Ransomware et attaques de la chaîne d'approvisionnement : 2025 a établi des records inquiétants
Orphée Grandsable
L’année 2025 a marqué un tournant dramatique dans le paysage des cybermenaces. Les ransomwares ont bondi de plus de 50 % et les attaques de la chaîne d’approvisionnement ont presque doublé, créant une tempête parfaite qui menace les organisations de tous les secteurs. Cette évolution n’est pas une simple statistique ; elle représente un changement fondamental dans la manière dont les cybercriminels opèrent. C’est pourquoi une compréhension fine des mécanismes d’attaque est essentielle, comme l’explique notre approche de prévention.
Les données proviennent du rapport annuel de la société de renseignement Cyble, qui a documenté une augmentation spectaculaire des incidents déclarés par les groupes de cybercriminels. Ces chiffres mettent en évidence une tendance alarmante : la convergence des attaques et la sophistication accrue des vecteurs d’infection, nécessitant une réponse défensive radicalement repensée.
L’explosion des ransomwares : une menace devenue industrielle
Les ransomwares ont connu une croissance exponentielle en 2025. Selon les recherches de Cyble, les groupes de cybercriminels ont revendiqué 6 604 attaques sur l’ensemble de l’année, soit une augmentation de 52 % par rapport aux 4 346 incidents de 2024. Cette dynamique s’est particulièrement accentuée en fin d’année, avec un pic de 731 attaques en décembre 2025, un chiffre proche du record historique établi en février 2025.
Cette croissance n’est pas le fruit du hasard. Les groupes de ransomwares ont démontré une résilience et une décentralisation remarquables face aux actions de répression policière. Lorsque des leaders historiques comme RansomHub ont été affaiblis par des actes de sabotage internes ou des opérations d’enquête, leurs affiliés se sont rapidement réorientés vers de nouvelles entités émergentes. Qilin est l’exemple parfait de cette dynamique : après le déclin de RansomHub, ce groupe a rapidement pris le devant de la scène, revendiquant 17 % de toutes les victimes de ransomware en 2025, largement devant des acteurs historiques comme Akira, CL0P ou Play.
La montée des nouveaux acteurs et des nouvelles souches
L’instabilité du paysage des groupes de ransomwares a favorisé l’émergence de nouveaux acteurs agressifs. Cyble a documenté 57 nouveaux groupes de ransomware, 27 nouveaux groupes d’extorsion et plus de 350 nouvelles souches de ransomware en 2025. La grande majorité de ces nouvelles variantes s’appuient sur les familles existantes de MedusaLocker, Chaos et Makop, montrant une tendance à la spécialisation et à la personnalisation des outils.
Parmi ces nouveaux entrants, certains se distinguent par leur ciblage stratégique. Devman, Sinobi, Warlock et Gunra ont concentré leurs efforts sur les infrastructures critiques, notamment dans les secteurs du gouvernement, des forces de l’ordre, de l’énergie et des services publics. D’autres, comme RALord/Nova, Warlock, Sinobi, The Gentlemen et BlackNevas, ont plutôt visé les secteurs des technologies de l’information, des transports et de la logistique.
« Les ransomware groups remained resilient and decentralized in 2025, and ransomware affiliates were quick to gravitate toward new leaders like Qilin in the wake of law enforcement disruptions. »
Cette fragmentation du paysage rend la défense plus complexe, car il n’existe plus un petit nombre de cibles prioritaires à surveiller. Pour mieux comprendre cette évolution, découvrez notre analyse des cybermenaces.
Les attaques de la chaîne d’approvisionnement : une menace systémique amplifiée
Parallèlement à la croissance des ransomwares, les attaques de la chaîne d’approvisionnement ont connu une augmentation spectaculaire de 93 % en 2025. Le nombre d’incidents revendiqués par les groupes de cybercriminels est passé de 154 en 2024 à 297 en 2025. Ce chiffre est particulièrement préoccupant car une attaque de la chaîne d’approvisionnement réussie peut compromettre des centaines, voire des milliers d’organisations en un seul coup.
La relation entre ransomwares et attaques de la chaîne d’approvisionnement est désormais inextricable. Comme le note Cyble, « les groupes de ransomware sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement ». Cette convergence signifie que les cybercriminels exploitent d’abord une vulnérabilité dans un fournisseur ou un logiciel tiers, puis utilisent cet accès pour déployer des ransomwares de manière massive.
La sophistication des attaques a atteint un nouveau niveau
Les techniques employées ont largement dépassé les méthodes traditionnelles comme l’empoisonnement de paquets logiciels. En 2025, les adversaires ont ciblé les intégrations cloud, les relations de confiance SaaS et les chaînes de distribution des fournisseurs. Ils abusent de plus en plus des services en amont — tels que les fournisseurs d’identité, les registres de paquets et les canaux de livraison de logiciels — pour compromettre les environnements en aval à grande échelle.
L’exemple des attaques ciblant Salesforce via des intégrations tierces est révélateur. Les cybercriminels ont « weaponized trust between SaaS platforms », illustrant comment les intégrations basées sur OAuth peuvent devenir des vulnérabilités critiques de la chaîne d’approvisionnement lorsque les jetons tiers sont compromis. Cette approche permet aux attaquants de contourner les contrôles de sécurité traditionnels en s’appuyant sur la confiance légitime entre systèmes.
L’impact géographique et sectoriel : qui sont les plus touchés ?
La répartition des attaques révèle des vulnérabilités spécifiques selon les régions et les secteurs d’activité.
La prédominance des États-Unis et l’impact en Europe
Les États-Unis ont été de loin le pays le plus ciblé, subissant 55 % de toutes les attaques de ransomware en 2025. Cette concentration s’explique par la densité des cibles à forte valeur et l’importance économique du marché américain. Cependant, l’Europe n’est pas épargnée. Le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France complètent le top six des pays les plus attaqués.
Pour les organisations françaises, cette tendance signifie qu’elles sont exposées à des menaces de niveau international. Les cybercriminels ne font pas de distinction géographique ; ils exploitent les vulnérabilités qu’ils trouvent, quel que soit le pays.
Les secteurs industriels les plus vulnérables
Certains secteurs sont systématiquement plus visés que d’autres. En 2025, les industries les plus touchées par les ransomwares ont été :
- Construction : Les entreprises de ce secteur gèrent des projets à haute valeur, des délais serrés et des chaînes d’approvisionnement complexes, ce qui les rend vulnérables aux perturbations.
- Services professionnels : Cabinets d’avocats, d’audit et de conseil détiennent des données sensibles et confidentielles, une cible privilégiée pour le chantage.
- Industrie manufacturière : Les chaînes de production automatisées et les systèmes industriels (OT) sont des cibles de choix, avec un impact direct sur la production.
- Santé : Les hôpitaux et les établissements de santé sont des cibles critiques où une attaque peut mettre en danger des vies humaines.
- Technologies de l’information : Le secteur IT, bien que bien équipé, reste une cible majeure en raison de la valeur des données qu’il héberge et de l’accès potentiel à de nombreux clients.
Les secteurs de l’IT et de la technologie sont également les plus touchés par les attaques de la chaîne d’approvisionnement, en raison de leur position centrale dans l’écosystème numérique et de la possibilité d’étendre les attaques vers les environnements clients.
Comment se défendre contre cette double menace ?
Face à cette évolution, les pratiques de sécurité traditionnelles ne suffisent plus. Les recommandations des experts Cyble et des organismes comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information) convergent vers une approche holistique et proactive.
Adopter une approche de défense en profondeur
La segmentation des réseaux est devenue une nécessité absolue. En isolant les systèmes critiques et en contrôlant strictement les flux de données entre les segments, une organisation peut contenir une attaque et empêcher sa propagation. Cette mesure est particulièrement cruciale pour limiter l’impact d’une attaque de la chaîne d’approvisionnement.
Par ailleurs, une gestion rigoureuse des accès et des privilèges est essentielle. Le principe du moindre privilège doit s’appliquer à tous les utilisateurs et systèmes, y compris les intégrations tierces. Chaque accès est une porte d’entrée potentielle.
Renforcer la gestion des vulnérabilités et la surveillance
Une gestion proactive des vulnérabilités est indispensable. Il ne s’agit pas seulement de corriger les failles connues, mais aussi de surveiller en permanence les nouvelles menaces et les vecteurs d’attaque émergents. Les organisations doivent mettre en place des processus pour évaluer la sécurité de leurs fournisseurs et logiciels tiers avant de les intégrer.
La surveillance des environnements, en particulier des points d’intégration SaaS et des registres de paquets, peut permettre de détecter des comportements anormaux avant qu’ils ne se transforment en attaques majeures.
Préparer les plans de réponse et de reprise
Malgré les meilleures défenses, une attaque peut toujours survenir. Avoir un plan de réponse aux incidents solide et régulièrement testé est crucial. Ce plan doit inclure des procédures spécifiques pour les attaques de ransomware et de chaîne d’approvisionnement, avec des rôles et des responsabilités clairement définis.
Les sauvegardes doivent être régulières, isolées (hors ligne ou sur un réseau segmenté) et testées fréquemment. C’est souvent la seule garantie de pouvoir restaurer les systèmes sans payer une rançon. Pour mettre en place ces mesures de protection, contactez nos experts en cybersécurité.
Tableau comparatif : Les principales caractéristiques des attaques en 2025
| Caractéristique | Ransomware | Attaque de la chaîne d’approvisionnement |
|---|---|---|
| Croissance en 2025 | +52 % (6 604 attaques) | +93 % (297 attaques) |
| Vecteur principal | Compromission directe, phishing | Abus de la confiance (fournisseurs, intégrations) |
| Cible typique | Entreprises de toutes tailles | Écosystème de fournisseurs et clients |
| Impact potentiel | Arrêt d’activité, perte de données | Compromission massive, diffusion large |
| Groupes leaders | Qilin (17 %), Akira, CL0P | Ransomware groups (plus de 50 %) |
| Secteurs les plus visés | Construction, services pro., santé | IT et technologies |
« The significant supply chain and ransomware threats facing security teams as we enter 2026 require a renewed focus on cybersecurity best practices that can help protect against a wide range of cyber threats. »
Conclusion : Un changement de paradigme nécessaire
Les records établis en 2025 ne sont pas une anomalie, mais le symptôme d’une menace qui a mûri et s’est sophistiquée. La convergence des ransomwares et des attaques de la chaîne d’approvisionnement crée un paysage où une seule vulnérabilité chez un fournisseur peut déclencher une catastrophe à grande échelle.
Pour les organisations françaises et européennes, la leçon est claire : la sécurité ne peut plus être un ajout tardif. Elle doit être intégrée dès la conception des systèmes et des partenariats. L’évaluation rigoureuse des fournisseurs, la mise en place de contrôles d’accès stricts et l’adoption d’une architecture résiliente sont désormais des prérequis.
L’année 2026 s’annonce déjà comme une année de consolidation pour les cybercriminels, avec une exploitation accrue des vulnérabilités de la chaîne d’approvisionnement. Les organisations qui n’auront pas adapté leurs pratiques de sécurité risquent de se retrouver parmi les prochaines statistiques. L’heure est à la vigilance et à l’action proactive pour protéger les actifs numériques et la continuité d’activité.