méthodes de diffusion des ransomwares
Vecteur d'accès initial
T3 2025 Part
Tendance
Identifiants VPN compromis
48%
Augmenter
Exploitation de services externes
23%
Stable
Phishing et ingénierie sociale
~15%
Diminution
Identifiants RDP compromis
~6%
Stable
Attaques contre la chaîne d'approvisionnement
~6%
Augmenter
Cette évolution reflète à la fois la disponibilité généralisée d'identifiants volés sur les marchés criminels et l'efficacité des courtiers en accès initiaux, ces spécialistes qui compromettent des systèmes et vendent l'accès à des opérateurs de ransomware. Ces courtiers utilisent des logiciels de vol d'informations pour collecter des identifiants à grande échelle.
L'exploitation de services externes représente 23 % supplémentaires des attaques, les campagnes récentes ayant ciblé des vulnérabilités dans des appliances VPN (CVE-2024-40766 chez SonicWall), des appareils Citrix NetScaler (CVE-2025-5777) et des logiciels d'entreprise tels qu'Oracle E-Business Suite (CVE-2025-61882).
Mouvement latéral et exfiltration de données
Une fois infiltrés dans un réseau, les auteurs de ransomware commencent à se déplacer latéralement en moins de 48 minutes en moyenne. Les cas les plus rapides observés montrent une propagation complète au sein du réseau en seulement 18 minutes (Vectra AI ). Les défenseurs disposent de moins d'une heure, parfois même de moins de 20 minutes, pour détecter et contenir la propagation avant que l'attaquant ne prenne le contrôle de l'environnement.
Les pirates utilisent des outils administratifs légitimes et des identifiants pour se déplacer latéralement, ce qui rend leurs activités difficiles à distinguer des opérations réseau normales sans analyse comportementale.
Selon Deepstrike, 76 % des attaques par ransomware en 2025 ont donné lieu à une exfiltration de données avant le chiffrement, ce qui fait que presque tous les incidents de ransomware constituent déjà une violation de données au moment où le chiffrement commence. Cela permet une double extorsion : même si les victimes restaurent leurs données à partir de sauvegardes, les attaquants menacent de publier les données volées.
Les outils couramment utilisés lors de la phase d'exfiltration comprennent :
MITRE ATT&CK répertorie les techniques spécifiques utilisées par les auteurs de ransomware, allant de l'utilisation abusive des identifiants (T1078) au chiffrement à des fins d'impact (T1486). La principale technique de ransomware est la T1486, « Chiffrement des données à des fins d'impact », classée dans la catégorie « Impact ».
Six techniques reviennent dans la plupart des opérations de ransomware, allant de l'utilisation abusive initiale des identifiants à l'échappement des systèmes de défense, en passant par le chiffrement final.
ID de la technique
Nom
Tactique
Pertinence des ransomwares
T1486
Données cryptées pour plus d'impact
Impact
Technique principale utilisée par les ransomwares
T1078
Comptes valides
Accès initial, persistance
Abus de crédenciaux pour entrer
T1021
Services à distance
Mouvement latéral
RDP, SMB pour la diffusion
T1003
Vide de données d'identification du système d'exploitation
Accès aux identifiants
L'escalade des privilèges
T1059
Interpréteur de commandes et de scripts
Exécution
Déploiement de la charge utile
T1562
Affaiblir les défenses
Défense Evasion
Outils anti-EDR
Plus de 70 familles de ransomware sont associées à des techniques ATT&CK spécifiques. En appliquant cette correspondance aux détections déployées, on identifie précisément les zones couvertes et celles qui ne le sont pas, ce qui permet de mener une recherche ciblée des menaces en se concentrant sur les failles connues.
Types de ransomware
Les ransomwares se répartissent désormais en plusieurs catégories distinctes, chacune se caractérisant par des méthodes de chiffrement, des tactiques d'extorsion et des modèles économiques différents.
Ransomware de chiffrement vs ransomware de verrouillage
Les ransomwares se divisent en deux grandes catégories : les ransomwares de chiffrement (crypto-ransomwares) et les ransomwares de verrouillage.
Les ransomwares de chiffrement chiffrent les fichiers et les données individuels présents sur les appareils infectés. Selon Keeper Security, les victimes peuvent continuer à utiliser leurs appareils, mais ne peuvent pas accéder aux fichiers chiffrés sans la clé de déchiffrement. Les ransomwares de chiffrement modernes utilisent des algorithmes de chiffrement puissants, notamment AES-256, ChaCha20 et RSA-2048, dont le craquage est mathématiquement impossible.
Les ransomwares de type « locker » (verrous d'écran) adoptent une approche différente : ils bloquent l'accès des utilisateurs à l'ensemble de leur système plutôt que de chiffrer des fichiers individuels. Selon Check Point, les variantes de ce type de ransomware empêchent tout accès à l'appareil jusqu'à ce que le paiement soit effectué. Si les ransomwares de type « locker » étaient plus courants aux débuts de ce type de logiciels malveillants, ce sont aujourd'hui les ransomwares de chiffrement qui prédominent, en raison de leur impact plus important et de la difficulté accrue à récupérer les données.
Les stratégies de restauration, d'intervention et de sauvegarde diffèrent considérablement entre les deux.
Type
Ce qu'il fait
L'utilisateur peut toujours...
Recouvrement sans paiement
Crypto-ransomware
Crypte les fichiers
Utiliser l'appareil, accéder aux données non cryptées
Restaurer à partir des sauvegardes
Ransomware Locker
Verrouille l'ensemble du système
Rien
Réimager le système
Ransomware à double ou triple extorsion
La plupart des attaques par ransomware associent désormais le chiffrement au vol de données, et certaines y ajoutent en outre des attaques DDoS et des menaces provenant de tiers.
Ransomware à double extorsion combine le chiffrement des données et leur vol. Les attaquants commencent par exfiltrer les informations sensibles, puis chiffrent les systèmes. Si les victimes restaurent leurs données à partir de sauvegardes sans payer, les attaquants menacent de publier ou de vendre les données volées. Selon Arctic Wolf, 96 % des interventions liées à des incidents de ransomware en 2025 impliquaient une exfiltration de données, faisant de la double extorsion la norme plutôt que l'exception.
Les ransomwares de triple extorsion recourent à des tactiques de pression supplémentaires, au-delà du chiffrement et du vol de données :
Menacer de contacter les clients, partenaires ou patients de la victime au sujet de la violation
Lancement d'attaques DDoS contre l'infrastructure de la victime
Cibler des tiers avec des demandes d'extorsion basées sur des données volées
Il en résulte une accumulation de préjudices : des perturbations opérationnelles dues au chiffrement, des obligations de notification en cas de violation liées à l'exfiltration de données, ainsi qu'une atteinte à la réputation due aux menaces de fuites publiques, le tout se produisant simultanément.
Qu'est-ce que le ransomware-as-a-service (RaaS) ?
Selon IBM, le « ransomware-as-a-service » (RaaS) est un modèle économique dans lequel les développeurs de ransomware vendent ou louent leurs malware des affiliés qui mènent les attaques proprement dites. Ce modèle a industrialisé le ransomware, le faisant passer d'un délit technique à une activité de franchise.
Les opérateurs RaaS fournissent à leurs affiliés :
Charges utiles de ransomware prêtes à être déployées
Comités administratifs pour la gestion des victimes
Infrastructure de traitement des paiements
Outils d'aide à la négociation et de communication avec les victimes
Assistance technique et mises à jour
En contrepartie, les affiliés partagent le produit des rançons avec les opérateurs de RaaS. Selon Flashpoint, la part des revenus généralement reversée aux affiliés se situe entre 70 et 85 % des rançons versées, Qilin proposant une part de 85 %, la plus élevée du secteur, afin d'attirer les affiliés.
Des cybercriminels sans aucune expertise technique sont désormais capables de déployer des ransomwares de niveau professionnel, ce qui explique pourquoi le nombre de groupes actifs a atteint 85 au troisième trimestre 2025.
Le paysage des menaces liées aux ransomwares
Au troisième trimestre 2025, un nombre record de 85 groupes de ransomware opéraient simultanément. Entre janvier et septembre, 4 701 incidents ont été recensés à l'échelle mondiale, soit une hausse de 46 % par rapport à la même période en 2024. Cette fragmentation fait suite aux démantèlements de grands groupes par les forces de l'ordre et témoigne de la facilité avec laquelle de nouveaux groupes peuvent se lancer en utilisant une infrastructure RaaS.
Rien qu'en mars 2026, 672 incidents liés à des ransomwares ont été signalés, trois groupes seulement (Qilin, Akira et DragonForce) étant responsables de 40 % du total.
Les groupes de ransomware les plus actifs en 2025
Groupe
Statut
Activité 2025
Caractéristiques notables
Qilin
N° 1 le plus actif
Plus de 75 victimes par mois
Part de 85 % pour les affiliés ; accent mis sur la chaîne d'approvisionnement
Akira
Top 3
244,17 millions de dollars de recettes
Cible les PME et les infrastructures critiques
Medusa
Actif
Plus de 300 victimes (en février 2025)
Ciblage des infrastructures critiques
DragonForce
En hausse
En pleine croissance
Faibles exigences en matière de participation aux bénéfices
LockBit 5.0
Réapparition (septembre 2025)
Plus de 15 victimes après la relance
Se remettre d'une intervention des forces de l'ordre
RansomHub
INACTIF (avril 2025)
Cessation d'activité
Affiliés ayant migré vers d'autres groupes
Qilin s'est imposé comme le groupe de ransomware dominant, traitant plus de 75 victimes par mois dès le troisième trimestre 2025. La part de 85 % des revenus reversée aux affiliés, supérieure à celle de ses concurrents, a attiré des affiliés expérimentés issus d'opérations dissoutes. Il convient de noter que cybercriminels nord-coréens cybercriminels des charges utiles Qilin en mars 2025, ce qui indique une collaboration entre un État-nation et des opérations criminelles de ransomware.
Selon les avis émis par la CISA, Akira avait accumulé 244,17 millions de dollars de butin à la fin du mois de septembre 2025. Le groupe cible les PME et les infrastructures critiques dans les secteurs de l'industrie manufacturière, de l'éducation, des technologies de l'information, de la santé et des services financiers.
LockBit a refait surface avec la version 5.0 en septembre 2025, malgré une pression considérable exercée par les forces de l'ordre, notamment dans le cadre de l'opération Cronos. Bien que son activité ait diminué par rapport à son apogée, la persévérance du groupe témoigne de la résilience des opérations RaaS bien établies.
Études de cas très médiatisées
Change Healthcare (2024-2025) : L'attaque menée par ALPHV/BlackCat contre Change Healthcare constitue la plus importante fuite de données dans le secteur de la santé de l'histoire des États-Unis. Selon l'AHA, environ 192,7 millions de personnes ont été touchées, pour un coût total estimé à 3 milliards de dollars. La cause première réside dans la compromission des identifiants d'un serveur Citrix dépourvu d'authentification multifactorielle, une défaillance élémentaire des contrôles de sécurité aux conséquences catastrophiques.
Campagne « Korean Leaks » de Qilin (septembre 2025) : Selon The Hacker News, Qilin a compromis un seul fournisseur de services gérés (GJTec) et a utilisé cet accès pour attaquer 28 organisations en aval, dont 24 dans le secteur financier sud-coréen. Plus d'un million de fichiers et 2 To de données ont été exfiltrés. Cette attaque de la chaîne d'approvisionnement montre comment la compromission d'un seul fournisseur de services gérés peut amplifier de manière exponentielle l'impact d'un ransomware.
Campagne Clop contre Oracle EBS (novembre 2025) : Selon Z2Data, le groupe de ransomware Clop a exploité la vulnérabilité CVE-2025-61882 (CVSS 9,8) dans Oracle E-Business Suite pour compromettre plus de 100 entreprises, dont Broadcom, Estée Lauder, Mazda, Canon, Allianz UK et le Washington Post. Cette campagne a suivi le même scénario d'exploitation massive que celui utilisé par Clop contre MOVEit en 2023 : même groupe, même tactique, vulnérabilité différente.
Statistiques sur l'impact de l'industrie
Le secteur de la santé a été la principale cible des ransomwares en 2025, avec 460 attaques et 182 violations de données signalées au FBI, soit un total de 642 incidents cybernétiques (rapport annuel 2025 de l'IC3, publié en avril 2026). Le secteur des services financiers arrive en deuxième position, avec un total de 447 incidents.
La concentration des attaques sur certains secteurs d'activité reflète à la fois la valeur des données qu'ils détiennent et la pression opérationnelle qui rend les victimes plus enclines à céder au chantage.
Secteur
Part des attaques en 2025
Variation d'une année sur l'autre
Chiffres clés
Santé
N° 1 des cibles (FBI IC3 2025)
Augmenter
642 incidents cybernétiques au total ; 88 groupes malveillants distincts ciblant ce secteur
Fabrication
26 % des victimes recensées
+61%
23,1 % des demandes d'indemnisation
L'éducation
180 attaques (1er–3e trimestre 2025)
+69 % au premier trimestre
4 388 attaques par semaine au deuxième trimestre
Services financiers
N° 2 : ciblé (FBI IC3 2025)
Stable
447 incidents informatiques au total ; 15,4 % des demandes d'indemnisation
D'après l'analyse du rapport DBIR de Verizon, 88 % des violations de données chez les PME impliquent des ransomwares, contre 39 % pour les grandes entreprises. Sans ressources dédiées à la sécurité ni capacités de gestion des incidents, 60 % des petites entreprises victimes d'une attaque mettent la clé sous la porte dans les six mois.
Trois niveaux de contrôle distincts – la prévention, la détection et la réaction – distinguent les organisations qui parviennent à se remettre d'une attaque par ransomware de celles qui n'y parviennent pas. La prévention est le niveau le moins coûteux. La détection et la réaction déterminent l'issue une fois que l'attaquant a déjà pénétré dans le système.
12 mesures essentielles pour prévenir les attaques par ransomware
Le guide #StopRansomware de la CISA définit les mesures de sécurité de base que toute organisation devrait mettre en place. Ces 12 mesures visent les vecteurs d'attaque les plus courants et réduisent la vulnérabilité tout au long de la chaîne d'attaque des ransomwares.
Mesures prioritaires (à mettre en œuvre immédiatement) :
Donner la priorité à la correction des vulnérabilités connues ayant fait l'objet d'attaques, en se concentrant sur les entrées du catalogue KEV de la CISA
Activer et appliquer l'authentification multifactorielle phishing sur tous les services externes.
Effectuez régulièrement des sauvegardes hors ligne cryptées et testez les procédures de restauration.
Le fait que 48 % des attaques exploitent des identifiants VPN compromis rend trois mesures urgentes : vérifier les configurations VPN, imposer l'authentification multifactorielle (MFA) pour tous les accès à distance et envisager l'accès réseau « zero-trust » comme alternative au VPN.
Stratégie de sauvegarde pour la résilience face aux ransomwares
La règle de sauvegarde 3-2-1-1-0, telle que décrite par Veeam, offre une protection des données résistante aux ransomwares :
3 copies des données (une copie principale et deux copies de sauvegarde)
2 types de supports de stockage différents
1 copie hors site
1 copie immuable ou isolée
0 erreur après les tests de vérification
Le stockage immuable convertit les sauvegardes au formatWORM(Write Once, Read Many), qui ne peut être ni écrasé, ni modifié, ni supprimé, même par des administrateurs disposant de tous les droits d'accès. Cela offre une protection contre les ransomwares qui ciblent spécifiquement les systèmes de sauvegarde.
Une sauvegarde qui n'a pas été testée n'est pas une sauvegarde. Vérifier les procédures de restauration au moins une fois par trimestre — et comparer les délais de restauration réels aux objectifs fixés —, voilà ce qui distingue une sauvegarde qui fonctionne d'une sauvegarde qui se contente d'exister.
Indicateurs de détection des ransomwares
Chaque étape de la chaîne d'attaque par ransomware génère des traces réseau que les outils basés sur les signatures ne détectent pas. détection et réponse aux incidents révèle les mouvements latéraux, l'exfiltration et le trafic de commande et de contrôle que endpoint ne détectent jamais.
malware précurseur malware surveiller :
Les chargeurs Bumblebee, Dridex, Emotet, QakBot et Anchor précèdent souvent le déploiement des ransomwares.
La détection de ces menaces devrait déclencher une enquête immédiate.
Indicateurs réseau de l'activité des ransomwares :
Données anormales sortantes sur n'importe quel port (exfiltration)
Outils tels que Rclone, Rsync, FTP/SFTP pour le transfert de volumes de données importants
Rappels C2 vers une infrastructure inconnue
Modèles de mouvements latéraux (authentification inhabituelle, utilisation abusive de comptes de service)
Tentatives de tunneling DNS
Activité d'usurpation d'adresse IP
Lorsqu'un compte de service s'authentifie à 3 heures du matin, qu'une session d'administrateur transfère 40 Go vers un hôte externe ou qu'un utilisateur accède à des partages de fichiers qu'il n'a jamais consultés, ces anomalies constituent un signal d'alerte.
Si votre organisation est victime d'un ransomware, la CISA fournit des conseils pour réagir immédiatement :
Isolez immédiatement — déconnectez les systèmes affectés du réseau pour empêcher la propagation.
NE redémarrez PAS et ne réinitialisez PAS l'appareil, car cela pourrait causer des dommages supplémentaires ou détruire des preuves médico-légales.
Sauvegardes sécurisées — déconnectez les systèmes de sauvegarde pour empêcher le chiffrement
Documentez tout — faites des captures d'écran des demandes de rançon et conservez l'état du système.
Évaluer la portée — déterminer quels systèmes sont concernés et l'étendue du chiffrement
Contactez les autorités — prévenez le FBI, la CISA et les forces de l'ordre locales.
Recherchez des outils de décryptage gratuits: le projet No More Ransom propose des outils de décryptage gratuits pour plus de 100 familles de ransomware
C'est l'intervention dans la première heure qui détermine si l'attaque reste confinée à un seul segment ou si elle se propage à l'ensemble du réseau.
Selon Sophos, 56 % des entreprises se sont remises de l'incident en moins d'une semaine en 2025, contre 33 % en 2024. L'écart entre les entreprises qui se remettent en quelques jours et celles qui mettent des mois à le faire se réduit.
Délai de récupération
2025
2024
Changement
En moins d'une journée
16%
7%
+9 points
Dans un délai d'une semaine
56%
33%
+23 points
Un à six mois
11%
31%
-20 points
Faut-il payer la rançon demandée par un ransomware ?
Le FBI et la CISA déconseillent de payer les rançons. Les données corroborent cette position :
Seules 46 % des organisations qui paient des rançons récupèrent leurs données (CSO Online)
93 % des victimes ayant payé ont tout de même vu leurs données volées et potentiellement exposées.
Environ 80 % des organisations qui ont payé ont subi des attaques ultérieures.
Le paiement finance des entreprises criminelles et encourage de futures attaques.
Le comportement des victimes reflète ces tendances. Selon Sophos, 63 % des victimes de ransomware ont refusé de payer en 2025, contre 59 % en 2024. Parallèlement, 97 % des entreprises ont réussi à récupérer leurs données grâce à des sauvegardes ou à d'autres moyens, ce qui démontre que le paiement n'est pas indispensable à la récupération.
Si vous envisagez de verser une rançon, il convient de consulter un conseiller juridique et de faire appel aux forces de l'ordre avant de prendre toute décision. Certains paiements peuvent enfreindre la réglementation en matière de sanctions, et les autorités peuvent disposer de renseignements sur l'auteur de la menace en question qui modifient la donne.
Conformité aux exigences réglementaires en matière de ransomware
La directive NIS2, la norme NIST IR 8374 et le projet de loi britannique imposent désormais des mesures de contrôle spécifiques aux ransomwares ainsi que des délais de signalement des incidents. L'alignement des mesures de contrôle existantes sur ces exigences réglementaires et la production de preuves prêtes pour un audit constituent une nécessité opérationnelle, et non un simple exercice de gouvernance.
Cartographie du cadre
NIST IR 8374 — Profil de gestion des risques liés aux ransomwares : cette publication du NIST applique les cinq fonctions fondamentales du Cadre de cybersécurité (Identifier, Protéger, Détecter, Réagir, Restaurer) spécifiquement aux risques liés aux ransomwares. Mise à jour pour le CSF 2.0 en janvier 2025, elle fournit des recommandations concrètes conformes à la norme ISO/IEC 27001:2013 et à la norme NIST SP 800-53 Rev. 5.
MITRE ATT&CK : la version 18 d'ATT&CK (octobre 2025) recense plus de 70 familles de ransomware et leurs techniques. Les organisations peuvent utiliser ATT&CK pour vérifier la couverture de détection face aux comportements connus des ransomwares et identifier les lacunes en matière de capacités.
Directive NIS 2 (UE) : La directive NIS 2 impose aux entités essentielles et importantes de 18 secteurs critiques de mettre en place des mesures de contrôle spécifiques aux ransomwares. Parmi les principales exigences figurent la notification précoce, dans les 24 heures, des incidents majeurs, ainsi que des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial en cas de non-conformité.
En 2025, le montant moyen des demandes d'indemnisation liées aux ransomwares s'élevait à 1,18 million de dollars, soit une hausse de 17 % par rapport à l'année précédente (Resilience, 2025). Les ransomwares représentent 76 % des pertes subies, bien qu'ils ne constituent que 56 % des demandes d'indemnisation.
En 2024, les assureurs ont rejeté environ 40 % des demandes d'indemnisation au titre de l'assurance cyber, invoquant souvent les clauses d'exclusion relatives au « non-respect des mesures de sécurité » (HIPAA Journal). Lors de l'évaluation des demandes, ils examinent minutieusement la gestion des vulnérabilités, les pratiques en vigueur, le déploiement de l'authentification multifactorielle (MFA) et les procédures de sauvegarde.
Une nouvelle source d'inquiétude : on a constaté que le groupe de ransomware Interlock dérobait les polices d'assurance cyber de ses victimes afin d'évaluer ses demandes de rançon par rapport aux plafonds de couverture. Lorsque les attaquants connaissent le montant maximal de votre couverture, une assurance adéquate sans les améliorations de sécurité correspondantes devient un risque.
Comment Vectra AI les ransomwares
Vectra AI la défense contre les ransomwares à travers Attack Signal Intelligence, en détectant les comportements des attaquants tout au long de la chaîne d'attaque plutôt que de s'appuyer sur des signatures ou des indicateurs connus. En analysant le trafic réseau, cloud et les signaux d'identité, la plateforme les mouvements latéraux, l'escalade des privilèges et les schémas d'exfiltration de données qui précèdent le déploiement d'un ransomware.
Le modèle « Assume Compromise » part du principe que les contrôles préventifs échoueront et concentre la détection sur ce qui se passe après l'accès initial. C'est dans le laps de temps entre l'accès initial et le chiffrement, qui ne dure souvent que 18 minutes, que la détection comportementale des menaces permet de repérer ce que les signatures ne détectent pas.
La détection basée sur l'IA identifie les nouveaux comportements des ransomwares sans nécessiter de connaissance préalable des variantes spécifiques. Lorsque les attaquants développent de nouvelles techniques de contournement, l'analyse comportementale continue de signaler les schémas sous-jacents, l'utilisation abusive des identifiants, les accès inhabituels aux données et les tentatives de propagation latérale, qui restent constants d'une campagne à l'autre.
Sans visibilité sur les couches d'identité, cloud et de réseau, les pirates parviennent à la phase de chiffrement sans être détectés.
Les lacunes de la plupart des systèmes de protection contre les ransomwares
Les groupes d'auteurs de ransomware se réorganisent en quelques semaines après une intervention des forces de l'ordre, modifient leurs vecteurs d'attaque en quelques mois et adoptent de nouvelles tactiques d'extorsion en quelques mois. Les entreprises qui mettent en place l'authentification multifactorielle (MFA), conservent des sauvegardes immuables et testées, segmentent leurs réseaux et déploient des systèmes de détection comportementale se remettent plus rapidement de ces attaques et évitent de payer des rançons.
Pour aller de l'avant, il faut commencer par une évaluation honnête :
Avez-vous une visibilité en temps réel sur les mouvements latéraux au sein de votre environnement hybride ?
Vos outils actuels sont-ils capables de détecter l'utilisation abusive des identifiants et l'escalade de privilèges avant le début du chiffrement ?
Vos sauvegardes sont-elles vraiment immuables ? Avez-vous testé leur restauration au cours des 90 derniers jours ?
Savez-vous quelles MITRE ATT&CK votre infrastructure de détection couvre et où se situent les lacunes ?
Pouvez-vous prouver que vous êtes prêt à vous conformer aux exigences à l'aide d'éléments concrets, et pas seulement de documents ?
En 2025, les ransomwares constituent une menace mature, sophistiquée et très fragmentée qu'aucune organisation ne peut se permettre d'ignorer. Avec 85 groupes actifs, 57 milliards de dollars de dommages à l'échelle mondiale et des attaques qui combinent systématiquement le chiffrement et le vol de données, les enjeux n'ont jamais été aussi élevés.
Les données montrent que la prévention et la préparation sont efficaces. Les organisations qui mettent en œuvre l'authentification multifactorielle (MFA), conservent des sauvegardes testées et immuables, et segmentent leurs réseaux se remettent plus rapidement et évitent de payer des rançons. Celles qui investissent dans des capacités de détection, en particulier l'analyse comportementale basée sur le réseau, interceptent les attaquants avant que le chiffrement ne commence.
La voie à suivre nécessite une évolution continue. À mesure que les opérateurs de ransomware développent de nouvelles techniques et exploitent de nouvelles vulnérabilités, les défenseurs doivent s'adapter. Des tests réguliers de la couverture de détection par rapport au MITRE ATT&CK , une formation continue à la sensibilisation à la sécurité et des tests trimestriels de restauration des sauvegardes constituent la base d'opérations résilientes.
Pour les organisations qui cherchent à renforcer leurs défenses contre les ransomwares, l'approche Vectra AI en matière de Attack Signal Intelligence une détection tout au long de la chaîne d'attaque, en identifiant les comportements qui précèdent le déploiement d'un ransomware, indépendamment des malware spécifiques malware ou des techniques d'évasion.
Sources et méthodologie
Les statistiques et les informations sur les menaces mentionnées dans ce guide proviennent des sources suivantes :
Rapport annuel 2025 de l'IC3 du FBI (publié en avril 2026) — Données sur les attaques par ransomware par secteur
Check Point Research, 3e trimestre 2025 — Nombre de groupes de ransomware actifs et volume des attaques
Infosecurity Magazine, avril 2026 — Volume d'incidents et attribution aux groupes pour mars 2026
HIPAA Journal, 3e trimestre 2025 — Répartition des vecteurs d'accès initiaux
Rapport Sophos sur l'état des ransomwares en 2025 — délais de restauration, taux de paiement, comportement des victimes
Cybersecurity Ventures, 2025 — prévisions mondiales des dommages
Arctic Wolf, 2025 — Prévalence de la double extorsion dans les cas de gestion des incidents
Rapport DBIR 2025 de Verizon — Données sur l'exposition des PME aux ransomwares
Rapport sur les risques cybernétiques de Resilience, 2025 — montants moyens des indemnités d'assurance et taux de refus
Flashpoint, 2025 — Données sur la part des revenus des affiliés RaaS
Guide « #StopRansomware » de la CISA — mesures de prévention et conseils en matière de gestion des incidents
MITRE ATT&CK (octobre 2025) — cartographie des techniques et documentation sur les familles de ransomware
NIST IR 8374 (mis à jour en janvier 2025) — Profil de gestion des risques liés aux ransomwares
Les incidents cités (Change Healthcare, Qilin Korean Leaks, Clop Oracle EBS) proviennent respectivement de l'AHA, de The Hacker News et de Z2Data.
Foire aux questions
Qu'est-ce qu'un ransomware en termes simples ?
Un ransomware est un logiciel malveillant qui verrouille vos fichiers en les chiffrant, puis exige un paiement — généralement en cryptomonnaie — pour les déverrouiller. Selon le FBI, il s'agit de l'une des formes de cyberattaque les plus coûteuses, qui revient en moyenne entre 5,5 et 6 millions de dollars par incident aux entreprises. Les pirates envoient une demande de rançon contenant les instructions de paiement et un délai. S'ils reçoivent le paiement, ils prétendent fournir une clé de déchiffrement — bien que la récupération des données ne soit pas garantie. Les ransomwares modernes volent également vos données avant de les chiffrer, menaçant de publier des informations sensibles si vous ne payez pas, même après avoir restauré vos données à partir de sauvegardes.
Comment les ransomwares s'introduisent-ils dans votre ordinateur ?
Au troisième trimestre 2025, les identifiants VPN compromis représentaient 48 % des attaques par ransomware (HIPAA Journal). Phishing contenant des pièces jointes ou des liens malveillants restent un vecteur principal. L'exploitation de vulnérabilités non corrigées dans les systèmes connectés à Internet — en particulier les appliances VPN, les appareils Citrix et les logiciels d'entreprise — constitue un autre point d'entrée. Les attaques de la chaîne d'approvisionnement via des fournisseurs de services gérés ou des éditeurs de logiciels peuvent compromettre plusieurs organisations simultanément. Une fois que les attaquants ont obtenu un accès initial, ils passent généralement plusieurs jours ou semaines à se déplacer dans le réseau et à voler des données avant de déployer le chiffrement.
Faut-il payer la rançon ?
Le FBI et la CISA déconseillent de payer les rançons. Les statistiques corroborent cette recommandation : seules 46 % des entreprises qui paient parviennent à récupérer leurs données, tandis que 80 % de celles qui ont payé sont victimes d'attaques ultérieures. En 2025, 63 % des victimes de ransomware ont refusé de payer — et 97 % des organisations ont récupéré leurs données grâce à des sauvegardes ou par d'autres moyens. Le paiement de rançons finance les entreprises criminelles et encourage de futures attaques. Si vous envisagez de payer, consultez d'abord un conseiller juridique et faites appel aux forces de l'ordre. Certains paiements peuvent enfreindre les réglementations en matière de sanctions, et les autorités peuvent disposer de renseignements susceptibles d'influencer votre décision.
Que faire si vous êtes victime d'un ransomware ?
Isolez immédiatement les systèmes touchés en les déconnectant du réseau afin d'empêcher toute propagation. Ne redémarrez pas les systèmes : cela pourrait causer des dommages supplémentaires ou détruire des preuves numériques. Sécurisez et déconnectez les systèmes de sauvegarde afin de les protéger contre le chiffrement. Documentez tout en prenant des captures d'écran des demandes de rançon et en conservant l'état du système. Évaluez l'ampleur de l'attaque pour déterminer quels systèmes sont touchés. Contactez le FBI, la CISA ou les forces de l'ordre locales. Avant d'envisager de payer, consultez le projet No More Ransom pour trouver des outils de déchiffrement gratuits : il propose des déchiffreurs pour plus de 100 familles de ransomware.
Comment se protéger contre les ransomwares ?
La mise en place d'une authentification multifactorielle (MFA) Phishing sur tous les services accessibles depuis l'extérieur et les points d'accès à distance constitue la mesure de contrôle la plus efficace. Conservez des sauvegardes hors ligne et immuables en suivant la règle 3-2-1-1-0 détaillée par Veeam. Corrigez rapidement les vulnérabilités connues pour lesquelles il existe des exploits — donnez la priorité aux entrées du catalogue des vulnérabilités connues pour lesquelles il existe des exploits de la CISA. Mettez en place une segmentation du réseau pour limiter les mouvements latéraux. Déployez des solutions EDR, NDR ou XDR dotées de capacités de détection en temps réel. Séparez les comptes administratifs des comptes à usage quotidien et imposez des mots de passe d'au moins 15 caractères. Envisagez l'accès zero trust » comme alternative au VPN, étant donné que les identifiants VPN compromis représentent 48 % des attaques.
Qu'est-ce qu'un ransomware à double extorsion ?
Les ransomwares de double extorsion combinent le chiffrement traditionnel des fichiers et le vol de données. Les pirates extraient d’abord les données sensibles de votre réseau, puis chiffrent les systèmes et exigent un rançon. Si les victimes restaurent leurs données à partir de sauvegardes sans payer, les pirates menacent de publier ou de vendre les données volées sur des sites de divulgation. Selon Arctic Wolf, 96 % des cas de réponse aux incidents de ransomware en 2025 impliquaient une exfiltration de données, faisant de la double extorsion le modèle opérationnel standard. Même les organisations disposant d'excellentes pratiques de sauvegarde subissent une pression considérable pour payer, car l'exposition des données entraîne des sanctions réglementaires, une atteinte à la réputation et un préjudice concurrentiel.
Qui se cache derrière les attaques par ransomware ?
Ce sont aujourd’hui les groupes cybercriminels organisés exploitant des plateformes de ransomware-as-a-service (RaaS) qui sont à l’origine de la plupart des attaques par ransomware. Selon Check Point Research, 85 groupes distincts de ransomware étaient actifs au troisième trimestre 2025. Parmi les plus actifs, on trouve Qilin (plus de 75 victimes par mois, 85 % de partage des revenus avec les affiliés), Akira (244 millions de dollars de recettes), Medusa plus de 300 victimes dans des infrastructures critiques) et DragonForce (en pleine expansion en raison de faibles exigences en matière de partage des bénéfices). Certains groupes ont des liens avec des États-nations : des pirates nord-coréens ont déployé le ransomware Qilin en mars 2025, ce qui indique une collaboration entre des acteurs étatiques et des organisations criminelles. Les courtiers en accès initiaux se spécialisent dans la compromission de systèmes et la vente d'accès aux opérateurs de ransomware, ce qui contribue à industrialiser davantage l'écosystème.
Comment savoir si mon ordinateur est infecté par un ransomware ?
Le signe le plus évident est l'affichage d'une note de rançon à l'écran : un fichier texte, une page HTML ou un fond d'écran contenant des instructions de paiement et une date limite. D'autres signes incluent des fichiers qui ne peuvent soudainement plus être ouverts ou dont le nom est suivi d'extensions inconnues, un ralentissement inhabituel des performances du système et un logiciel antivirus désactivé sans explication. Dans les environnements d'entreprise, les équipes de sécurité peuvent observer des événements de modification massive de fichiers, des processus de chiffrement inattendus consommant des ressources CPU et disque, ou du trafic C2 vers des adresses externes inconnues. Si vous soupçonnez un ransomware, isolez immédiatement le système affecté et ne le redémarrez pas — le redémarrage pourrait déclencher un chiffrement supplémentaire ou détruire les preuves numériques nécessaires à l'enquête.
Pouvez-vous supprimer un ransomware ?
La suppression d'un ransomware implique d'isoler les appareils infectés, d'identifier la souche spécifique du ransomware et d'éliminer les fichiers malveillants. Bien que des outils antivirus ou des équipes professionnelles d'intervention en cas d'incident puissent aider à la suppression, malware supprimer le malware ne permet pas de déchiffrer les données verrouillées. La récupération dépend du type de ransomware, de la disponibilité de sauvegardes ou de clés de déchiffrement, et de la possibilité ou non d'inverser le processus de chiffrement. Le projet No More Ransom fournit des outils de déchiffrement gratuits pour plus de 100 familles de ransomware — consultez toujours cette ressource avant d'envisager un paiement. Dans les environnements d'entreprise, il est recommandé de faire appel à une équipe professionnelle d'intervention en cas d'incident afin de garantir une suppression complète, de prévenir toute réinfection et de préserver les preuves numériques à des fins judiciaires et d'assurance.
