Analyse 2025 : Pourquoi les ransomware et les attaques de la chaîne logistique ont battu des records
Hippolyte Valdegré
Les attaques par ransomware et les intrusions visant la chaîne logistique logicielle ont atteint des sommets historiques en 2025, avec une hausse de plus de 50 % des premières et un quasi-doublement des secondes. Ces chiffres, extraits du rapport d’analyse des menaces de l’année 2025 par Cyble, signalent une tendance inquiétante qui annonce des défis encore plus grands pour 2026. L’année écoulée a démontré une évolution marquée des tactiques des cybercriminels, passant d’attaques ciblées à des campagnes de grande envergure exploitant les dépendances inter-entreprises.
Cette recrudescence n’est pas anodine. Elle reflète une maturation des écosystèmes criminels et une optimisation des méthodes d’infiltration. Pour les organisations, comprendre ces dynamiques est la première étape pour construire une posture de défense résiliente face à des menaces de plus en plus sophistiquées et interconnectées.
L’explosion des ransomware : un paysage en mutation constante
Le nombre d’attaques par ransomware a connu une croissance fulgurante en 2025, dépassant les 6 600 incidents répertoriés. Il s’agit d’une augmentation de 52 % par rapport à l’année précédente, où 4 346 attaques avaient été revendiquées par les groupes malveillants. Cette hausse n’est pas linéaire ; l’année s’est terminée sur une dynamique particulièrement intense, avec un pic de 731 attaques en décembre, un chiffre seulement dépassé par le record établi en février 2025.
La résilience des groupes de ransomware s’est avérée frappante. Malgré les actions de démantèlement menées par les forces de l’ordre, ces organisations sont restées décentralisées et agiles. Les affiliés, ces prestataires externes qui mènent l’attaque opérationnelle, ont démontré une capacité d’adaptation rapide. En cas de perturbation d’un leader historique, ils migrent sans délai vers de nouveaux groupes émergents, garantissant la continuité de l’activité criminelle.
La montée en puissance de Qilin et la fragmentation des groupes
L’écosystème des ransomware a connu une réorganisation majeure en 2025. Le groupe Qilin a émergé comme le leader incontesté à partir d’avril, prenant la suite de RansomHub, dont l’activité a décliné après une possible attaque interne de la part d’un rival, Dragonforce. Avec 17 % de toutes les victimes de ransomware, Qilin a largement dominé ses concurrents directs comme Akira, CL0P, Play et SafePay.
Cette domination s’accompagne d’une fragmentation accrue du paysage. Cyble a documenté la création de 57 nouveaux groupes de ransomware et 27 nouveaux groupes d’extorsion en 2025. Plus de 350 nouvelles souches de ransomware ont également été identifiées, reposant majoritairement sur des familles existantes telles que MedusaLocker, Chaos et Makop.
Parmi les nouveaux venus, certains ciblent des secteurs critiques à un rythme supérieur à la moyenne. Devman, Sinobi, Warlock et Gunra se sont particulièrement intéressés aux gouvernements, aux forces de l’ordre et aux services d’énergie et d’utilités. D’autres, comme RALord/Nova, Warlock, Sinobi, The Gentlemen et BlackNevas, ont concentré leurs efforts sur les secteurs des technologies de l’information (IT), des transports et de la logistique.
Ciblage géographique et sectoriel : qui est le plus touché ?
Les États-Unis restent la cible principale des ransomware, absorbant à eux seuls 55 % de toutes les attaques mondiales en 2025. Le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France complètent le top six des pays les plus visés, montrant l’ampleur mondiale de la menace.
En termes de secteurs d’activité, les industries de la construction, les services professionnels et la fabrication ont été les plus touchées. Viennent ensuite les secteurs de la santé et de l’informatique. Ces choix ne sont pas aléatoires ; ils visent souvent des organisations avec une faible tolérance aux temps d’arrêt, augmentant ainsi la pression pour payer la rançon.
Les attaques de la chaîne logistique : une menace systémique en pleine expansion
Si les ransomware ont connu une croissance notable, les attaques de la chaîne logistique ont connu une explosion. Leur nombre a bondi de 93 % en 2025, passant de 154 incidents revendiqués en 2024 à 297 l’année dernière. Cette augmentation spectaculaire illustre une prise de conscience des cybercriminels sur l’efficacité de cette méthode : compromettre un seul fournisseur de confiance permet d’accéder à des centaines de clients finaux.
Un lien étroit existe désormais entre ces deux types de menaces. Plus de la moitié des attaques de la chaîne logistique sont orchestrées par des groupes de ransomware, qui utilisent cette porte d’entrée pour déployer ensuite leur logiciel malveillant. Cette convergence rend la défense encore plus complexe, car elle nécessite de surveiller non seulement ses propres systèmes, mais aussi ceux de tous ses fournisseurs.
Une sophistication technique en constante évolution
Les attaques de 2025 ont dépassé le stade du simple empoisonnement de paquets logiciels. Les adversaires ont ciblé des vecteurs plus complexes : intégrations cloud, relations de confiance SaaS et pipelines de distribution des fournisseurs. Ils exploitent de plus en plus les services en amont — comme les fournisseurs d’identité, les registres de paquets et les canaux de livraison logicielle — pour compromettre les environnements en aval à grande échelle.
Un exemple concret illustre cette évolution : les attaques contre Salesforce via des intégrations tierces. Les cybercriminels ont “armé la confiance” entre les plateformes SaaS, démontrant comment les jetons OAuth basés sur des tiers peuvent devenir des vulnérabilités de la chaîne logistique à fort impact lorsque ces jetons sont compromis. Cette attaque montre que la sécurité ne s’arrête plus aux frontières de l’organisation.
L’omniprésence de la menace et la vulnérabilité du secteur IT
Aucun secteur ou industrie suivis par Cyble n’a été épargné par une attaque de la chaîne logistique en 2025. Cependant, les secteurs des technologies de l’information et de la technologie ont été les plus fréquemment attaqués. La raison est stratégique : en compromettant un acteur clé du secteur IT, les attaquants peuvent étendre leurs intrusions aux environnements de leurs clients, créant un effet domino dévastateur.
Cette tendance souligne la nécessité absolue d’une diligence raisonnelle approfondie lors du choix des fournisseurs de logiciels et de services, en particulier dans les environnements cloud où les dépendances sont nombreuses et souvent opaques.
Convergence des menaces et recommandations pour une défense robuste
La synergie entre les ransomware et les attaques de la chaîne logistique en 2025 a créé un environnement de menace particulièrement dangereux. Les groupes criminels sont devenus des organisations sophistiquées, capables de mener des opérations complexes et de s’adapter rapidement aux mesures de sécurité.
Pour les équipes de sécurité, la leçon de 2025 est claire : une approche défensive traditionnelle n’est plus suffisante. Il faut adopter une stratégie de défense en profondeur qui couvre l’ensemble de l’écosystème numérique.
Principes fondamentaux de protection
Pour contrer ces menaces interconnectées, Cyble recommande une réorientation des pratiques de cybersécurité autour de plusieurs piliers :
- Segmentation réseau rigoureuse : Isoler les systèmes critiques pour limiter la propagation d’une intrusion.
- Contrôle d’accès renforcé : Mettre en œuvre le principe du moindre privilège et une authentification forte, notamment pour les comptes à privilèges. Pour une hygiène de mot de passe optimale, découvrez comment supprimer les mots de passe sauvegardés dans Chrome.
- Gestion proactive des vulnérabilités : Mettre à jour rapidement les logiciels et systèmes, en accordant une priorité particulière aux dépendances des fournisseurs. Les mises à jour d’urgence Windows sont cruciales pour corriger les vulnérabilités critiques.
- Vigilance sur la chaîne logistique : Évaluer régulièrement la sécurité des fournisseurs et surveiller les alertes concernant les composants logiciels tiers.
Tableau comparatif : Risques liés aux fournisseurs vs. risques internes
| Aspect | Risques liés aux fournisseurs (Chaîne logistique) | Risques internes (Ransomware classique) |
|---|---|---|
| Vecteur principal | Compromission d’un logiciel, service ou composant tiers. | Phishing, portes dérobées, failles non patchées. |
| Impact potentiel | Atteinte à l’échelle des clients du fournisseur. | Arrêt complet des opérations, vol de données. |
| Détection | Difficile (la compromission est souvent en amont). | Plus aisée (signatures de malware, comportements anormaux). |
| Dépendance | Forte dépendance à la sécurité des tiers. | Dépendance aux contrôles internes. |
| Exemple concret | Emprisonnement via une intégration SaaS compromise. | Chiffrement des serveurs de fichiers par un groupe comme Qilin. |
Exemple de plan d’action pour les PME et grandes entreprises
Pour mettre en œuvre ces principes, les organisations peuvent suivre une approche structurée :
- Cartographier l’écosystème : Lister tous les logiciels, services cloud et fournisseurs critiques utilisés. C’est une étape souvent négligée mais essentielle.
- Évaluer les risques par fournisseur : Classer les fournisseurs selon leur criticité et leur exposition aux menaces. Exiger des attestations de sécurité (comme les SOC 2 ou ISO 27001) pour les plus critiques.
- Renforcer la sécurité des accès : Mettre en place une solution de gestion des accès privilégiés (PAM) et une authentification multi-facteurs (MFA) universelle, y compris pour les accès des fournisseurs. Complétez cette approche par une formation sécurité sur les meilleures plateformes 2026 pour réduire le risque humain.
- Surveiller activement les chaînes logicielles : Utiliser des outils de détection des menaces avancées (EDR/XDR) capables de surveiller les processus et les connexions réseau inhabituels, y compris ceux initiés par des logiciels tiers.
- Préparer le plan de réponse aux incidents : Mettre à jour et tester régulièrement le plan de réponse aux incidents, en incluant des scénarios spécifiques aux attaques de la chaîne logistique et aux ransomware.
“La résilience face aux menaces modernes ne se mesure pas seulement à la robustesse de ses pare-feux, mais à la vigilance avec laquelle on surveille chaque maillon de sa chaîne de valeur numérique.”
“Les attaquants ne cherchent plus uniquement une porte d’entrée ; ils s’infiltrent par les fondations même de l’architecture numérique des entreprises.”
Conclusion : Une vigilance accrue pour l’horizon 2026
Les données de 2025 confirment une tendance inéluctable : la cybercriminalité est devenue une industrie sophistiquée, où les groupes de ransomware et les auteurs d’attaques de la chaîne logistique opèrent souvent de concert. La hausse de 52 % des ransomware et le quasi-doublement des intrusions logistiques ne sont pas des anomalies statistiques, mais le reflet d’une maturation stratégique des menaces.
Pour les organisations, la priorité en 2026 doit être de déplacer le curseur de la sécurité : d’une défensive réactive centrée sur l’interne vers une approche proactive qui englobe l’ensemble de l’écosystème des partenaires et fournisseurs. Cela implique un investissement continu dans la gestion des vulnérabilités, le contrôle d’accès et la surveillance de la chaîne logistique.
La prochaine étape pour les entreprises et les DSI est de réaliser un audit complet de leur surface d’attaque, en identifiant non seulement leurs faiblesses internes, mais aussi les points de dépendance critiques vis-à-vis de leurs fournisseurs. Dans un paysage où une seule faille chez un partenaire peut conduire à un chiffrement généralisé, la sécurité collective est devenue la meilleure stratégie individuelle.