Romolo Tavani - stock.adobe.com

Actualites

En 2025, la préparation et la résistance au ransomware se sont renforcées

Les rapports croisés de Coalition et du FBI pour 2025 sur la menace des rançongiciels suggèrent que les entreprises ont appris à mieux se préparer. Mais ils soulignent néanmoins des pistes d'amélioration.

Valéry Rieß-Marchive
par
Publié le: 09 avr. 2026

L'année 2025 se distingue par une divergence significative entre la stabilité de la fréquence des incidents et l'évolution de leur impact financier, selon deux points de vue : celui du FBI et celui de l'assureur Coalition.

Bien que les ransomwares ne constituent pas l'événement le plus courant, ils demeurent « le plus coûteux et le plus complexe », selon l'assureur. La fréquence des réclamations s'est stabilisée à 0,32 %, reflétant la moyenne des trois dernières années. En revanche, la perte financière associé a enregistré une baisse de 19 % en glissement annuel, avec une perte moyenne de 262 000 dollars.

Cette tendance à la baisse ne s'explique pas par une moindre agressivité des attaquants, dont les demandes ont augmenté de 47 % pour atteindre plus d'un million de dollars. Elle marque plutôt un succès de la résilience organisationnelle : les entreprises améliorent leurs capacités de récupération.

Comme le rapporte Coalition dans son étude, « le coût moyen des demandes de rançon a atteint un nouveau record en 2025, dépassant 1,019 million de dollars, soit une augmentation de 47 % par rapport à 2024 ». Cette augmentation des demandes initiales contraste avec la baisse des pertes réelles, soulignant une capacité accrue des victimes à ne pas céder aux pressions financières.

Des modèles opérationnels diversifiés

La nature des attaques a évolué pour passer d'un simple chiffrement à une stratégie de double extorsion. Si le chiffrement traditionnel, rendant les fichiers inaccessibles, représentait 15 % des réclamations avec une perte moyenne de 138 000 dollars, il devient moins efficace face aux sauvegardes robustes. En parallèle, l'exfiltration pure, où les données sont volées sans chiffrement, a également représenté 15 % des cas, avec un coût moyen de 205 000 dollars, piloté par des risques juridiques et de réputation.

Cependant, le véritable danger réside dans l'extorsion double, qui combine chiffrement et vol de données. Ce scénario, dominant en 2025 avec 70 % des réclamations, génère une perte moyenne de 299 000 dollars. Comme l'explique l'analyse de Coalition, « l'extorsion double représente l'intersection des deux tactiques, où les acteurs malveillants chiffrent simultanément les systèmes et exfiltrent des données ».

Cette approche prive les entreprises de la solution simple de restauration depuis une sauvegarde, car le risque de fuite de données persiste. « Même si une entreprise peut remettre ses systèmes en ligne, la menace de fuite de données demeure un point de pression financier, juridique et réglementaire majeur », précise le rapport.

Cette dynamique crée un écosystème où les demandes fluctuent amplement. « Les demandes de rançon varient considérablement, certaines victimes faisant face à des demandes aussi basses que 9 000 dollars, tandis que d'autres atteignent 16 millions de dollars », note l'assureur.

Les groupes comme RansomHub ont ciblé des demandes moyennes de 2,33 millions de dollars, contre 926 000 dollars pour Akira. Malgré cette escalade, la résilience s'impose : « seulement 14 % des victimes ont choisi de régler l'affaire en 2025 », indiquant que la majorité des organisations refusent de payer.

Les VPN et le périmètre exposé comme vecteurs critiques

L'anatomie des attaques met en lumière une focalisation accrue sur les technologies d'accès direct au périmètre. Les réseaux privés virtuels (VPN) constituent le vecteur technologique principal, étant le point de départ de 59 % de tous les incidents où une technologie spécifique a été confirmée. 

Les fournisseurs de ces appliances de bordure sont devenus des points critiques : « SonicWall a été la cible la plus fréquente, suivie par Fortinet, Cisco, Citrix et Palo Alto Networks », précise Coalition. Les attaquants exploitent leurs vulnérabilités avec une extrême rapidité. Pour atténuer ce risque, les experts recommandent de renforcer ces technologies avec une authentification multifactuelle (MFA) et une gestion rigoureuse des correctifs.

« Les entreprises qui exposent des technologies critiques à l'internet public ont des probabilités beaucoup plus élevées d'être victimes d'une cyberattaque », souligne l'assureur, citant un risque 3 à 4 fois plus élevé pour les panneaux de connexion VPN. En matière de vecteurs d'intrusion, les failles logicielles représentent le plus grand nombre d'attaques (38 %), suivies par les identifiants compromis (27 %). 

Convergence sectorielle et impact financier maximal

La menace de ransomware de 2025 s'inscrit dans un contexte plus large de cybermenaces globales, où les États et les criminalités organisationnelles frappent les infrastructures critiques. Comme l'indique le rapport de l'IC3 du FBI, « la cybercriminalité cible les réseaux de distribution d'énergie, les hôpitaux et stimule les tensions géopolitiques ». En 2025, les 10 premières variantes de rançongiciels signalées ont affecté principalement les secteurs de la fabrication, de la santé et des installations gouvernementales.

L'impact financier, bien que la sévérité moyenne baisse, reste massif pour les cibles les plus exposées : « les pertes totales attribuées à ces variants [les plus fréquemment signalés, à savoir Akira, Qilin, INC/Lyn/Sinobi, BianLian, Play, Ransomhub, LockBit, Dragonforce, Safepay et Medusa] s'élèvent à plus de 16 millions de dollars, soit près de la moitié (49,8 %) des pertes totales signalées », précise l'IC3.

Les demandes initiales, lorsqu'elles sont négociées, voient souvent leur montant réduit de 65 % en moyenne. « Les négociateurs de Coalition Incident Response et d'autres cabinets ont engagé directement les acteurs malveillants et ont réussi à réduire les demandes initiales de 65 % en moyenne », ce qui fait passer le coût réel de la rançon à environ 355 000 dollars en moyenne.

Cette dynamique montre que l'économie de la rançongiciel est sous pression. « La majorité des organisations (86 %) refusent de payer, et les réductions profondes obtenues par négociation montrent que le levier revient du côté des défenseurs », estime l'assureur.

Vers une stratégie de défense active : de la résilience passive à la préemption

La stratégie de défense doit évoluer d'une posture passive à une approche préemptive centrée sur la réduction de la surface d'attaque et la résilience opérationnelle. Les meilleures pratiques, validées par les données 2025, incluent la création de sauvegardes immuables, chiffrées et hors site. « Les sauvegardes hors site ou déconnectées doivent être régulièrement entretenues et vérifiées pour garantir qu'elles sont chiffrées, immuables et couvrent l'infrastructure de données de l'organisation », recommande ainsi l'IC3.

Au recommandation de Coalition, le FBI ajoute la segmentation réseaux et la surveillance continue du trafic sont essentielles. « Segmenter les réseaux pour empêcher la propagation des rançongiciels en contrôlant les flux de trafic entre les sous-réseaux », préconise ainsi l'IC3.

En outre, l'intégration d'outils de détection et de réponse aux incidents (EDR) permet d'identifier les connexions réseau inhabituelles et les tentatives de déplacement latéral : « les outils EDR sont particulièrement utiles pour détecter les connexions latérales car ils offrent une visibilité sur les connexions réseau courantes et inhabituelles de chaque hôte », ajoute l'agence fédérale.

La capacité à restaurer rapidement les systèmes et à gérer la crise d'extorsion double devient désormais un indicateur clé de la résilience d'une entreprise.

Pour approfondir sur Menaces, Ransomwares, DDoS