CybersécuritéRansomwareRésilience Veille Technologique · Avril 2025 · 16 min

La menace ransomware en 2025–2026
Anatomie d'une épidémie systémique et stratégies de résilience

Le ransomware a cessé d'être un risque informatique parmi d'autres pour devenir un risque stratégique de premier ordre, menaçant la continuité d'activité, la réputation et dans certains cas la survie des organisations victimes. Les chiffres 2024–2025 ne laissent aucun doute sur la nature industrielle et systémique de la menace : elle touche simultanément des hôpitaux, des industriels, des administrations, des cabinets d'avocats et des opérateurs d'infrastructures sur tous les continents.

6 130attaques ransomware ciblant les couches OT recensées en 2024 selon Honeywell
2 400+attaques ransomware OT sur le seul T1 2025 — tendance en forte accélération
22 M$rançon versée par Change Healthcare en 2024 — la plus importante jamais documentée publiquement
1,5 Md$coût total estimé de l'incident Change Healthcare pour UnitedHealth Group en 2024
L'économie du ransomware — une industrie criminelle structurée

La professionnalisation de l'écosystème ransomware est le phénomène le plus structurant des cinq dernières années. Les groupes opèrent selon un modèle Ransomware-as-a-Service (RaaS) qui sépare les développeurs de la plateforme technique des affiliés chargés des intrusions et des négociations. Cette industrialisation a permis à des acteurs peu qualifiés techniquement d'opérer des attaques sophistiquées en bénéficiant d'outils, d'infrastructures et de support technique fournis par des organisations criminelles structurées.

Acteurs dominants 2024–2025
LockBit / RansomHub

Infrastructure LockBit démantelée en février 2024 par une opération internationale avant de réapparaître. RansomHub s'est positionné comme successeur partiel, héritant d'une partie de l'écosystème affilié. Double extorsion systématique : chiffrement ET publication sur les sites de leak.

ALPHV/BlackCat — Cl0p

ALPHV a fermé ses portes après avoir encaissé 22 M$ de Change Healthcare sans redistribuer la part de l'affilié. Cl0p spécialisé dans l'exploitation de vulnérabilités zero-day sur des logiciels de transfert de fichiers (MOVEit, GoAnywhere). Technique d'exfiltration massive avant chiffrement.

Les 7 phases d'une attaque ransomware moderne — référentiel MITRE ATT&CK
Phase 1 — Accès initial
Phishing ciblé, exploitation de vulnérabilités sur des services exposés (VPN, RDP, Exchange), ou achat de credentials sur le dark web. Durée : de quelques heures à plusieurs semaines selon la cible et sa complexité.
Phase 2 — Persistance
Installation de backdoors, création de comptes administrateurs discrets, déploiement d'outils de C2 (Cobalt Strike, Brute Ratel). L'attaquant assure sa présence même si le vecteur d'accès initial est fermé.
Phase 3 — Reconnaissance interne et mouvement latéral
Cartographie du réseau interne, identification des actifs les plus sensibles (sauvegardes, contrôleurs de domaine, systèmes financiers). Utilisation d'outils légitimes (PsExec, WMI, PowerShell) pour éviter la détection — technique "Living off the Land".
Phase 4 — Escalade de privilèges
Obtention des droits administrateur de domaine via Kerberoasting, Pass-the-Hash ou exploitation de configurations Active Directory incorrectes. Ce niveau de privilège est nécessaire pour l'exfiltration et le chiffrement de masse.
Phase 5 — Exfiltration des données
Extraction des données sensibles vers des serveurs contrôlés par les attaquants via Rclone ou MEGAsync. Cette phase précède systématiquement le chiffrement dans les attaques de double extorsion pour garantir un levier de pression même après restauration des sauvegardes.
Phase 6 — Sabotage des sauvegardes et chiffrement
Suppression ou chiffrement des sauvegardes locales, désactivation des solutions de détection, puis déploiement du ransomware sur l'ensemble du parc accessible. Le chiffrement simultané de milliers de machines peut s'exécuter en moins d'une heure.
Phase 7 — Extorsion et négociation
Présentation de la demande de rançon, ouverture d'un canal de négociation via Tor, publication partielle de données sur les sites de leak pour accroître la pression. Les groupes les plus professionnels disposent de services clients dédiés aux négociations.
Trois cas documentés — des enseignements contrastés
CHU de Rouen (2019) — précurseur de la vague hospitalière

L'attaque ransomware contre le CHU de Rouen en novembre 2019 a imposé un retour aux procédures papier pendant plusieurs semaines, affectant la prise en charge de patients. L'ANSSI a apporté son concours technique, ce qui a permis d'accélérer la reconstruction des systèmes et a constitué un premier terrain d'expérience majeur pour les équipes de réponse à incident du secteur public français.

Norsk Hydro (2019) — un modèle de gestion de crise

L'attaque LockerGoga contre Norsk Hydro en mars 2019 est documentée comme l'un des exemples les plus complets d'une réponse de crise exemplaire. Le groupe aluminium norvégien, frappé dans 160 sites dans 40 pays (impact estimé supérieur à 50 millions d'euros), a décidé de communiquer en totale transparence en temps réel, y compris via les réseaux sociaux lorsque les systèmes informatiques étaient inaccessibles. Décision de ne pas payer la rançon et de reconstruire depuis les sauvegardes. Cette transparence a préservé la confiance des clients et partenaires, et le REX publié reste une référence dans les formations en gestion de crise cyber.

Change Healthcare (2024) — l'impact systémique sur un secteur entier

L'attaque contre Change Healthcare en février 2024 constitue un cas d'école sur les effets systémiques d'une attaque ransomware sur un intermédiaire critique. La mise hors service des systèmes traitant 40 % des demandes de remboursement de soins de santé aux États-Unis a déclenché des difficultés de trésorerie en cascade pour des milliers de pharmacies, cabinets médicaux et hôpitaux. Coût total pour UnitedHealth Group : estimation supérieure à 1,5 milliard de dollars.

La question du paiement de la rançon — ce que les données réelles montrent

Les études du secteur assurantiel (Coveware, Sophos) montrent que les organisations qui paient la rançon n'obtiennent des outils de déchiffrement fonctionnels que dans 65 % des cas. Le paiement d'une rançon à un groupe sanctionné peut exposer l'organisation à des violations réglementaires. En France, l'ANSSI et le Parquet national cybersécurité recommandent systématiquement le dépôt de plainte préalable à tout paiement, une condition nécessaire pour que les assureurs cyber couvrent le paiement dans certaines polices.

Prospective — ransomware à l'ère de l'IA générative et transformation du marché assurantiel

Le rapport IBM X-Force 2025 documente l'utilisation croissante de l'IA générative par les acteurs malveillants pour améliorer la qualité des campagnes de phishing, accélérer le développement de variantes de malwares et automatiser la reconnaissance de cibles. Les campagnes de spearphishing générées par IA produisent des messages dont la qualité rédactionnelle et la personnalisation rendent la détection par les utilisateurs cibles significativement plus difficile.

Le marché de l'assurance cyber exige désormais des preuves documentées de mesures de sécurité spécifiques (MFA, EDR, sauvegardes testées) comme conditions d'assurabilité, transformant de facto les polices cyber en levier de régulation des pratiques de cybersécurité des entreprises. Les primes se sont stabilisées après une période de forte hausse (30 à 50 % par an entre 2020 et 2023), avec des franchises plus élevées et des exclusions de couverture plus précises.

Ce que les dirigeants doivent prioriser

La question pertinente pour un COMEX n'est plus "allons-nous subir une attaque ransomware ?" mais "dans combien de temps saurons-nous reprendre nos activités après une attaque réussie ?". Cette reformulation déplace le centre de gravité de la stratégie cybersécurité de la prévention pure vers la résilience opérationnelle — mesurable et améliorable.

Trois mesures produisent le meilleur rapport entre investissement et réduction du risque. La mise en place de l'authentification multifacteur sur tous les accès à distance et tous les comptes administrateurs. La réalisation d'un audit et d'un test de restauration des sauvegardes critiques pour vérifier que les délais de restauration sont compatibles avec les objectifs de reprise d'activité contractuels. Et le déploiement d'un EDR moderne sur l'ensemble du parc, en s'assurant que les alertes sont effectivement traitées par une équipe SOC disposant des compétences et des processus pour y répondre.

VEILLE TECHNOLOGIQUE · Cybersécurité — Ransomware · I2S-Consultants · Avril 2025