Ransomware et Attaques de la Chaîne d'Approvisionnement : Analyse des Records 2025 et Implications pour 2026
Églantine Montclair
L’année 2025 a été une année charnière pour les menaces numériques, marquée par une augmentation spectaculaire des attaques par ransomware et des intrusions au niveau de la chaîne d’approvisionnement. Selon les données de l’entreprise de renseignement sur les menaces Cyble, les ransomware ont bondi de plus de 50 %, tandis que les attaques de la chaîne d’approvisionnement ont presque doublé. Ces tendances, établies dans le rapport annuel sur le paysage des menaces, ne sont pas seulement des statistiques passées ; elles dessinent la carte des risques auxquels les entreprises françaises et internationales devront faire face en 2026.
Pour les responsables de la sécurité informatique (RSSI), les équipes opérationnelles et les décideurs, comprendre la dynamique de ces attaques est essentiel. L’année 2025 a révélé une mutation profonde : les groupes criminels ne se contentent plus d’attaques isolées ; ils exploitent désormais les vulnérabilités structurelles des écosystèmes numériques pour maximiser l’impact. Cette analyse décortique les chiffres clés, les acteurs émergents et les vecteurs d’attaque sophistiqués, offrant une perspective actionnable pour renforcer la posture de cybersécurité.
L’Explosion des Attaques Ransomware : Une Analyse Chiffrée
L’année 2025 a confirmé la trajectoire ascendante du chantage par ransomware. Les données de Cyble indiquent que 6 604 attaques ont été réclamées par des groupes criminels, soit une hausse de 52 % par rapport aux 4 346 incidents de 2024. Cette augmentation n’est pas linéaire ; elle reflète une activité intense et ciblée.
La fin de l’année a été particulièrement marquée. Décembre 2025 a enregistré un nombre quasi record de 731 attaques, se plaçant juste derrière le pic historique de février 2025. Cette dynamique de fin d’année suggère une accélération des opérations avant les périodes de congés ou pour exploiter des vulnérabilités découvertes en fin de cycle fiscal.
La Résilience et la Décentralisation des Groupes
Face aux actions de répression des forces de l’ordre, les groupes de ransomware ont démontré une étonnante résilience. L’écosystème est devenu décentralisé : la chute d’un groupe majeur ne signifie pas la fin des attaques, mais plutôt une redistribution des affiliés et des ressources vers d’autres entités.
Par exemple, la disparition (ou la forte réduction) de RansomHub suite à une possible sabotage par son rival Dragonforce a ouvert une brèche. Les affiliés, rapides à s’adapter, ont migré vers de nouveaux leaders comme Qilin. Cette fluidité rend la défense plus complexe, car elle exige une surveillance dynamique de l’ensemble du paysage criminel, et non la focalisation sur une seule entité.
L’Attaque de la Chaîne d’Approvisionnement : Une Vulnérabilité Systémique
Si le ransomware frappe directement, l’attaque de la chaîne d’approvisionnement (supply chain attack) agit comme un multiplicateur de menace. En 2025, ces intrusions ont connu une croissance fulgurante de 93 %, passant de 154 incidents déclarés en 2024 à 297 en 2025.
L’interconnexion entre ces deux vecteurs est frappante. Selon Cyble, les groupes de ransomware sont à l’origine de plus de la moitié des attaques de la chaîne d’approvisionnement. Cette convergence signifie qu’une faille dans un fournisseur logiciel peut rapidement mener à un chiffrement massif chez ses clients.
Une Sophistication Technique Accrue
Les méthodes d’attaque ont évolué au-delà des simples empoisonnements de paquets logiciels. En 2025, les adversaires ont ciblé des vecteurs plus complexes :
- Intégrations cloud : Exploitation des configurations entre services cloud.
- Relations de confiance SaaS : Abus des autorisations entre plateformes.
- Infostealers macOS : Les publicités Google et plateformes IA deviennent des vecteurs d’attaque sophistiqués.
- Pipelines de distribution des éditeurs : Compromission des canaux de mise à jour.
Un exemple concret illustre cette menace : des attaques sur des intégrations tierces de Salesforce. Les criminels ont instrumentalisé la confiance entre les plateformes SaaS, démontrant comment des jetons OAuth compromis peuvent transformer une simple intégration en une vulnérabilité à impact élevé pour la chaîne d’approvisionnement.
“Les adversaires abusent de plus en plus des services en amont — tels que les fournisseurs d’identité, les registres de paquets et les canaux de distribution logicielle — pour compromettre les environnements en aval à grande échelle.” — Extrait des observations de Cyble.
Le Leader Émergent : L’Ascension de Qilin
Le paysage des groupes de ransomware a été redessiné en 2025. Qilin est apparu comme le leader incontesté, revendiquant 17 % de toutes les victimes de ransomware de l’année. Sa montée en puissance, amorcée en avril après la défaillance de RansomHub, s’est confirmée avec 190 victimes supplémentaires en décembre, devançant un Lockbit ressurgissant et des nouveaux entrants comme Sinobi.
Cette évolution dynamique est visible dans le tableau comparatif des principaux groupes actifs. Seuls Akira et Play figuraient également parmi les cinq premiers en 2024, tandis que RansomHub et Lockbit ont décliné, et que Hunters semble s’être rebrandisé en World Leaks.
| Rang | Groupe de Ransomware | Part des Victimes (2025) | Tendance 2024-2025 |
|---|---|---|---|
| 1 | Qilin | 17 % | Ascension forte |
| 2 | Akira | < 17 % | Stable |
| 3 | CL0P | < 17 % | Variable |
| 4 | Play | < 17 % | Stable |
| 5 | SafePay | < 17 % | Nouveau |
Une Prolifération de Nouvelles Menaces
La dynamique criminelle est également marquée par une innovation rapide. Cyble a documenté en 2025 :
- 57 nouveaux groupes de ransomware
- 27 nouveaux groupes d’extorsion
- Plus de 350 nouvelles souches de ransomware
La grande majorité de ces nouvelles souches sont basées sur les familles existantes MedusaLocker, Chaos et Makop, démontrant une évolution par adaptation plutôt que par réinvention complète.
Analyse Géographique et Sectorielle : Qui est le plus touché ?
Répartition par Pays
Les États-Unis restent la cible numéro un, subissant 55 % de toutes les attaques par ransomware en 2025. Cependant, l’Europe est lourdement touchée, avec le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France complétant le top six des pays les plus attaqués. Pour les entreprises françaises, cette donnée souligne l’importance d’une cybersécurité robuste, car le marché national est une cible privilégiée.
Secteurs les plus Ciblés
Les industries les plus frappées sont celles où l’interruption d’activité a un impact économique immédiat et élevé :
- Construction
- Services professionnels (cabinets d’avocats, d’audit, de conseil)
- Fabrication / Industrie manufacturière
- Santé
- Technologie de l’information
Les secteurs des TI et de la technologie sont également les plus touchés par les attaques de la chaîne d’approvisionnement, en raison du potentiel d’expansion des attaques vers les environnements clients en aval.
Mise en Œuvre : Étapes Actionnables pour 2026
Face à ces menaces complexes et interconnectées, une approche défensive passive est insuffisante. Voici un plan d’action concret pour les organisations.
Adopter une approche Zero Trust et Segmentation La segmentation des réseaux limite la propagation horizontale d’une attaque. En pratique, isolez les environnements critiques (serveurs de production, bases de données) du reste du réseau. Appliquez le principe du moindre privilège pour tous les accès.
Renforcer la Gestion des Identités et des Accès (IAM) Comme le démontrent les attaques sur les intégrations OAuth, la gestion des accès est primordiale. Mettez en place :
- L’authentification multi-facteur (MFA) obligatoire pour tous les accès à distance.
- Des audits réguliers des privilèges et des jetons d’accès.
- La révocation automatique des accès inactifs. Pensez également à supprimer les mots de passe enregistrés dans Google Chrome régulièrement pour réduire les vecteurs d’attaque.
Intégrer la Sécurité de la Chaîne d’Approvisionnement (SCA) Évaluez et surveillez la sécurité de vos fournisseurs logiciels et services. Utilisez des outils de dépendance pour scanner vos applications et identifier les vulnérabilités dans les bibliothèques tierces. Exigez des attestations de sécurité de vos fournisseurs critiques.
Gérer les Vulnérabilités de Manière Proactive L’exploitation des vulnérabilités non patchées reste une porte d’entrée majeure. Priorisez les correctifs en fonction du risque réel (CVSS + contexte d’exploitation), comme la mise à jour d’urgence Chrome 142 qui corrige plusieurs vulnérabilités critiques. Automatisez la détection et le déploiement des patchs pour les systèmes critiques.
Se Préparer à l’Inévitable : Plan de Reprise d’Activité (PRA) et Sauvegardes Aucune défense n’est infaillible. Des sauvegardes régulières, hors ligne et immuables, sont votre dernière ligne de défense contre le chantage. Testez régulièrement votre PRA pour garantir un retour en service rapide et minimaliser les pertes financières.
“Les menaces significatives de ransomware et de la chaîne d’approvisionnement auxquelles les équipes de sécurité sont confrontées à l’entrée de 2026 exigent un renouvellement de l’accent sur les meilleures pratiques de cybersécurité.” — Conclusion du rapport Cyble.
Conclusion : Un Paysage en Évolution, une Vigilance Accrue
Les records de 2025 ne sont pas une anomalie, mais le reflet d’une cybercriminalité industrielle, organisée et innovante. L’augmentation de 52 % des ransomware et de 93 % des attaques de la chaîne d’approvisionnement démontre une stratégie criminelle qui privilégie l’impact systémique et la rentabilité.
Pour les organisations françaises, l’impératif est clair : dépasser la simple conformité réglementaire (RGPD, NIS2) pour adopter une posture de sécurité résiliente et proactive. Cela implique d’investir dans la gestion des identités, la sécurité des fournisseurs et la culture de la sécurité au sein de l’entreprise.
La clé pour 2026 réside dans l’anticipation. En comprenant les mécanismes des attaques de 2025 — qu’il s’agisse de la fluidité des groupes de ransomware ou de la sophistication des intrusions dans la chaîne d’approvisionnement — vous pouvez construire des défenses adaptées. L’objectif n’est plus seulement d’empêcher l’intrusion, mais de rendre une attaque réussie aussi peu rentable que possible pour le criminel, tout en garantissant la continuité de vos activités.