Attaques Ransomware en 2025 : Une Explosion de 50% et l'Ascension de Nouveaux Groupes

Célestine Rochefour

Attaques Ransomware en 2025 : Une Explosion de 50% et l’Ascension de Nouveaux Groupes

Depuis le début de l’année 2025, l’intensité des attaques ransomware a connu une augmentation sans précédent de 50% selon le dernier rapport de Cyble. Alors que les groupes établis subissent des bouleversements organisationnels, de nouvelles entités surgissent, sapant la sécurité des infrastructures critiques à travers le monde. Cette analyse approfondie décrypte les mécanismes de cette explosion, les nouveaux acteurs en lice et les stratégies de défense indispensables pour les organisations françaises.

L’Explosion des Attaques Ransomware : Données et Tendances Clés

Une Progression Mondiale Sans Précédent

Au 21 octobre 2025, les groupes de ransomware ont revendiqué 5 010 attaques sur leurs sites de fuites de données, contre 3 335 sur la même période en 2024. Cette augmentation spectaculaire s’inscrit dans une dynamique de cinq mois consécutifs d’augmentation mensuelle, marquant un tournant dans la menace cybercriminelle.

Tableau : Evolution des attaques ransomware (2020-2025)

AnnéeAttaques RecenséesCroissance vs Année Précédente
202112 345+21%
202218 760+52%
202324 580+31%
20243 335 (jan-oct)+37%
20255 010 (jan-oct)+50%

Cibles Stratégiques et Distribution Géographique

Les pays cibles ont révélé des tendances inquiétantes selon le rapport Cyble :

  • États-Unis : 259 victimes (55% des attaques totales en septembre)
  • Corée du Sud : 32 victimes (émergence comme principal pays cible en Asie-Pacifique)
  • Royaume-Uni, France, Allemagne : Cibles persistantes dans le top 5

Le secteur financier subit une pression particulière :

  • Services Financiers et Bancaires (BFSI) : Troisième secteur le plus touché en septembre 2025
  • Construction et Industrie : Premiers secteurs visés

“Un établissement financier coréen a rapporté que ses systèmes avaient été compromises via une attaque sur un fournisseur de services de gestion IT, illustrant un compromis en cascade affectant simultanément plusieurs entreprises.” (Source : Rapport Cyble Septembre 2025)

Les Nouveaux Leaders : Analyse des Groupes Ransomware Emergents

La Décadence de RansomHub et l’Ascension de Qilin

Après avoir dominé le paysage pendant plusieurs années, RansomHub a vu son influence décroître notablement début 2025. Son déclin a été rapidement comblé par Qilin, qui s’est imposé comme le principal groupe menace depuis cinq mois consécutifs. En septembre seul, Qilin a revendiqué 99 victimes, soit 40 de plus que le deuxième groupe classé Akira.

La campagne “KoreanLeak” menée par Qilin a été particulièrement marquante, concentrant 29 des 32 attaques enregistrées en Corée du Sud en septembre. Cette opération ciblait spécifiquement des sociétés de gestion d’actifs, exploitant un point d’accès via un fournisseur de services de cybersécurité.

L’Apparition du Groupe The Gentlemen

Un des développements les plus significatifs de l’année a été l’émergence du groupe The Gentlemen, qui a déjà revendiqué 46 victimes dans le monde. Selon les experts de Cyble, ce groupe se distingue par :

  • Utilisation d’outils personnalisés ciblant des fournisseurs de solutions de sécurité
  • Diversité géographique exceptionnelle de ses cibles
  • Stratégies sophistiquées de négociation de rançons

“L’utilisation d’outils sur mesure et la diversité géographique de leurs cibles suggèrent que The Gentlemen dispose des ressources nécessaires pour devenir une menace persistante et évitable.” (Cyble)

La Chaîne d’Approvisionnement comme Pont vers la Cyberguerre

Les Attaques en Chaîne d’Approvisionnement en Expansion

Les rapports Cyble soulignent une tendance préoccupante : 32% des attaques majeures impliquent des compromis en sous-traitance. La campagne Qilin en Corée du Sud en est un exemple frappant, où la compromise d’un prestataire de services IT a entraîné une cyberattaque ciblant plusieurs entreprises simultanément.

Impact Sectoriel sur l’Environnement Français

Pour les organisations françaises, certaines sectors nécessitent une attention particulière :

  • Secteur Financier : Atteint par 22% des attaques en septembre 2025
  • Secteur Industriel et de Construction : Premier secteur visé
  • Santé et Services Professionnels : Impact croissant

Stratégies de Défense : Protéger les Actifs Critiques

Mise en Œuvre des Bonnes Pratiques ANSSI

Pour répondre à cette menace accrue, les organisations doivent intégrer les recommandations clés des normes ANSSI :

1. Segmentation Réseau Rigoureuse

  • Isoler les systèmes critiques des réseaux généraux
  • Mettre en place des pare-feux entre zones délimitées

2. Gestion Rigoureuse des Fournisseurs

  • Audit de sécurité approfondi des sous-traitants
  • Contrats incluant des clauses de cybersécurité spécifiques

3. Sauvegardes Résilientes

  • Sauvegardes hors ligne régulières
  • Tests de restauration mensuels

4. Détection et Réponse

  • Solutions SIEM avec analyse comportementale
  • Plans de réponse aux incidents validés régulièrement

Technologies Émergentes de Protection

Les solutions de prévention les plus efficaces incluent :

  • Detection and Response (EDR/XDR) : Surveillance continue des menaces
  • Data Loss Prevention (DLP) : Protection des données sensibles
  • Zero Trust Architecture : Vérification de chaque accès

Perspectives et Recommandations pour 2026

Préparer l’Environnement Post-Ransomware

Alors que les groupes comme The Gentlemen montrent des capacités organisationnelles accrues, les défenseurs doivent anticiper :

  • L’augmentation des attaques multi-chaînes (compromis d’infrastructures physiques et numériques)
  • L’essor des ransomware-as-a-service avec des plateformes plus accessibles
  • La spécialisation des groupes dans des secteurs stratégiques

À Suivre dans les prochains mois

  • L’évolution des groupes émergents et leurs méthodologies
  • L’impact des régulations RGPD/ANSSI sur la résilience organisationnelle
  • Les technologies de détection avancées à intégrer

“Dans le contexte actuel, la défense contre les ransomware exige une approche holistique intégrant prévention, résilience et réponse. Les organisations ne peuvent plus se contenter de solutions ponctuelles.” (Expert cybersecurity français)

En consolidant leurs défenses basées sur les bonnes pratiques ANSSI et en surveillant les évolutions des groupes émergents, les organisations françaises peuvent mieux se préparer à cette menace croissante. La cyberguerre moderne exige vigilance constante, adaptation rapide et collaboration accrue entre secteurs public et privé.