Ransomware et attaques de la chaîne d'approvisionnement : les chiffres record de 2025 et les leçons pour 2026

L’année 2025 a marqué un tournant dramatique dans le paysage de la cybercriminalité. Les ransomware et les attaques de la chaîne d’approvisionnement ont atteint des niveaux sans précédent, avec des augmentations respectives de 52% et 93%. Ces chiffres, tirés du rapport de la société de renseignement Cyble, ne sont pas seulement des statistiques ; ils représentent des milliards d’euros de dégâts et des centaines d’entreprises déstabilisées. Face à cette escalade, une question s’impose : êtes-vous réellement préparé pour les menaces qui se dessinent pour 2026 ?

Dans la pratique, nous observons une convergence alarmante entre deux vecteurs d’attaque historiquement distincts. Les groupes de ransomware, autrefois concentrés sur l’extorsion directe, exploitent désormais massivement les vulnérabilités des fournisseurs pour maximiser leur impact. Cette synergie transforme un incident isolé en une crise systémique, capable de paralyser des secteurs entiers en une seule opération. Comprendre ces dynamiques est la première étape pour construire une défense pérenne.

Une explosion quantitative du ransomware en 2025

Le ransomware n’a pas simplement évolué ; il a proliféré. Selon les données de Cyble, les attaques revendiquées par les groupes criminels ont atteint le chiffre record de 6 604 incidents en 2025. Cela représente une hausse vertigineuse de 52% par rapport à 2024, où 4 346 attaques avaient été recensées. Cette croissance n’est pas linéaire ; elle est exponentielle et révèle une industrialisation de la cybercriminalité.

L’intensité des attaques en fin d’année

L’année a culminé avec une intensité particulièrement marquée en décembre 2025, comptabilisant 731 attaques. Ce chiffre n’est qu’inférieurement au record absolu établi en février 2025. Une telle concentration temporelle suggère que les groupes criminels optimisent leurs opérations, probablement pour capitaliser sur les périodes de forte activité commerciale ou pour profiter d’une baisse de vigilance en fin d’année. Cette tendance impose une vigilance continue, sans relâche saisonnière.

Un écosystème criminel résilient et décentralisé

Malgré les actions de répression des forces de l’ordre, l’écosystème des ransomware s’est avéré remarquablement résilient. L’incarcération de certains opérateurs ou la saisie d’infrastructures n’a pas suffi à éradiquer le phénomène. Au contraire, les affiliés (ceux qui mènent les attaques au nom des groupes) ont démontré une capacité d’adaptation rapide. Ils se sont réorientés vers de nouveaux leaders émergents dès que les anciens étaient affaiblis. Cette fluidité organisationnelle rend la lutte contre ces groupes particulièrement complexe.

L’attaque de la chaîne d’approvisionnement : la cible de choix

Si le ransomware est une menace directe, les attaques de la chaîne d’approvisionnement représentent une menace indirecte mais souvent plus dévastatrice. En 2025, ces attaques ont connu une croissance vertigineuse de 93%, passant de 154 incidents en 2024 à 297 en 2025. Ce mode opératoire, qui cible un fournisseur pour atteindre des milliers de clients, est devenu l’arme de prédilection des cybercriminels.

Le lien indissociable entre ransomware et chaîne d’approvisionnement

Il est crucial de noter que ces deux menaces ne sont plus isolées. Comme le souligne Cyble, les groupes de ransomware sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement. Cette convergence crée un effet multiplicateur dévastateur. Une seule faille dans un logiciel tiers peut servir de porte d’entrée pour crypter les données de centaines d’entreprises simultanément. L’attaque sur les intégrations Salesforce, où des tokens OAuth compromis ont été utilisés pour abuser de la confiance entre plateformes SaaS, en est un exemple frappant.

Une sophistication technique en constante évolution

Les méthodes d’attaque ont dépassé le simple empoisonnement de paquets logiciels (package poisoning). En 2025, les adversaires ont ciblé des maillons critiques de la chaîne numérique : les intégrations cloud, les relations de confiance SaaS et les canaux de distribution des fournisseurs. L’objectif est de corrompre les services amont (fournisseurs d’identité, registres de paquets) pour compromettre massivement les environnements aval.

« Les adversaires abusent de plus en plus des services amont — tels que les fournisseurs d’identité, les registres de paquets et les canaux de distribution de logiciels — pour compromettre les environnements aval à grande échelle. » — Cyble

Cette sophistication exige des capacités de détection bien au-delà des pare-feux traditionnels. Elle nécessite une surveillance continue de l’écosystème des tiers et des chaînes de confiance logicielles.

Le paysage des acteurs : l’ascension de Qilin

Le leadership parmi les groupes de ransomware est en perpétuelle mutation. 2025 a été marquée par l’émergence et la domination de Qilin. Ce groupe a pris la tête après le déclin de RansomHub, lui-même victime d’une possible sabotage interne par son rival Dragonforce. Qilin a revendiqué 17% de toutes les victimes de ransomware de l’année, un score largement supérieur à ses concurrents comme Akira, CL0P, Play ou SafePay.

Un écosystème dynamique et instable

La stabilité est un luxe dans ce milieu. Seuls Akira et Play figuraient également dans le top 5 des groupes en 2024. RansomHub et Lockbit ont décliné, tandis que des groupes comme Hunters ont apparemment rebrandé sous le nom de World Leaks. Cette instabilité est une arme pour les criminels, car elle rend le suivi et l’analyse des TTP (Techniques, Tactiques et Procédures) plus difficile pour les analystes en sécurité.

La prolifération des nouvelles souches

L’innovation criminelle est fulgurante. Cyble a documenté en 2025 :

• 57 nouveaux groupes de ransomware
• 27 nouveaux groupes d’extorsion
• Plus de 350 nouvelles souches de ransomware

La grande majorité de ces nouvelles souches sont basées sur les familles existantes MedusaLocker, Chaos et Makop, mais avec des adaptations pour échuder aux détections. Cette mutation rapide oblige les équipes de sécurité à mettre à jour leurs signatures et règles de détection en permanence.

Analyse des cibles : géographie et secteurs

La répartition géographique et sectorielle des attaques révèle les stratégies des groupes criminels et les vulnérabilités structurelles des économies.

Une domination américaine écrasante

Les États-Unis restent la cible privilégiée, absorbant à eux seuls 55% de toutes les attaques ransomware en 2025. Cette concentration s’explique par la taille de son marché, la richesse de ses entreprises et la valeur des données qu’elles détiennent. Les autres pays les plus touchés sont, par ordre d’impact : le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France. Cette liste montre que les économies développées sont systématiquement visées.

Les secteurs les plus exposés

Tous les secteurs ont été touchés, mais certains sont plus vulnérables que d’autres. Les données de Cyble identifient clairement les industries les plus ciblées :

1. Construction : Souvent peu mature en cybersécurité, avec des chaînes de sous-traitance complexes.
2. Services professionnels (avocats, cabinets de conseil) : Détiennent des données sensibles et confidentielles.
3. Industrie manufacturière : Souvent dépendante de systèmes industriels (OT) peu sécurisés.
4. Santé : Secteur critique où l’indisponibilité des systèmes peut mettre des vies en danger.
5. IT et Technologie : Cible de choix pour les attaques de la chaîne d’approvisionnement, en raison de leur impact en cascade.

Les nouveaux groupes comme Devman, Sinobi et Warlock ont particulièrement ciblé les infrastructures critiques (gouvernement, énergie, services publics), tandis que d’autres se sont concentrés sur l’IT, la technologie et la logistique.

Tableau comparatif : les groupes de ransomware dominants en 2025

Source : Synthèse des données Cyble 2025

Mise en œuvre : Stratégies de défense pour 2026

Face à ces menaces, une approche proactive et multicouche est indispensable. Voici les étapes concrètes à mettre en œuvre.

1. Renforcer la gestion des tiers et de la chaîne d’approvisionnement

• Cartographie exhaustive : Identifiez tous vos fournisseurs de logiciels et de services, y compris les intégrations SaaS.
• Audits de sécurité : Exigez des attestations de sécurité (ISO 27001, SOC 2) et des rapports de vulnérabilité de vos fournisseurs.
• Surveillance continue : Utilisez des outils de Vendor Risk Management (VRM) pour surveiller les alertes sur vos fournisseurs.

2. Adopter le principe du moindre privilège et la segmentation

• Accès restreint : Limitez les droits d’accès aux données et systèmes critiques au strict minimum nécessaire.
• Segmentation réseau : Isolez les environnements critiques (OT, bases de données sensibles) du reste du réseau pour limiter la propagation.
• MFA systématique : Imposez l’authentification multi-facteurs pour tous les accès, surtout pour les privilégiés. En complément, consultez ce guide complet sur la suppression des mots de passe sauvegardés dans Chrome pour sécuriser vos identifiants.

3. Mettre en place une gestion rigoureuse des vulnérabilités

• Scan régulier : Automatisez la détection des vulnérabilités sur tous les systèmes, y compris les applications tierces. Par exemple, Google a récemment lancé une mise à jour d’urgence de Chrome 142 pour corriger plusieurs vulnérabilités à haut risque.
• Priorisation intelligente : Utilisez des scores de risque (CVSS) et le contexte métier pour prioriser les correctifs.
• Correction rapide : Établissez un SLA pour l’application des correctifs critiques (ex: 72h).

4. Préparer la réponse et la résilience

• Plan de reprise d’activité (PRA) : Testez régulièrement votre capacité à restaurer les systèmes après une attaque ransomware.
• Sauvegardes immuables : Stockez des copies de vos données dans un format non altérable, hors ligne ou sur un support déconnecté.
• Exercices de simulation : Menez des exercices de tabletop réguliers avec les équipes IT, juridiques et communication. Pour renforcer la vigilance des utilisateurs, ce guide sur la protection contre l’attaque ClickFix peut être un excellent support de formation.

« Les menaces importantes de la chaîne d’approvisionnement et du ransomware qui pèsent sur les équipes de sécurité à l’entrée de 2026 nécessitent un renouvellement de l’accent sur les meilleures pratiques de cybersécurité. » — Cyble

Conclusion : Préparer l’avenir dès aujourd’hui

Les chiffres de 2025 ne sont pas une fatalité, mais un avertissement. L’augmentation de 52% des ransomware et de 93% des attaques de la chaîne d’approvisionnement démontre que les cybercriminels évoluent plus vite que les défenses classiques. La domination de Qilin et la sophistication croissante des attaques sur les intégrations SaaS montrent que la surface d’attaque s’est considérablement élargie.

Pour les entreprises françaises et européennes, la leçon est claire : la sécurité ne peut plus être un silo technique. Elle doit intégrer la gestion des risques des tiers, la résilience opérationnelle et une culture de sécurité partagée. En appliquant les stratégies de segmentation, de contrôle d’accès strict et de gestion des vulnérabilités dès maintenant, vous ne répondez pas seulement aux menaces de 2025, vous vous préparez aux défis, encore plus complexes, de 2026.

La prochaine étape est d’évaluer votre maturité sur ces points. Quel est l’état de votre cartographie des fournisseurs ? Vos sauvegardes sont-elles vraiment immuables ? Si vous ne pouvez pas répondre immédiatement à ces questions, il est temps de commencer.