Ransomware et attaques de la chaîne d'approvisionnement : les records brisés en 2025 et les leçons pour 2026
Apollinaire Monteclair
L’année 2025 a marqué un tournant alarmant dans le paysage des cybermenaces, avec une hausse de plus de 50 % des attaques par ransomware et une quasi-doublement des attaques de la chaîne d’approvisionnement. Ces chiffres, issus du rapport de menace 2025 de la société de renseignement Cyble, ne sont pas seulement des statistiques : ils représentent une évolution stratégique des cybercriminels qui devrait nous préoccuper profondément en 2026.
En pratique, les données montrent que l’approche des groupes de ransomware est devenue plus résiliente et décentralisée. Alors que les forces de l’ordre ont réussi à perturber certaines opérations, les affiliés ont migré rapidement vers de nouveaux leaders, prouvant que l’écosystème criminel est plus agile que jamais. Cette dynamique, couplée à la sophistication croissante des attaques de la chaîne d’approvisionnement, crée un environnement où les entreprises ne peuvent plus se contenter de défenses périphériques.
L’explosion des ransomwares : une menace omniprésente et persistante
Les ransomwares ont connu une année record en 2025, avec 6 604 attaques revendiquées, soit une augmentation de 52 % par rapport aux 4 346 attaques de 2024. Cette progression n’est pas linéaire ; le mois de décembre 2025 a atteint un quasi-record de 731 attaques, confirmant que la fin d’année est une période particulièrement propice pour les cybercriminels, probablement en raison des budgets non utilisés et de la pression opérationnelle en entreprise.
La résilience et la décentralisation des groupes criminels
Face aux actions coordonnées des autorités, les groupes de ransomware ont adopté une structure plus éclatée. Cette décentralisation rend la lutte contre eux plus complexe, car la neutralisation d’un groupe ne suffit plus à réduire significativement le volume d’attaques. Les affiliés, qui sont souvent des entrepreneurs indépendants, passent d’un groupe à l’autre avec une facilité déconcertante, comme nous l’avons observé avec le basculement vers Qilin après les revers subis par RansomHub.
Une tendance mensuelle inquiétante
Le graphique des attaques mensuelles de 2021 à 2025 révèle une tendance claire : la courbe ne cesse de monter. Si le pic de février 2025 était déjà alarmant, la persistance des attaques en fin d’année démontre que les groupes criminels sont désormais en mesure de maintenir une pression quasi constante. Cette régularité impose aux équipes de sécurité une vigilance sans relâche, toute l’année.
« La résilience des groupes de ransomware et leur capacité à se réorganiser rapidement après des perturbations constituent un défi majeur pour la sécurité informatique. » — Cyble, Rapport de menace 2025
La chaîne d’approvisionnement : le nouveau champ de bataille des cybercriminels
Les attaques de la chaîne d’approvisionnement ont connu une croissance spectaculaire, augmentant de 93 % en 2025 pour atteindre 297 incidents, contre 154 en 2024. Ce mode d’attaque, qui cible un fournisseur pour atteindre des centaines de clients, est devenu l’arme de prédilection des ransomware groups, qui sont à l’origine de plus de la moitié de ces attaques.
Une sophistication technique en constante évolution
Les attaques ont dépassé le simple empoisonnement de paquets logiciels. En 2025, les cybercriminels ont ciblé les intégrations cloud, les relations de confiance SaaS, comme les vulnérabilités React2Shell, et les canaux de distribution des éditeurs. Cette évolution montre une compréhension profonde des écosystèmes d’entreprise modernes, où la confiance entre services (comme les fournisseurs d’identité ou les registries de paquets) est exploitée à grande échelle.
L’exemple des attaques sur des plateformes comme Salesforce ou les failles dans React et Next.js via des intégrations tierces est révélateur. Les agresseurs ont “armé” la confiance entre les plateformes SaaS, transformant des mécanismes d’autorisation OAuth, normalement sécurisés, en vecteurs d’attaque à fort impact. Cela signifie que la sécurité ne doit plus se limiter à l’environnement interne, mais doit s’étendre à l’ensemble de l’écosystème de partenaires et de fournisseurs.
Toutes les industries touchées, mais certaines plus que d’autres
Bien que chaque secteur ait été visé, les industries de l’IT et de la technologie ont été les plus touchées. La raison est stratégique : en compromettant un acteur clé de la chaîne technologique, les attaquants peuvent potentiellement infiltrer des centaines de clients en aval, comme le démontre le botnet Rondodox exploitant la faille React2Shell. Cette logique de “cible à effet multiplicateur” explique pourquoi ces secteurs sont privilégiés par les cybercriminels.
Le paysage des groupes de ransomware en 2025 : un écosystème en mutation
Le leadership a changé de main en 2025. Qilin est apparu comme le groupe dominant après la chute de RansomHub, probablement victime d’actions de sabotage de la part de rivaux comme Dragonforce. Avec 17 % de toutes les victimes revendiquées, Qilin a largement distancé ses concurrents comme Akira, CL0P, Play et SafePay.
Un renouvellement constant des acteurs
L’année 2025 a vu l’émergence de 57 nouveaux groupes de ransomware, 27 nouveaux groupes d’extorsion et plus de 350 nouvelles souches de ransomware. La plupart de ces nouvelles souches sont basées sur des familles existantes (MedusaLocker, Chaos, Makop), mais leur nombre illustre la vitalité et l’innovation de l’écosystème criminel. Cette multiplication des variantes rend la détection par signature plus difficile et renforce la nécessité d’une défense basée sur le comportement.
Des groupes spécialisés émergent
Certains nouveaux groupes se sont spécialisés dans des secteurs critiques. Devman, Sinobi, Warlock et Gunra ont ciblé les infrastructures critiques, notamment les gouvernements, les forces de l’ordre et les énergies. D’autres, comme RALord/Nova, Warlock et The Gentlemen, se sont concentrés sur l’IT, la technologie et les transports. Cette spécialisation montre une approche plus mature et ciblée, adaptant les techniques aux vulnérabilités spécifiques de chaque secteur.
La répartition géographique des attaques
Les États-Unis restent la cible principale, subissant 55 % de toutes les attaques de ransomware en 2025. Le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France complètent le top six. Pour la France, cette position confirme qu’elle n’est pas à l’abri d’une menace globale, malgré des cadres réglementaires comme le RGPD et les recommandations de l’ANSSI. La densité d’entreprises technologiques et industrielles en Europe en fait une cible attractive.
Les industries les plus visées
Les secteurs de la construction, des services professionnels et de la manufacturing ont été les plus touchés, suivis par la santé et l’IT. Ces industries sont souvent caractérisées par une forte dépendance à la chaîne d’approvisionnement logicielle et une pression opérationnelle qui peut conduire à négliger la sécurité. Le secteur de la santé, en particulier, reste une cible sensible en raison de la criticité des données et de la pression pour maintenir la continuité des services.
| Secteur | Niveau de risque | Principales vulnérabilités |
|---|---|---|
| Construction | Élevé | Logiciels de gestion de projet, sous-traitants |
| Services professionnels | Élevé | Accès aux données clients, plateformes collaboratives |
| Manufacturing | Élevé | Chaînes d’approvisionnement logicielles, SCADA |
| Santé | Très élevé | Criticité des données, impératif de continuité |
| IT & Technologie | Très élevé | Cible à effet multiplicateur, intégrations complexes |
Comment se prémunir : stratégies pour 2026
Face à cette évolution, les meilleures pratiques doivent évoluer. La segmentation des réseaux et le contrôle d’accès fort restent fondamentaux, mais ils ne suffisent plus. Il faut adopter une approche holistique de la sécurité.
1. Adopter une sécurité de la chaîne d’approvisionnement rigoureuse
- Exiger des attestations de sécurité de tous les fournisseurs de logiciels et services cloud.
- Auditer régulièrement les intégrations tierces, notamment les autorisations OAuth.
- Implémenter des politiques de sécurité zero trust pour les accès externes.
- Surveiller le dark web pour détecter les fuites de données de vos partenaires.
2. Renforcer la résilience face aux ransomwares
- Mettre en place des sauvegardes immuables et hors ligne, testées régulièrement.
- Segmenter le réseau pour limiter la propagation d’une attaque.
- Former les employés aux techniques de phishing, vecteur d’entrée principal.
- Établir un plan de réponse aux incidents avec des scénarios préétablis.
3. Surveiller l’écosystème criminel
- Suivre les nouveaux groupes de ransomware et leurs TTP (Tactics, Techniques and Procedures).
- Participer à des réseaux de partage d’informations (ISACs).
- Utiliser des outils de renseignement sur les menaces pour anticiper les nouvelles souches.
« La sécurité informatique n’est plus un problème technique isolé, mais un enjeu de gestion des risques qui doit impliquer l’ensemble de l’organisation et de son écosystème de partenaires. » — Expert en cybersécurité, ANSSI
4. Sensibiliser les parties prenantes
- Communiquer les risques aux dirigeants avec des chiffres concrets (comme les 6 604 attaques de 2025).
- Intégrer la cybersécurité dans les processus d’achat et de sélection des fournisseurs.
- Sensibiliser les équipes métier aux risques spécifiques de leur secteur.
Conclusion : une vigilance accrue pour l’année à venir
Les records brisés en 2025 par les ransomwares et les attaques de la chaîne d’approvisionnement ne sont pas une anomalie, mais la manifestation d’une tendance profonde. Les cybercriminels ont compris que la complexité des écosystèmes d’entreprise modernes est une faiblesse exploitable. En 2026, la sécurité devra être plus agile, plus intégrée et plus collaborative.
Pour les entreprises françaises, le message est clair : la conformité réglementaire (RGPD, NIS 2) est un socle nécessaire, mais elle ne garantit pas la sécurité. Il faut investir dans une posture de sécurité proactive, qui inclut la surveillance de la chaîne d’approvisionnement, la résilience opérationnelle et une culture de sécurité partagée. La prochaine étape est d’évaluer sa propre exposition à ces risques et de prioriser les actions qui auront le plus d’impact sur la réduction de la surface d’attaque.
Face à une menace qui ne cesse de s’adapter, la seule défense viable est une amélioration continue et une vigilance collective. Les chiffres de 2025 sont un avertissement ; l’année 2026 sera le test de notre capacité à apprendre et à nous adapter.