Analyse 2025 : Pourquoi les ransomware et les attaques de la chaîne d'approvisionnement ont explosé
Aurélien Fontevive
Avec plus de 6 600 attaques de ransomware et près de 300 incidents de chaîne d’approvisionnement déclarés, l’année 2025 a brisé tous les records en matière de cybersécurité. Cette escalade sans précédent, documentée par le rapport annuel de Cyble, révèle une menace qui s’est complexifiée et interconnectée. Pour les entreprises françaises, comprendre ces tendances n’est plus une option, mais une nécessité pour anticiper les risques de 2026.
Le paysage des cybermenaces a radicalement changé en 2025. Les groupes de ransomware, loin d’être affaiblis par les actions policières, se sont adaptés et ont diversifié leurs cibles. Parallèlement, les attaques de la chaîne d’approvisionnement ont connu une croissance exponentielle, touchant tous les secteurs d’activité. Ces deux vecteurs d’attaque, désormais étroitement liés, représentent un défi majeur pour la sécurité des organisations, qu’il s’agisse de PME locales ou de grands groupes internationaux.
Le record inquiétant des ransomware en 2025
Les chiffres sont implacables. Selon les données de Cyble, 6 604 attaques de ransomware ont été réclamées par des groupes criminels en 2025, représentant une hausse de 52 % par rapport aux 4 346 incidents de 2024. Cette progression n’est pas linéaire ; elle s’est accélérée en fin d’année, avec un pic à 731 attaques en décembre, un niveau proche du record historique de février 2025.
Cette dynamique illustre la résilience et la décentralisation des groupes de ransomware. En dépit des actions de démantèlement ciblées par les autorités, ces organisations criminelles continuent de fonctionner comme des entreprises structurées, avec des affiliés et des modèles d’attaque éprouvés. La disparition ou l’affaiblissement d’un acteur historique, comme RansomHub en 2025, n’a pas créé de vide ; il a simplement permis l’émergence de nouveaux leaders.
La domination de Qilin et l’instabilité des groupes
Qilin est devenu le groupe de ransomware dominant en 2025, revendiquant 17 % de toutes les victimes de l’année. Son ascension est directement liée au déclin de RansomHub, lui-même victime d’une possible sabotage par un groupe rival, Dragonforce. Cette instabilité au sommet de l’écosystème criminel est un signe des temps : la concurrence est féroce, et les affiliés passent rapidement d’un groupe à l’autre pour maximiser leurs profits.
Les autres acteurs majeurs de 2025 incluent Akira, CL0P, Play et SafePay. Il est notable que seuls Akira et Play figuraient également dans le top 5 de 2024, RansomHub et Lockbit ayant perdu du terrain. Cyble a documenté l’émergence de 57 nouveaux groupes de ransomware et plus de 350 nouvelles souches en 2025, souvent basées sur des familles existantes comme MedusaLocker, Chaos et Makop.
Certains de ces nouveaux entrants, comme Devman, Sinobi, Warlock et Gunra, se sont spécialisés dans des secteurs critiques comme les infrastructures vitales, le gouvernement et l’énergie, tandis que d’autres (RALord/Nova, The Gentlemen, BlackNevas) ciblaient davantage l’IT, la technologie et la logistique.
L’explosion des attaques de la chaîne d’approvisionnement
Si les ransomware ont progressé de manière spectaculaire, les attaques de la chaîne d’approvisionnement ont connu une croissance encore plus fulgurante : +93 % en 2025. Le nombre d’incidents revendiqués est passé de 154 en 2024 à 297 en 2025. Cette hausse n’est pas une simple statistique ; elle reflète une mutation profonde de la menace.
Comme le souligne Cyble, « les groupes de ransomware sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement, les deux types d’attaques sont devenus de plus en plus liés ». Cette convergence représente un risque systémique : une seule compromission en amont peut alimenter des milliers d’attaques en aval.
Une sophistication technique en constante évolution
Les méthodes d’attaque ont largement dépassé le simple empoisonnement de paquets logiciels. En 2025, les cybercriminels ont ciblé les intégrations cloud, les relations de confiance SaaS et les pipelines de distribution des fournisseurs. Ils abusent des services en amont – fournisseurs d’identité, registres de paquets, canels de livraison logicielle – pour compromettre les environnements en aval à grande échelle.
Un exemple concret est donné par les attaques ciblant Salesforce via des intégrations tierces. Les attaquants ont « weaponisé la confiance entre les plateformes SaaS », illustrant comment les jetons OAuth peuvent devenir des vulnérabilités de la chaîne d’approvisionnement à fort impact lorsqu’ils sont compromis. Tous les secteurs ont été touchés, mais les secteurs de l’IT et de la technologie sont les plus fréquemment visés, en raison du potentiel d’expansion des attaques vers les environnements clients.
Les cibles géographiques et sectorielles : qui est le plus exposé ?
La répartition géographique des attaques de ransomware en 2025 confirme le poids économique des cibles. Les États-Unis ont absorbé 55 % de toutes les attaques, loin devant le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France, qui complètent le top six. Cette concentration s’explique par la valeur des données et la capacité de paiement des organisations américaines.
En France, bien que le pays ne soit pas en première ligne mondiale, il reste une cible de choix pour les groupes internationaux. Le secteur des infrastructures critiques, mentionné comme une cible privilégiée par les nouveaux groupes, est particulièrement sensible.
Les secteurs industriels les plus visés
Les données sectorielles de Cyble mettent en lumière les industries les plus touchées par les ransomware :
- Construction : Données sensibles sur les projets, contrats et plans.
- Services professionnels : Cabinets d’avocats, d’audit, de conseil, détenant des informations confidentielles.
- Fabrication (Industrie manufacturière) : Paralysie de la chaîne de production, perte de propriété intellectuelle.
- Santé (Healthcare) : Données médicales critiques, risque de mise en danger des patients.
- IT et Technologie : Cible privilégiée pour les attaques de la chaîne d’approvisionnement, avec un impact en cascade.
Cette diversité de cibles montre qu’aucun secteur n’est à l’abri, et que la menace s’est généralisée.
Tableau comparatif : Ransomware vs. Attaques de la chaîne d’approvisionnement (2025)
| Aspect | Ransomware | Attaques de la chaîne d’approvisionnement |
|---|---|---|
| Croissance | +52 % (6 604 attaques) | +93 % (297 attaques) |
| Lien principal | Modèle économique (rançon) | Vecteur d’attaque (compromission en amont) |
| Cibles privilégiées | Construction, services, santé | IT, technologie (impact en cascade) |
| Évolution | Diversification des groupes et souches | Sophistication technique (cloud, SaaS, OAuth) |
| Impact géographique | Forte concentration aux États-Unis (55 %) | Mondial, touchant tous les secteurs |
| Tendance 2026 | Persistance des groupes décentralisés | Augmentation des attaques sur les fournisseurs SaaS |
Comment se préparer à 2026 : une approche proactive
Face à l’aggravation des menaces, l’approche défensive traditionnelle est insuffisante. Les entreprises doivent adopter une posture de cyber-résilience intégrant des mesures de prévention, de détection et de réponse. Les recommandations de Cyble, bien que générales, s’appliquent particulièrement au contexte français et européen.
1. Segmenter et contrôler l’accès
La segmentation du réseau est une étape fondamentale pour limiter la propagation d’une attaque. En isolant les systèmes critiques, vous réduisez la surface d’attaque. Couplée à un contrôle d’accès strict (principe du moindre privilège), cette mesure permet de contenir les dégâts même si un point d’entrée est compromis.
2. Gérer les vulnérabilités et les mises à jour
Les attaques de la chaîne d’approvisionnement exploitent souvent des vulnérabilités connues dans des logiciels ou bibliothèques tiers. Une gestion rigoureuse des vulnérabilités (VMP), incluant une veille active sur les dépendances logicielles, est essentielle. Les organisations doivent également suivre de près les mises à jour d’urgence des éditeurs majeurs comme Microsoft, qui publient régulièrement des correctifs critiques pour les systèmes d’exploitation et les services cloud. Pour les organisations utilisant des solutions SaaS, il est crucial de contrôler les autorisations OAuth et de révoquer les accès inactifs. Par ailleurs, la sécurisation des identifiants passe aussi par une gestion rigoureuse des mots de passe, notamment en supprimant ceux enregistrés dans les navigateurs comme Google Chrome.
Conseil d’expert : « La sécurité de la chaîne d’approvisionnement ne se limite pas aux logiciels. Elle inclut les services cloud, les fournisseurs de données et les partenaires technologiques. Une évaluation continue des risques tiers est indispensable. »
3. Renforcer la résilience opérationnelle
La préparation aux ransomware passe par des plans de continuité et de reprise d’activité (PCA/PRA) régulièrement testés. Les sauvegardes, isolées du réseau principal (règle du 3-2-1), restent le dernier rempart efficace contre l’extorsion. En 2025, la majorité des groupes pratiquent le « double extorsion » : chiffrement des données et menace de publication. Avoir une sauvegarde propre est souvent la seule négociation possible.
4. Adopter une approche de « Détection et Réponse Étendue » (XDR)
Les solutions XDR (Extended Detection and Response) permettent de corréler les événements sur les endpoints, le réseau, le cloud et les e-mails. Cette visibilité unifiée est cruciale pour détecter des signaux faibles d’une attaque en amont, comme des comportements anormaux dans les intégrations SaaS.
5. Sensibiliser et former les collaborateurs
Les employés restent une ligne de défense essentielle. Des campagnes de phishing ciblant les comptes cloud et les méthodes d’authentification multi-facteurs (MFA) doivent être régulières. Le choix d’une plateforme de formation à la sensibilisation adaptée à vos besoins pour 2026 est un investissement clé pour renforcer cette ligne de défense. Une culture de la sécurité, où chaque collaborateur est vigilant, est un atout face aux tentatives d’ingénierie sociale.
Conclusion : Une menace interconnectée exige une réponse unifiée
Les records de 2025 en matière de ransomware et d’attaques de la chaîne d’approvisionnement ne sont pas une anomalie, mais le symptôme d’une menace qui s’est structurée et qui exploite la confiance numérique. L’interconnexion croissante des écosystèmes d’entreprise, via le cloud et les plateformes SaaS, offre aux cybercriminels un terrain de jeu immense.
Pour les organisations françaises, le message est clair : la sécurité ne peut plus être un silo. Elle doit être intégrée à la stratégie d’entreprise, en considérant que chaque partenaire, fournisseur ou logiciel tiers est une extension de votre propre périmètre de sécurité. En adoptant les meilleures pratiques de segmentation, de gestion des accès et de résilience, vous ne réduisez pas seulement le risque d’une attaque réussie ; vous en limitez également l’impact potentiel.
L’année 2026 s’annonce déjà comme une année de confrontation. Les tendances de 2025 suggèrent une intensification des attaques, une sophistication accrue des techniques et une recherche de rentabilité toujours plus pressante de la part des groupes criminels. La question n’est plus de savoir si une organisation sera attaquée, mais quand et comment elle pourra résister et se relever. La préparation commence aujourd’hui.