Ransomware et Attaques de la Chaîne d'Approvisionnement : Analyse des Records de 2025 et Impacts pour 2026
Théophane Villedieu
L’année 2025 a été une année record pour les cybercriminels, avec une augmentation de plus de 50 % des attaques par ransomware et une quasi-doublement des attaques ciblant la chaîne d’approvisionnement. Selon les données du rapport d’analyse de la menace 2025 de l’entreprise de renseignement Cyble, ces tendances ne sont pas seulement alarmantes ; elles indiquent une escalade de la sophistication et de la coordination des groupes malveillants qui devraient se poursuivre en 2026. Pour les responsables de la sécurité informatique en France, ces chiffres ne sont pas de simples statistiques, mais une alerte quant à la nécessité de réévaluer les stratégies de défense, notamment face à la vulnérabilité croissante des écosystèmes numériques interconnectés.
L’explosion des ransomwares en 2025 : Une menace omniprésente
Les ransomwares ont connu une croissance fulgurante en 2025, avec 6 604 attaques recensées, soit une hausse de 52 % par rapport aux 4 346 incidents de 2024. Cette augmentation n’est pas linéaire ; elle a culminé en décembre 2025 avec 731 attaques, un chiffre proche du record absolu établi en février de la même année. Cette dynamique démontre la résilience et la décentralisation des groupes de ransomwares. Malgré les opérations de police ciblant des organisations comme LockBit, les affiliés et les nouveaux acteurs se sont rapidement restructuré, prouvant que la menace est structurelle et non limitée à quelques entités.
La montée en puissance de Qilin et la mutation des groupes
Dans ce paysage mouvant, le groupe Qilin a émergé comme le leader incontesté à partir d’avril 2025, profitant du déclin de RansomHub, soupçonné d’avoir subi un acte de sabotage de la part d’un rival, Dragonforce. Avec 17 % de toutes les victimes de ransomware en 2025, Qilin a devancé des acteurs établis comme Akira et CL0P. Il est important de noter que seuls Akira et Play figuraient également dans le top 5 en 2024, tandis que RansomHub et LockBit ont vu leur influence s’effriter, et que le groupe Hunters aurait opéré une rebranding vers “World Leaks”. Cette volatilité est un indicateur clé de l’état de l’écosystème criminel.
“Les groupes de ransomware sont devenus de plus en plus résilients et décentralisés, rendant leur neutralisation plus complexe pour les forces de l’ordre.” — Rapport d’analyse de la menace 2025 de Cyble
Ciblage géographique et sectoriel : Quels risques pour la France ?
L’analyse des cibles révèle une préférence marquée pour les pays anglo-saxons, mais l’Europe n’est pas épargnée. Les États-Unis ont subi 55 % de toutes les attaques par ransomware en 2025. La France figure parmi les six pays les plus touchés, aux côtés du Canada, de l’Allemagne, du Royaume-Uni et de l’Italie. Sur le plan sectoriel, ce sont les constructions, les services professionnels et la fabrication qui ont été les plus visés. Le secteur de la santé et celui des technologies de l’information (IT) complètent ce tableau des industries à haut risque. Pour une entreprise française, cela signifie que la vulnérabilité ne dépend plus seulement de sa taille, mais de son intégration dans des chaînes de valeur critiques.
L’attaque de la chaîne d’approvisionnement : La vulnérabilité du lien de confiance
Si les ransomwares ont progressé, les attaques de la chaîne d’approvisionnement ont explosé avec une augmentation de 93 %, passant de 154 incidents en 2024 à 297 en 2025. Cyble souligne un point crucial : « les groupes de ransomware sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement ». Cette convergence des menaces signifie qu’une seule faille chez un fournisseur peut exposer des centaines de clients finaux à un chiffrement et à un chantage. Bien que les chiffres aient légèrement baissé après un pic en octobre 2025, ils restent bien au-dessus de la tendance amorcée en avril 2025, indiquant une nouvelle normalité de la menace.
Une sophistication technique accrue
Les attaquants ont dépassé le stade du simple empoisonnement de paquets logiciels. En 2025, les attaques se sont étendues aux intégrations cloud, aux relations de confiance SaaS et aux pipelines de distribution des fournisseurs. Les adversaires abusent désormais des services amont — fournisseurs d’identité, registres de paquets, canaux de livraison logicielle — pour compromettre les environnements en aval à grande échelle. Un exemple concret cité est l’attaque contre Salesforce via des intégrations tierces, où les attaquants ont « weaponized la confiance entre les plateformes SaaS », exploitant des jetons OAuth compromis pour réaliser des impacts à grande échelle. Cette méthode illustre parfaitement le danger des écosystèmes numériques interconnectés où la sécurité d’un maillon dépend de la solidité de tous les autres.
Le paysage émergent des nouveaux acteurs et vecteurs d’attaque
La dynamique des groupes criminels est en perpétuelle évolution. Cyble a documenté 57 nouveaux groupes de ransomware, 27 nouveaux groupes d’extorsion et plus de 350 nouvelles souches de ransomware en 2025. Ces nouvelles souches s’appuient largement sur des familles existantes comme MedusaLocker, Chaos et Makop, mais avec des variantes qui compliquent la détection.
Nouveaux groupes et cibles prioritaires
Parmi les nouveaux entrants, certains ont une spécialisation géographique ou sectorielle. Par exemple, Devman, Sinobi, Warlock et Gunra ciblent spécifiquement les infrastructures critiques, notamment dans les secteurs de l’Énergie et des Services publics, ainsi que dans l’administration publique et les forces de l’ordre. D’autres groupes, comme RALord/Nova, The Gentlemen ou BlackNevas, se concentrent sur les IT, la Technologie et les Transports & Logistique. Cette spécialisation montre une analyse préalable des victimes potentielles et un alignement sur les secteurs les plus rentables ou les plus sensibles.
Tableau comparatif : Profils des principaux groupes de ransomware 2025
| Groupe | Part des victimes (2025) | Tendance 2024-2025 | Secteurs privilégiés | Notes |
|---|---|---|---|---|
| Qilin | 17 % | Ascendant (leader) | Diversifié, ciblage agressif | A émergé après le déclin de RansomHub |
| Akira | En top 5 | Stable | Services professionnels, santé | Acteur établi |
| CL0P | En top 5 | Variable | Industrie, technologie | Connue pour les attaques de type “zero-day” |
| Play | En top 5 | Stable | Construction, fabrication | Acteur établi |
| Sinobi | Nouveau | Ascendant | IT, Transports | Cible les infrastructures critiques |
| SafePay | En top 5 | Ascendant | Diversifié | Présence significative |
Stratégies de défense : S’appuyer sur les bonnes pratiques fondamentales
Face à cette menace complexe et interconnectée, Cyble conclut sur la nécessité d’un renouveau des pratiques de cybersécurité. Il ne s’agit plus de solutions miracles, mais de la mise en œuvre rigoureuse de principes éprouvés. Pour les entreprises françaises, l’objectif est de construire une résilience organisationnelle et technique.
Checklist d’implémentation : 5 étapes pour renforcer sa posture
- Segmentation réseau rigoureuse : Isolez les environnements critiques (comme les serveurs de production ou les bases de données sensibles) du reste du réseau. Cela limite la propagation horizontale d’une attaque, que ce soit un ransomware ou une compromission issue de la chaîne d’approvisionnement. En pratique, une segmentation de niveau 3 (VLANs) avec des pare-feux entre les zones est un minimum.
- Gestion des accès et contrôle strict (IAM) : Appliquez le principe du moindre privilège. Les comptes avec des privilèges élevés (administrateurs) doivent être utilisés de manière ponctuelle et leur activité surveillée de près. L’authentification multi-facteurs (MFA) est indispensable, surtout pour les accès à distance et les interfaces d’administration cloud. Pour renforcer cette protection, pensez à supprimer les mots de passe enregistrés dans Google Chrome et utiliser des gestionnaires de mots de passe sécurisés.
- Gestion proactive des vulnérabilités et des correctifs : Établissez un processus de scan régulier et de priorisation des correctifs, en suivant de près les mises à jour d’urgence Microsoft pour corriger rapidement les vulnérabilités critiques. Une attention particulière doit être portée aux logiciels et aux services tiers intégrés à vos systèmes. Dans le cadre des attaques de la chaîne d’approvisionnement, un logiciel vulnérable chez un fournisseur peut devenir votre porte d’entrée.
- Sauvegardes hors ligne et test de restauration : C’est le rempart ultime contre le chantage des ransomwares. Des sauvegardes régulières, non connectées au réseau principal (immutable, air-gapped) et régulièrement testées pour garantir leur restauration fonctionnelle, sont non négociables.
- Surveillance des fournisseurs tiers et des intégrations : Pour se prémunir contre les attaques de la chaîne d’approvisionnement, il est crucial d’évaluer la sécurité des fournisseurs (questionnaires, audits). De plus, surveillez activement les intégrations SaaS (comme les connexions OAuth) et révoquez les accès inutilisés.
“La sécurité ne se limite plus à la protection de son propre périmètre. Elle doit s’étendre à la surveillance de l’écosystème des fournisseurs et des partenaires.” — Conseil d’un expert en sécurité française
Exemple concret : Une PME française du secteur manufacturier
Une entreprise industrielle en Ile-de-France, fournissant des composants pour l’automobile, a été touchée par une attaque de ransomware via un logiciel de gestion de stock tiers compromis. Les attaquants ont utilisé les accès légitimes de ce logiciel pour se propager sur le réseau interne et chiffrer les serveurs de production. L’absence de segmentation réseau a permis une propagation rapide, et le manque de sauvegardes hors ligne a rendu la restauration extrêmement coûteuse et longue. Cet exemple illustre concrètement comment une vulnérabilité dans la chaîne d’approvisionnement (le logiciel tiers) peut entraîner une crise opérationnelle majeure.
Conclusion : Une menace structurelle pour 2026
Les records de 2025 ne sont pas une anomalie, mais la manifestation d’une criminalité cybernétique industrielle. La convergence entre ransomware et attaques de la chaîne d’approvisionnement crée un cercle vicieux où chaque vulnérabilité chez un fournisseur devient une opportunité pour des groupes comme Qilin. Pour les organisations françaises, le message est clair : la sécurité doit être repensée sous l’angle de la résilience et de la chaîne de confiance.
La priorité pour 2026 n’est pas de chercher une solution parfaite, mais de mettre en œuvre les bonnes pratiques fondamentales de manière cohérente et continue, en s’appuyant sur des meilleures plateformes de formation à la sécurité des données pour former les équipes. Segmenter, contrôler, sauvegarder et surveiller sont les piliers d’une défense capable de résister à la sophistication croissante des attaques. En agissant maintenant, les entreprises peuvent transformer une menace globale en un risque maîtrisé.