Ransomware et Attaques de la Chaîne d'Approvisionnement : Une Année Record en 2025 et les Implications pour 2026

L’année 2025 a marqué un tournant alarmant dans le paysage de la cybersécurité, avec une augmentation de plus de 50 % des attaques par rançongiciel et une quasi-doublement des incidents ciblant la chaîne d’approvisionnement. Ces chiffres, tirés du rapport annuel sur la menace de la société de renseignement Cyble, ne sont pas seulement des statistiques ; ils sont le reflet d’une menace qui se complexifie et s’intensifie, préfigurant des défis encore plus grands pour 2026. Face à cette escalade, les équipes de sécurité doivent impérativement revoir leurs stratégies et renforcer leurs postures défensives.

L’Explosion des Attaques par Rançongiciel en 2025

Le rançongiciel, une menace qui pèse lourdement sur les organisations de toutes tailles, a connu une croissance sans précédent l’année dernière. Selon les données de Cyble, 6 604 attaques par rançongiciel ont été recensées en 2025, soit une hausse de 52 % par rapport aux 4 346 attaques réclamées par les groupes criminels en 2024. Cette augmentation spectaculaire démontre que les mesures défensives actuelles sont souvent insuffisantes face à l’ingéniosité et à la persévérance des cybercriminels.

L’année s’est achevée sur une dynamique particulièrement inquiétante. Le mois de décembre 2025 a enregistré un pic de 731 attaques, un chiffre proche du record historique établi en février 2025. Cette tendance à la hausse en fin d’année suggère que les groupes de ransomware n’ont pas ralenti leurs opérations, bien au contraire. La résilience et la décentralisation de ces groupes sont des facteurs clés de cette escalade. Lorsque les autorités réussissent à démanteler un groupe leader, comme ce fut le cas pour LockBit, les affiliés et les partenaires se restructurent rapidement pour rejoindre de nouvelles entités, maintenant ainsi l’écosystème criminel en vie.

La Dynamique des Groupes Criminels

L’émergence de nouveaux acteurs est un phénomène constant dans le monde du ransomware. L’année 2025 a été marquée par la montée fulgurante du groupe Qilin. Après la chute de RansomHub, probablement saboté par un rival (Dragonforce), Qilin a rapidement pris le relais et s’est imposé comme le groupe dominant. En décembre, Qilin a réclamé 190 nouvelles victimes, dépassant un LockBit en pleine résurgence ainsi que d’autres acteurs émergents comme Sinobi.

Au total, Cyble a documenté la création de 57 nouveaux groupes de ransomware, 27 nouveaux groupes d’extorsion et plus de 350 nouvelles souches de ransomware en 2025. Ces nouvelles variantes sont souvent basées sur des familles connues comme MedusaLocker, Chaos et Makop, mais elles sont constamment modifiées pour échapper aux détections. Certains de ces nouveaux groupes, tels que Devman, Sinobi, Warlock et Gunra, ont ciblé de manière disproportionnée les infrastructures critiques, notamment dans les secteurs public et des services d’énergie, tandis que d’autres comme RALord/Nova ou The Gentlemen se sont concentrés sur la technologie et les transports.

Cartographie des Cibles : Qui est le plus touché ?

L’analyse géographique et sectorielle révèle des vulnérabilités spécifiques. Les États-Unis sont de loin le pays le plus attaqué, représentant à eux seuls 55 % de toutes les attaques par rançongiciel en 2025. Le Canada, l’Allemagne, le Royaume-Uni, l’Italie et la France complètent le top six, soulignant la nature globale de cette menace. Pour la France, être dans le top six est un signal d’alarme clair sur la nécessité de renforcer la cyberdéfense nationale.

D’un point de vue sectoriel, les industries les plus visées sont la construction, les services professionnels et la fabrication. Ces secteurs sont souvent ciblés car ils manipulent des données sensibles et opèrent dans des chaînes de valeur complexes, où une interruption peut avoir des conséquences financières et opérationnelles immédiates. Le secteur de la santé et les technologies de l’information arrivent ensuite, confirmant que les cybercriminels privilégient les cibles où le risque de paiement de la rançon est élevé.

L’Attaque de la Chaîne d’Approvisionnement : Une Menace Systémique

Si les rançongiciels sont une menace directe, les attaques de la chaîne d’approvisionnement représentent une menace systémique qui peut affecter des centaines d’organisations en une seule opération. En 2025, le volume de ces attaques a bondi de 93 %, passant de 154 incidents en 2024 à 297. Cette augmentation est d’autant plus préoccupante que les rançongiciels sont impliqués dans plus de la moitié de ces attaques, créant un lien étroit entre ces deux vecteurs de compromission.

Même si le nombre d’attaques a légèrement diminué après un pic record en octobre 2025, il reste bien au-dessus de la tendance déjà élevée qui avait débuté en avril. Tous les secteurs d’activité suivis par Cyble ont été touchés par une attaque de la chaîne d’approvisionnement logicielle en 2025. Cependant, les secteurs de l’IT et de la technologie sont les plus fréquemment ciblés, car une compromission à ce niveau peut permettre aux attaquants d’étendre leurs opérations à l’ensemble des environnements clients en aval.

Une Sophistication Croissante

Les méthodes employées ont évolué bien au-delà du simple empoisonnement de paquets logiciels. Les attaquants ciblent désormais des points d’entrée plus complexes : intégrations cloud, relations de confiance SaaS et pipelines de distribution des fournisseurs. Ces évolutions s’accompagnent de nouveaux risques liés à la sécurité de l’IA, notamment dans les environnements dépendants de l’intelligence artificielle. Comme le note Cyble, les adversaires abusent de plus en plus des services en amont – tels que les fournisseurs d’identité, les registres de paquets et les canaux de livraison logicielle – pour compromettre les environnements en aval à grande échelle.

Un exemple concret illustre cette évolution : les attaques sur Salesforce via des intégrations tierces. Les attaquants ont “armé la confiance” entre les plateformes SaaS, montrant comment des jetons OAuth (protocole d’autorisation ouvert) compromis chez un tiers peuvent devenir des vecteurs d’attaque de la chaîne d’approvisionnement à fort impact. Cette vulnérabilité s’étend également aux navigateurs IA, qui présentent des risques majeurs pour la sécurité des organisations. Cette approche exploite la confiance inhérente aux écosystèmes numériques, rendant la détection et la défense d’autant plus complexes.

L’Impact sur les Équipes de Sécurité Françaises et Européennes

Pour les responsables de la sécurité des systèmes d’information (RSSI) et les équipes opérationnelles en France, ces tendances mondiales ont des répercussions directes. La France, bien que moins ciblée que les États-Unis, reste une cible attractive pour les groupes criminels. Les secteurs de la santé, de l’énergie et des services financiers, particulièrement sensibles, sont des proies de choix.

L’augmentation des attaques de la chaîne d’approvisionnement est un défi majeur pour les entreprises françaises, qui dépendent fortement de l’écosystème logiciel et des fournisseurs de services cloud. Une seule vulnérabilité chez un fournisseur peut affecter simultanément des dizaines de PME et de grands comptes. La conformité au RGPD et aux directives de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) n’est plus suffisante ; il faut intégrer une gestion proactive des risques liés aux tiers.

Comparaison des Menaces : Rançongiciel vs. Chaîne d’Approvisionnement

Pour mieux comprendre la nature des risques, voici un tableau comparatif des deux vecteurs d’attaque dominants de 2025 :

“Les groupes de ransomware sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement. Les deux types d’attaque sont devenus de plus en plus liés.” — Cyble

Stratégies d’Atténuation : Vers une Défense en Profondeur

Face à cette dualité de menaces, une approche défensive réactive est vouée à l’échec. Les experts s’accordent sur la nécessité d’une stratégie de sécurité en profondeur, intégrant plusieurs couches de protection. Voici les meilleures pratiques, validées par les rapports de renseignement et les référentiels comme ISO 27001 :

1. Segmentation du réseau et contrôle d’accès strict : Isoler les environnements critiques et appliquer le principe du moindre privilège est fondamental pour limiter la propagation d’une attaque, qu’elle soit interne (via un rançongiciel) ou externe (via un fournisseur compromis).
2. Gestion rigoureuse des vulnérabilités et des correctifs : Mettre en place un processus de patching accéléré, en priorisant les vulnérabilités critiques des logiciels et des services tiers. Une veille sur les vulnérabilités zero-day est essentielle.
3. Vérification de la chaîne d’approvisionnement logicielle (SBOM) : Adopter des Bill of Materials (BOM) logiciels pour avoir une visibilité sur tous les composants utilisés. Cela permet d’identifier rapidement les logiciels vulnérables provenant de fournisseurs tiers.
4. Surveillance et détection avancée : Utiliser des solutions EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) pour une visibilité étendue. Une surveillance proactive des réseaux sombres (dark web) peut permettre de détecter des fuites d’identifiants ou des plans d’attaque avant qu’ils ne soient exécutés.
5. Formation et sensibilisation des employés : Les utilisateurs restent la première ligne de défense. Des formations régulières sur les phishing et les bonnes pratiques de sécurité sont cruciales pour réduire les vecteurs d’entrée initiaux.

“La menace significative que représentent les chaînes d’approvisionnement et les ransomwares pour les équipes de sécurité à l’entrée de 2026 exige un renouvellement de l’accent mis sur les meilleures pratiques de cybersécurité.” — Cyble

Étapes Actionnables pour les Responsables de Sécurité

Pour passer de la théorie à la pratique, voici un plan d’action concret :

1. Établir un inventaire exhaustif des tiers : Cartographier tous les fournisseurs de logiciels, services cloud et intégrateurs. Évaluer le risque de sécurité de chacun.
2. Intégrer les exigences de sécurité dans les contrats : Exiger des clauses de sécurité, des audits et des certifications (ISO 27001, SOC 2) dans les contrats avec les fournisseurs.
3. Tester les plans de réponse aux incidents : Simuler des scénarios d’attaque de la chaîne d’approvisionnement et des ransomwares pour s’assurer que les équipes sont prêtes à réagir efficacement.
4. Investir dans la résilience opérationnelle : Mettre en place des sauvegardes hors ligne, des plans de continuité d’activité (PCA) et des procédures de restauration testées pour minimiser l’impact d’une attaque réussie.

Conclusion : Préparer l’Exercice 2026

Les chiffres de 2025 ne sont pas une anomalie ; ils sont le symptôme d’une tendance lourde. Pour une analyse approfondie des défis 2026 en cybersécurité, consultez notre article dédié. La convergence entre les ransomwares et les attaques de la chaîne d’approvisionnement crée un environnement de menace où une seule faille peut avoir des conséquences démultipliées. Pour les organisations françaises et européennes, l’année 2026 s’annonce comme une année de consolidation de la cyberdéfense.

L’objectif n’est plus seulement de se protéger contre une attaque spécifique, mais de construire une organisation résiliente, capable de détecter, de contenir et de se remettre rapidement de toute forme de cyberattaque. En intégrant les leçons de 2025 – l’explosion des ransomwares, la sophistication des attaques de la chaîne d’approvisionnement et l’émergence de nouveaux groupes criminels – les équipes de sécurité peuvent transformer une menace en opportunité de renforcement de leur posture globale. La vigilance et l’action proactive seront les clés pour naviguer dans le paysage cybersécuritaire de 2026.