Les attaques par rançongiciels explosent en 2025 : Une analyse des nouveaux leaders et des risques pour les entreprises

Hippolyte Valdegré

Une escalade inédite des cyberattaques : 50% de plus en un an

Selon un rapport récent de Cyble, les attaques par rançongiciels ont connu une augmentation sans précédent de 50% au cours de l’année 2025. Depuis le début de l’année jusqu’au 21 octobre, 5 010 cyberattaques ont été répertoriées, contre 3 335 au même stade de l’année précédente. Cette progression s’accompagne d’un renouvellement spectaculaire des acteurs dominants dans ce domaine sombre du cyberespace, marquant un tournant stratégique pour la défense numérique.

Dans ce contexte tendu, la disparition de groupes établis comme RansomHub a ouvert la voie à une nouvelle génération de cybercriminels possédant des capacités techniques avancées. Les autorités de cybersécurité soulignent que ce paysage dynamique est alimenté par l’exploitation continue de vulnérabilités critiques et par l’essor des attaques en chaîne d’approvisionnement, qui compromettent des écosystèmes entiers en un seul incident.

Les nouveaux monstres du ransomware : Qilin, Sinobi et The Gentlemen

Qilin : Le leader incontesté

Qilin a consolidé sa position de premier groupe de rançongiciels pour la cinquième fois sur les six derniers mois. Son opération “KoreanLeak” a été particulièrement destructive, représentant 29 des 32 attaques enregistrées en Corée du Sud en septembre 2025. Cette campagne visait spécifiquement des entreprises de gestion d’actifs, parvenant à compromettre simultanément plusieurs organisations via un fournisseur tiers de gestion informatique.

Le groupe a répertorié 99 victimes au seul mois de septembre, un record qui le place à 40 victimes d’avance sur son plus proche concurrent Akira. Son efficacité réside dans l’exploitation de vulnérabilités zero-day et dans la personnalisation de ses attaques, ciblant systématiquement les secteurs les plus rentables : services financiers, construction et fabrication.

The Gentlemen : Une menace persistante

Apparu récemment dans les rapports de menace, The Gentlemen a déjà revendiqué 46 victimes. Ce groupe se distingue par l’utilisation d’outils spécifiques visant les fournisseurs de solutions de sécurité, ainsi que par une diversité géographique sans précédent dans ses cibles. Selon Cyble, cette approche multidirectionnelle suggère un financement important et une capacité à évoluer stratégiquement dans un paysage criminel en mutation.

Sinobi : La menace asiatique montante

Siégeant principalement en Asie, Sinobi a émergé comme un acteur majeur dans le paysage des rançongiciels. Bien que moins documenté que Qilin, ses opérations montrent une progression constante, exploitant les progrès rapides de l’informatique dans les pays émergents.

Ciblages géographiques et sectoriels : Qui est le plus menacé ?

Les États-Unis : Premier pays cible

La première place du classement reste occupée par les États-Unis, avec 259 victimes en septembre 2025 représentant 55% des attaques mondiales. Cette prédominance s’explique par la concentration de multinationales technologiques et financières, ainsi que par une dépendance accrue aux infrastructures cloud.

L’Asie-Pacifique : Une cible redéfinie

La Corée du Sud est devenue la deuxième cible mondiale avec 32 attaques, principalement attribuables à la campagne “KoreanLeak” de Qilin. Le pays s’est imposé devant des nations traditionnellement visées comme l’Inde, la Thaïlande et Taïwan. Cette reconfiguration géopolitique résulte d’une vulnérabilité accrue des fournisseurs de services informatiques tiers, facilitant les attaques en chaîne.

Secteurs exposés : Des priorités stratégiques

Les données sectorielles de Cyble révèlent une distribution inquiétante des attaques :

  1. Services financiers (BFSI) : Devenu troisième secteur le plus ciblé en raison des campagnes asiatiques
  2. Construction et fabrication : Domaines avec des infrastructures OT/IT intégrées
  3. Santé et services professionnels : Vulnérabilité accrue suite à des mises à jour logicielles retardées

Méthodologies émergentes : De la cybercriminalité classique à la cyberguerre industrielle

Attaques en chaîne d’approvisionnement

L’exemple récent de l’attaque contre une entreprise d’asset management via son fournisseur de gestion informatique souligne la transformation des stratégies cybercriminelles. Plutôt que de viser directement des entreprises cibles, les cybercriminels exploitent désormais les relations fournisseurs-client pour obtenir un accès massif à travers plusieurs organisations simultanément.

Personnalisation des rançons

Les groupes comme Qilin adapte désormais ses demandes de rançon en fonction de la criticité opérationnelle de l’entreprise cible. Les systèmes critiques (comme les plateformes de trading ou les usines intelligentes) font face à des augmentations de rançon allant jusqu’à 300% par rapport aux cibles moins stratégiques.

Mesures de défense : Stratégies opérationnelles pour les entreprises

Audit des fournisseurs tiers

Les recommandations de Cyble insistent sur la nécessité d’une évaluation approfondie des sous-traitants : “Vous devez connaître toute la chaîne de vos fournisseurs de services IT, y compris les tiers de tiers”, souligne un expert de la sécurité.

Mise en œuvre des normes ISO 27001 et ANSSI

Les organisations doivent systématiquement appliquer les lignes directrices de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), notamment dans la gestion des accès et la détection des anomalies de comportement.

Préparation aux pires scénarios

Contrairement à la stratégie traditionnelle consistant à payer les rançons, les experts recommandent une approche proactive incluant :

  1. Sauvegardes offshore déconnectées des réseaux principaux
  2. Plans de continuité opérationnelle validés par des simulations trimestrielles
  3. Coordination avec les autorités nationales (par exemple, le CERT-FR en France)
  4. Formation continue du personnel sur les techniques de phishing avancées
  5. Audit régulier des vulnérabilités de type zero-day

Perspectives 2026 : Vers une cybercriminalité plus structurée

Les analyses prédictives suggèrent que les groupes de rançongiciels pourraient adopter des structures organisationnelles plus proches de celles des PME, avec des départements dédiés à la R&D logicielle et à la surveillance des vulnérabilités. L’essor des systèmes critiques IoT dans les infrastructures industrielles représente un nouveau front stratégique pour les cybercriminels.

La collaboration internationale entre États, entreprises et autorités de cybersécurité devient indispensable. Dans ce contexte, les entreprises françaises doivent prioriser la mise en œuvre des bonnes pratiques décrites dans les lignes directrices ANSSI, tout en investissant dans la cybersécurité proactive plutôt que réactive.

Conclusion : Agir maintenant pour se défendre demain

Les données de Cyble confirment que les attaques par rançongiciels ne sont pas un phénomène isolé, mais une menace systémique qui exige une réponse coordonnée et proactive. La montée de nouveaux groupes comme The Gentlemen et l’expansion géographique des attaques exigent que les entreprises réévaluent systématiquement leurs postes de défense.

Dans un paysage où les cybercriminels adoptent des méthodes de plus en plus sophistiquées, la clé de la résilience réside dans la combinaison de technologies avancées, de formations régulières et de partenariats stratégiques avec les autorités nationales. Les entreprises doivent désormais considérer la cybersécurité comme un pilier central de leur stratégie opérationnelle, plutôt que comme une simple contrainte réglementaire.